КАРТА РОСТА
КАРТА РОСТА
Исследователи нашли связь FortiBleed с двумя группами вымогателей.
FortiBleed из истории о массовой краже паролей у владельцев Fortinet превратился в историю о прямой дороге к вымогателям. В свежем отчете SOCRadar исследователи связали кампанию с инфраструктурой брокеров первичного доступа, через которую один оператор работал сразу с двумя вымогательскими проектами: INC Ransom и Lynx.
Ранее SOCRadar описала масштаб операции после обнаружения открытого рабочего сервера атакующих. На сервере хранились файлы, журналы и материалы, связанные с инфраструктурой кампании. Анализ показал 86 644 скомпрометированных устройства FortiGate, более 80 000 уникальных IP-адресов, 22 405 домена и жертв в 194 странах.
Новая публикация добавляет к картине не только масштаб, но и дальнейший путь украденного доступа. Исследователи нашли оператора, который входил в переговорные панели INC Ransom и Lynx и работал с требованиями выкупа. Lynx часто рассматривают как развитие или близкий проект INC Ransom, но в свежем отчете SOCRadar говорит о двух активных вымогательских операциях, связанных через общую инфраструктуру и одного участника.
Команда SOCRadar несколько недель отслеживала серверы FortiBleed и нашла более 200 дополнительных узлов, связанных со сканированием, перехватом данных и рабочими инструментами кампании. В расширенной инфраструктуре исследователи зафиксировали активность против примерно 11 250 порталов FortiGate в более чем 150 странах. Административный доступ подтвердился на 409 целях, а на 354 объектах атакующие прошли полную цепочку: взломали VPN, получили доступ к контроллеру домена и добрались до прав администратора домена.
По данным SOCRadar, минимум 12 атак с программами-вымогателями уже связаны с доступом, полученным через FortiBleed. Внутренние документы операторов указывают на организованную группу примерно из 20 человек: основные участники вели наиболее серьезные вторжения, а вспомогательные специалисты занимались технической поддержкой, обработкой данных и сопровождением операций.
Сама схема FortiBleed не строилась вокруг новой неизвестной уязвимости. Атакующие использовали пароли из прежних утечек и журналов инфостилеров, проверяли доступ на открытых в интернете устройствах FortiGate, а после входа превращали захваченный шлюз в точку прослушивания SSL VPN-трафика. Для взлома перехваченных хешей применялся кластер из 45 графических процессоров через Hashtopolis. После получения учетных данных операторы заходили в Active Directory и закреплялись внутри корпоративных сетей.
Среди затронутых секторов исследователи называют телекоммуникационные компании, госструктуры, банки, больницы, университеты, энергетику и крупный бизнес. В массиве нашли 591 запись, связанную со 111 государственными доменами, а на телекоммуникационный сектор пришлось 5 616 записей.
Организациям с FortiGate и SSL VPN рекомендуют немедленно сменить пароли администраторов и VPN-пользователей, включить двухфакторную защиту, проверить журналы входов, закрыть внешний доступ к панели управления и обновить прошивку. Если устройство попало в набор FortiBleed, SOCRadar советует считать периметр уже скомпрометированным и начинать разбор инцидента.