Robo de credenciales de FortiBleed vinculado a operaciones de INC y Lynx Ransomware

SOCRadar dice que la campaña de recolección de credenciales de FortiBleed ahora está vinculada a las operaciones de ransomware INC Ransom y Lynx, lo que aumenta el riesgo para las organizaciones que utilizan firewalls FortiGate y portales VPN expuestos.

la empresaInforme de enlace de ransomware FortiBleeddice que se encontró a un operador vinculado a la infraestructura de FortiBleed trabajando en paneles de negociación para ambas marcas de ransomware. SOCRadar también informó sobre superposición de víctimas entre los datos de FortiBleed y el material vinculado al INC.

El hallazgo no significa que todos los dispositivos FortiGate escaneados estuvieran comprometidos. SOCRadar dice que la campaña más amplia se dirigió a más de 430.000 firewalls FortiGate, mientras que se identificó acceso confirmado a nivel de administrador en 409 objetivos y se observó la finalización completa de la cadena de ataque en 354 objetivos.

¿Qué es FortiBleed?

FortiBleed es una campaña de recolección de credenciales a gran escala dirigida a los firewalls FortiGate y gateways VPN de Fortinet. Los investigadores dicen que la operación se centra en robar o validar credenciales que luego pueden respaldar la intrusión en la red.

SOCRadar anteriorInvestigación FortiBleeddescribió una campaña activa que involucra infraestructura expuesta, credenciales validadas y ataques generalizados en muchos países.

Fortinet ha adoptado una posición diferente sobre algunas de las actividades. en suAnálisis PSIRT de Fortinet, la compañía dijo que la campaña no está vinculada a una nueva vulnerabilidad de Fortinet o un aviso reciente, sino que parece involucrar credenciales reutilizadas de incidentes anteriores y actividad de fuerza bruta.

Punto claveInformes actuales
Nombre de la campañaFortiBleed
Objetivo principalFirewalls y portales VPN de Fortinet FortiGate
Enlace de ransomware informadoINC Rescate y Lince
Escala objetivo informadaMás de 430.000 cortafuegos FortiGate
Acceso confirmado a nivel de administrador409 objetivos, según SOCRadar
Implementaciones de ransomware confirmadasAl menos 12, según SOCRadar

Cómo se realizó la conexión del ransomware

SOCRadar dijo que sus investigadores ampliaron la investigación al mapear infraestructura adicional conectada a rastreadores y escáneres utilizados en la campaña. Según se informa, ese trabajo hizo surgir alrededor de 200 servidores operativos más vinculados a la actividad.

Dentro de un entorno expuesto, los investigadores dijeron que encontraron un operador conectado a los paneles de negociación de INC Ransom y Lynx. El mismo entorno también contenía registros, archivos internos y notas operativas vinculadas a la actividad de FortiBleed.

AInforme de la Semana de la Seguridadresumió los hallazgos de SOCRadar, incluida la afirmación de que el acceso derivado de FortiBleed condujo a implementaciones de ransomware y cientos de puntos finales cifrados.

  • SOCRadar encontró un operador que utiliza paneles de negociación INC y Lynx.
  • Los investigadores informaron una superposición entre los objetivos de FortiBleed y los datos de víctimas vinculados a INC.
  • Según se informa, un documento de seguimiento interno enumera las credenciales utilizadas y los resultados de la intrusión.
  • SOCRadar dice que al menos 12 implementaciones de ransomware surgieron del acceso.
  • El documento técnico completo y los indicadores aún estaban pendientes en el momento de la publicación.

Por qué esto es importante para los clientes de FortiGate

La mayor preocupación es que las credenciales de firewall y VPN robadas puedan convertir un dispositivo perimetral en un camino hacia la red interna. Una vez que los atacantes obtienen acceso, pueden buscar credenciales de dominio, controladores de dominio, recursos compartidos de archivos, copias de seguridad y herramientas de administración de terminales.

SOCRadar dice que la cadena de ataque completa se completó en 354 objetivos, incluido el compromiso de VPN, el acceso al controlador de dominio y los privilegios de administrador de dominio. Eso hace que FortiBleed sea más que un problema de dispositivo perimetral.

El Reino Unidoalerta NCSCTambién instó a las organizaciones que utilizan los servicios de Fortinet a investigar la posible exposición, verificar si hay compromiso y seguir las pautas de mitigación.

RiesgoPor qué es importante
Reutilización de credencialesLos atacantes pueden utilizar contraseñas antiguas o reutilizadas contra portales expuestos
acceso VPNLas cuentas comprometidas pueden proporcionar acceso remoto a los sistemas internos
Acceso de administradorLos administradores del firewall pueden cambiar la configuración, agregar usuarios o debilitar los controles
Compromiso de dominioEl acceso a FortiGate puede convertirse en un paso hacia la adquisición de Active Directory
Implementación de ransomwareEl acceso válido puede ayudar a los operadores de ransomware a moverse más rápido y evitar exploits ruidosos

Fortinet dice que esta no es una vulnerabilidad nueva

Fortinet dijo que la actividad reportada no está relacionada con una nueva vulnerabilidad de Fortinet o un aviso de seguridad reciente. La compañía dijo que cree que los atacantes utilizaron credenciales de incidentes anteriores y métodos de fuerza bruta contra dispositivos con una higiene de contraseña débil y sin MFA.

Elorientación de fortinetrecomienda finalizar las sesiones activas de administrador y VPN, restablecer las credenciales, aplicar MFA, actualizar a las versiones actuales de FortiOS, validar la configuración y restringir el acceso de administración.

Esta distinción es importante para los defensores. Es posible que una actualización de firmware por sí sola no elimine el riesgo si los atacantes ya tienen credenciales válidas, crearon cuentas no autorizadas, modificaron la configuración o ganaron persistencia a través de la red.

¿Qué organizaciones deberían comprobar primero?

Las organizaciones deben comenzar identificando todos los portales VPN SSL y de administración de FortiGate con acceso a Internet. Cualquier sistema que acepte la autenticación remota merece una revisión inmediata.

Lobo árticoBoletín de seguridad de FortiBleeddijo que los investigadores habían informado credenciales de administrador en funcionamiento verificadas para decenas de miles de dispositivos y recomendaron una rápida rotación de credenciales y aplicación de MFA.

Los equipos también deben verificar si los dispositivos afectados tienen cuentas de administrador sospechosas, cambios de configuración inesperados, usuarios de VPN desconocidos, fuentes de inicio de sesión anormales o signos de movimiento lateral desde redes conectadas a firewall.

  • Termine todas las sesiones activas de administrador y VPN.
  • Restablezca las contraseñas del administrador de FortiGate y del usuario de VPN.
  • Aplique MFA para cuentas de administrador y de acceso remoto.
  • Elimine la exposición a Internet de las interfaces de administración cuando sea posible.
  • Revise la configuración de FortiGate comparándola con una copia de seguridad en buen estado.
  • Busque cuentas de firewall desconocidas o recién creadas.
  • Verifique los registros de Active Directory para ver si hay autenticación inusual por parte de usuarios de VPN.
  • Investigue los dispositivos a los que se puede acceder desde cuentas VPN comprometidas.

Por qué el robo de credenciales puede provocar ransomware

Los operadores de ransomware prefieren cada vez más el acceso válido a la explotación ruidosa. Una credencial de administrador de firewall o VPN que funcione puede ayudar a los atacantes a parecer usuarios legítimos durante la primera etapa de una intrusión.

Una vez dentro, los atacantes pueden mapear la red, escalar privilegios, desactivar herramientas de seguridad, robar datos y preparar el cifrado. Este patrón se ajusta al papel de un intermediario de acceso inicial, que recopila, vende o utiliza el acceso para operaciones posteriores de ransomware.

ElHallazgos del SOCRadardicen que FortiBleed ahora debería tratarse como un posible precursor del ransomware, no solo como un evento de exposición de credenciales.

Fase de ataquePosible papel de FortiBleed
Acceso inicialLas credenciales de administrador o VPN comprometidas proporcionan acceso
Escalada de privilegiosLos atacantes buscan credenciales de dominio y cuentas de administrador
Movimiento lateralEl acceso VPN puede exponer los sistemas internos y los servicios de dominio
Robo de datosLos atacantes pueden acceder a archivos compartidos, copias de seguridad y repositorios confidenciales.
ransomwareLos operadores INC o Lynx pueden implementar cifrado después de obtener suficiente control

Lo que recomienda el NCSC

ElAsesoramiento del NCSCindica a las organizaciones que investiguen los dispositivos de borde de Fortinet con SSL VPN habilitado, monitoreen las redes en busca de actividad inusual y busquen indicadores como creación de cuentas no autorizadas y registros inesperados.

Si existe evidencia de compromiso, el NCSC dice que las organizaciones deben aislar el dispositivo de Internet y de la red interna. También advierte que cambiar las credenciales por sí solo puede no ser suficiente si los atacantes obtienen persistencia.

Para los sistemas que se vuelven a poner en servicio, los equipos deben reforzar las interfaces de administración, actualizar a la última versión, eliminar los sistemas no compatibles, cambiar las contraseñas reutilizadas, aplicar MFA y habilitar PBKDF2 para la autenticación del administrador cuando corresponda.

Donde difieren las cifras reportadas

Los informes de FortiBleed han incluido varias cifras diferentes porque los investigadores han medido cosas diferentes. Algunos recuentos se refieren a dispositivos específicos, mientras que otros se refieren a credenciales expuestas, inicios de sesión funcionales verificados o compromisos confirmados.

SOCRadar anteriorInvestigación FortiBleedutilizó la cifra 86,644 en su titular, mientras que su informe posterior sobre enlaces de ransomware analizó más de 430,000 firewalls FortiGate dirigidos y 409 objetivos confirmados a nivel de administrador.

ElCobertura de la Semana de la SeguridadTambién destacó la afirmación de SOCRadar de que más de 110 millones de credenciales se vieron comprometidas en la operación más amplia. Los defensores deberían centrarse menos en un único titular y más en si sus dispositivos y cuentas expuestos muestran signos de compromiso.

CifraLo que parece representar
430,000+Los firewalls FortiGate están dirigidos a todo el mundo, según SOCRadar
11,250Portales FortiGate escaneados en más de 150 países, según SOCRadar
409Objetivos con acceso confirmado a nivel de administrador, según SOCRadar
354Objetivos donde se completó la cadena de ataque completa, según SOCRadar
12+Implementaciones de ransomware confirmadas derivadas del acceso, según SOCRadar

Cómo reducir el riesgo de ransomware FortiBleed

Los equipos de seguridad deben tratar las credenciales expuestas de FortiGate como un riesgo de incidente activo, no solo como un problema de higiene de contraseñas. Si los atacantes utilizaron una cuenta de firewall, es posible que ya hayan tocado los sistemas internos.

ElBoletín del lobo árticorecomienda rotación de credenciales, MFA, restringir las interfaces de administración a redes confiables, revisar la autenticación histórica y verificar si las versiones de FortiOS admiten un hash de contraseñas más seguro.

Las organizaciones también deberían investigar el impacto posterior. Esto incluye IP de origen de VPN, registros de controladores de dominio, cuentas nuevas, tareas programadas sospechosas, alertas de seguridad de terminales y acceso inusual a copias de seguridad o recursos compartidos de archivos.

  • Supongamos que es posible que se hayan probado las credenciales de VPN expuestas.
  • Deshabilite o elimine cuentas de administrador desconocidas de FortiGate.
  • Rote los secretos compartidos, las cuentas vinculadas LDAP y las credenciales de servicio si se sospecha que están comprometidos.
  • Verifique los registros del controlador de dominio para detectar picos de autenticación vinculados a VPN.
  • Busque movimiento lateral desde los grupos de direcciones VPN.
  • Revise el acceso a las copias de seguridad y los controles de resistencia al ransomware.
  • Conserve los registros del firewall antes de realizar acciones de recuperación o restablecimiento de fábrica.
  • Escalar rápidamente el compromiso confirmado a los equipos de respuesta a incidentes.

El resultado final

FortiBleed ha pasado de ser un gran problema de recolección de credenciales a ser un canal de acceso a ransomware. Los supuestos vínculos con INC y Lynx hacen que los dispositivos FortiGate expuestos sean una prioridad para una investigación urgente.

Fortinet dice que la actividad no refleja una nueva vulnerabilidad, pero eso no reduce el riesgo de credenciales válidas. Es posible que los atacantes que puedan iniciar sesión no necesiten un nuevo exploit.

Las organizaciones deben restablecer las credenciales, aplicar MFA, eliminar el acceso de administración expuesto, revisar las configuraciones, buscar persistencia e investigar los sistemas internos a los que podrían haber llegado las cuentas de VPN o firewall comprometidas.

Preguntas frecuentes

¿Qué es FortiBleed?

FortiBleed es una campaña de recolección de credenciales dirigida a los firewalls y portales VPN de Fortinet FortiGate. Los investigadores dicen que los atacantes recopilaron o validaron credenciales que podrían usarse para acceder a la red y realizar intrusiones posteriores.

¿FortiBleed está vinculado al ransomware?

Sí, según SOCRadar. La compañía dice que encontró un operador vinculado a la infraestructura de FortiBleed trabajando en paneles de negociación tanto para INC Ransom como para Lynx, e informó de al menos 12 implementaciones de ransomware derivadas del acceso.

¿FortiBleed implica una nueva vulnerabilidad de Fortinet?

Fortinet dice que la actividad reportada no está relacionada con una nueva vulnerabilidad de Fortinet o un aviso reciente. La compañía dice que la actividad parece involucrar credenciales reutilizadas de incidentes anteriores y actividad de fuerza bruta contra dispositivos con una higiene de contraseña débil y sin MFA.

¿Cuántos dispositivos FortiGate se vieron comprometidos en FortiBleed?

Las cifras varían según lo que midieron los investigadores. SOCRadar dijo que más de 430.000 firewalls FortiGate fueron atacados, mientras que se identificó acceso confirmado a nivel de administrador en 409 objetivos y se observó la finalización completa de la cadena de ataque en 354 objetivos.

¿Qué deberían hacer las organizaciones con respecto a FortiBleed?

Las organizaciones deben restablecer las credenciales de administrador y VPN de FortiGate, finalizar las sesiones activas, aplicar MFA, eliminar el acceso de administración a Internet, actualizar FortiOS, revisar la configuración del firewall, verificar si hay cuentas no autorizadas e investigar posibles movimientos laterales desde el acceso VPN.