Šta se desilo?

Istraživači su otkrili direktnu povezanost između masivne kampanje krađe kredencijala FortiBleed i aktivnih ransomware operacija INC Ransom i Lynx. Preko 430.000 FortiGate firewall-a širom sveta je zarobljeno korišćenjem prilagođenog Golang alata FortigateSniffer, koji presreće autentifikacijske podatke kroz nativne FortiOS komande. Otkriveno je da isti operator ima pristup panelima za pregovore obe ransomware grupe, što potvrđuje prvi dokumentovani slučaj povezanosti između masivne krađe pristupa i ransomware napada.

Koga pogađa?

Organizacije koje koriste FortiGate firewall rešenja su u izuzetnom riziku. Istraživanja pokazuju da je admin-level pristup potvrđen kod 409 ciljeva, dok je kompletna lanac napada (kompromitovanje VPN-a, pristup domenskom kontroleru i domenskom administratoru) izvršen na 354 mete. Najmanje 12 potvrdenih slučajeva ransomware napada je rezultovalo šifriranjem stotina krajnjih sistema.危ogljeni su preduzeća, institucije i kritična infrastruktura u preko 150 zemalja.

Kako se zaštititi?

  • Hitno ažurirajte sve FortiGate firewall-e na najnovije verzije i primenite sve dostupne sigurnosne zakrpe
  • Omogućite detaljno logovanje svih autentifikacijskih pokušaja i redovno pratite sumnjive aktivnosti
  • Promenite sve administratorske kredencijale za FortiGate uređaje, posebno ako su dugotrajno u upotrebi bez resetovanja
  • Primenite višefaktorsku autentifikaciju (MFA) na svim udaljenim pristupima VPN-u i administrativnim interfejsima
  • Redovno skeniramo mrežu u potrazi za nekim od 200 identifikovanih operativnih servera vezanih za ovu kampanju
  • Implementirajte network segmentaciju kako bi se izbegao lateralni pokret u slučaju kompromitovanja
  • Povećajte nadzor za znakove ransomware aktivnosti - kriptovanje datoteka, promene registra, blokiranje resursima

Tehnički detalji

Kampanja koristi prilagođeni alat FortigateSniffer za pasivnu presreću autentifikacijskog saobraćaja kroz više od dva tuceta protokola. Istraživanja su identifikovala grubih 200 dodatnih operativnih servera vezanih za ovu kampanju. Napadač upravlja strukturiranom operacijom sa procenjenih 20 osoba, uključujući jezgro primarnih operatora, specijalizovane stručnjake i podršku na nižim nivoima. INC Ransom deluje od sredine 2023. godine kao jedna od najplodnijih RaaS grupa, dok se Lynx, koji je aktivan otprilike godinu dana kasnije, procenjuje kao razvijena verzija INC-a, što potvrđuje razmatranje žrtava između obe grupe.

Zašto je važno za region

FortiGate firewall-i su široko rasprostranjeni u državama Zapadnog Balkana i ostatka regiona, gde koriste male i srednje preduzeće, finansijske institucije i vladine agencije. Otkrivanje direktne veze između credential-harvesting kampanje i aktivnih ransomware operacija ukazuje da lokalne organizacije koje koriste ovu opremu ne samo da riskiraju krađu podataka, već i direktne napade šifrovanja podataka. Regionalne institucije trebaju hitno da provere svoje FortiGate infrastrukture i primene preporučene mere zaštite.

Preporuka Sajber Radara

Sve organizacije sa FortiGate rešenjima moraju odmah da preuzmu akciju - ažuriranje, promena kredencijala i pojačane monitoring aktivnosti nisu opcioni. Ova kampanja je strukturirana i aktivna, što znači da rizik nije teoretski već Very real preteći.