Исследователи нашли связь FortiBleed с двумя группами вымогателей.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
FortiBleed из истории о массовой краже паролей у владельцев Fortinet превратился в историю о прямой дороге к вымогателям. В свежем отчете SOCRadar исследователи связали кампанию с инфраструктурой брокеров первичного доступа, через которую один оператор работал сразу с двумя вымогательскими проектами: INC Ransom и Lynx.
Ранее SOCRadar описала масштаб операции после обнаружения открытого рабочего сервера атакующих. На сервере хранились файлы, журналы и материалы, связанные с инфраструктурой кампании. Анализ показал 86 644 скомпрометированных устройства FortiGate, более 80 000 уникальных IP-адресов, 22 405 домена и жертв в 194 странах.
Новая публикация добавляет к картине не только масштаб, но и дальнейший путь украденного доступа. Исследователи нашли оператора, который входил в переговорные панели INC Ransom и Lynx и работал с требованиями выкупа. Lynx часто рассматривают как развитие или близкий проект INC Ransom, но в свежем отчете SOCRadar говорит о двух активных вымогательских операциях, связанных через общую инфраструктуру и одного участника.
Команда SOCRadar несколько недель отслеживала серверы FortiBleed и нашла более 200 дополнительных узлов, связанных со сканированием, перехватом данных и рабочими инструментами кампании. В расширенной инфраструктуре исследователи зафиксировали активность против примерно 11 250 порталов FortiGate в более чем 150 странах. Административный доступ подтвердился на 409 целях, а на 354 объектах атакующие прошли полную цепочку: взломали <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ"><span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span></span>, получили доступ к контроллеру домена и добрались до прав администратора домена.
По данным SOCRadar, минимум 12 атак с программами-вымогателями уже связаны с доступом, полученным через FortiBleed. Внутренние документы операторов указывают на организованную группу примерно из 20 человек: основные участники вели наиболее серьезные вторжения, а вспомогательные специалисты занимались технической поддержкой, обработкой данных и сопровождением операций.
Сама схема FortiBleed не строилась вокруг новой неизвестной уязвимости. Атакующие использовали пароли из прежних утечек и журналов инфостилеров , проверяли доступ на открытых в интернете устройствах FortiGate, а после входа превращали захваченный шлюз в точку прослушивания SSL VPN-трафика. Для взлома перехваченных хешей применялся кластер из 45 графических процессоров через Hashtopolis. После получения учетных данных операторы заходили в Active Directory и закреплялись внутри корпоративных сетей.
<div class="banner-detailed">SOCRadar отдельно отмечает, что одно обновление прошивки не решало проблему для всех организаций. Если пароль уже попал к злоумышленникам и не менялся после прежнего инцидента, устройство оставалось доступным для повторного входа. В базе встречались типовые административные и системные учетные записи Fortinet, что говорит о слабой парольной гигиене у части жертв. Среди затронутых секторов исследователи называют телекоммуникационные компании, госструктуры, банки, больницы, университеты, энергетику и крупный бизнес. В массиве нашли 591 запись, связанную со 111 государственными доменами, а на телекоммуникационный сектор пришлось 5 616 записей.
Организациям с FortiGate и SSL VPN рекомендуют немедленно сменить пароли администраторов и VPN-пользователей, включить двухфакторную защиту, проверить журналы входов, закрыть внешний доступ к панели управления и обновить прошивку. Если устройство попало в набор FortiBleed, SOCRadar советует считать периметр уже скомпрометированным и начинать разбор инцидента.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
FortiBleed из истории о массовой краже паролей у владельцев Fortinet превратился в историю о прямой дороге к вымогателям. В свежем отчете SOCRadar исследователи связали кампанию с инфраструктурой брокеров первичного доступа, через которую один оператор работал сразу с двумя вымогательскими проектами: INC Ransom и Lynx.
Ранее SOCRadar описала масштаб операции после обнаружения открытого рабочего сервера атакующих. На сервере хранились файлы, журналы и материалы, связанные с инфраструктурой кампании. Анализ показал 86 644 скомпрометированных устройства FortiGate, более 80 000 уникальных IP-адресов, 22 405 домена и жертв в 194 странах.
Новая публикация добавляет к картине не только масштаб, но и дальнейший путь украденного доступа. Исследователи нашли оператора, который входил в переговорные панели INC Ransom и Lynx и работал с требованиями выкупа. Lynx часто рассматривают как развитие или близкий проект INC Ransom, но в свежем отчете SOCRadar говорит о двух активных вымогательских операциях, связанных через общую инфраструктуру и одного участника.
Команда SOCRadar несколько недель отслеживала серверы FortiBleed и нашла более 200 дополнительных узлов, связанных со сканированием, перехватом данных и рабочими инструментами кампании. В расширенной инфраструктуре исследователи зафиксировали активность против примерно 11 250 порталов FortiGate в более чем 150 странах. Административный доступ подтвердился на 409 целях, а на 354 объектах атакующие прошли полную цепочку: взломали <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ"><span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span></span>, получили доступ к контроллеру домена и добрались до прав администратора домена.
По данным SOCRadar, минимум 12 атак с программами-вымогателями уже связаны с доступом, полученным через FortiBleed. Внутренние документы операторов указывают на организованную группу примерно из 20 человек: основные участники вели наиболее серьезные вторжения, а вспомогательные специалисты занимались технической поддержкой, обработкой данных и сопровождением операций.
Сама схема FortiBleed не строилась вокруг новой неизвестной уязвимости. Атакующие использовали пароли из прежних утечек и журналов инфостилеров , проверяли доступ на открытых в интернете устройствах FortiGate, а после входа превращали захваченный шлюз в точку прослушивания SSL VPN-трафика. Для взлома перехваченных хешей применялся кластер из 45 графических процессоров через Hashtopolis. После получения учетных данных операторы заходили в Active Directory и закреплялись внутри корпоративных сетей.
<div class="banner-detailed">SOCRadar отдельно отмечает, что одно обновление прошивки не решало проблему для всех организаций. Если пароль уже попал к злоумышленникам и не менялся после прежнего инцидента, устройство оставалось доступным для повторного входа. В базе встречались типовые административные и системные учетные записи Fortinet, что говорит о слабой парольной гигиене у части жертв. Среди затронутых секторов исследователи называют телекоммуникационные компании, госструктуры, банки, больницы, университеты, энергетику и крупный бизнес. В массиве нашли 591 запись, связанную со 111 государственными доменами, а на телекоммуникационный сектор пришлось 5 616 записей.
Организациям с FortiGate и SSL VPN рекомендуют немедленно сменить пароли администраторов и VPN-пользователей, включить двухфакторную защиту, проверить журналы входов, закрыть внешний доступ к панели управления и обновить прошивку. Если устройство попало в набор FortiBleed, SOCRadar советует считать периметр уже скомпрометированным и начинать разбор инцидента.
- Источник новости
- www.securitylab.ru