Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Кражбата на акредитиви во кампањата FortiBleed поврзана со ransomware групите INC и Lynx

Неодамна откриената финансиски мотивирана кампања FortiBleed е поврзана со ransomware групите INC и Lynx, што укажува дека украдените и потврдени акредитиви биле наменети за последователни упади во компромитираните организации.

„Оператор поврзан со инфраструктурата на FortiBleed беше забележан како активно работи на панелите за преговори на двете ransomware групи, со што за првпат директно се поврзува масовната кражба на акредитиви од FortiGate уреди со распоредување ransomware,“ се наведува во новиот извештај на SOCRadar, објавен во средата.

Според компанијата, биле следени активности на скенирање насочени кон околу 11.250 FortiGate портали во повеќе од 150 држави. По скенирањето, напаѓачите успеале да добијат администраторски пристап до 409 системи, а кај 354 од нив успешно ја завршиле целата фаза на нападот.

Досега, овој пристап резултирал со најмалку 12 ransomware напади, при што биле шифрирани стотици крајни уреди (endpoints) во погодените организации.

Масовна операција за кражба на акредитиви

Кампањата, која беше откриена минатиот месец, вклучувала систематско пребарување на интернет за јавно достапни Fortinet уреди.

Напаѓачите:

  • ги скенирале изложените FortiGate уреди;
  • се обидувале да се најават користејќи познати комбинации на кориснички имиња и лозинки;
  • по успешното компромитирање инсталирале сопствени packet sniffer алатки кои пасивно го следеле мрежниот сообраќај со цел да собираат кориснички акредитиви и други податоци за автентикација.

Се проценува дека кампањата опфатила околу 430.000 FortiGate firewall уреди ширум светот, при што биле собрани повеќе од 110 милиони акредитиви.

Целата операција била разоткриена поради оперативна грешка на самите напаѓачи, кои оставиле сервер со украдени акредитиви од илјадници Fortinet уреди јавно достапен на интернет.

Истражувачите проценуваат дека Golang packet sniffer бил инсталиран на околу 12.000 Fortinet уреди, што претставува само дел од вкупниот број таргетирана мрежна опрема.

Директна врска со INC и Lynx

Најновите наоди на SOCRadar покажуваат дека оператор со пристап до инфраструктурата на FortiBleed бил најавен на панелите за преговори на ransomware групите INC Ransom и Lynx.

Дополнително, листата на жртви објавена од INC Ransom се совпаѓа со податоците собрани во FortiBleed кампањата.

Овие поврзаности биле откриени благодарение на еден од 200 новоидентификувани сервери поврзани со инфраструктурата на FortiBleed, кој овозможил увид во:

  • интерни датотеки;
  • системски логови;
  • оперативна документација на напаѓачите.

Руски говорен актер и организирана структура

Според анализата на алатките, логовите и работното време, SOCRadar проценува дека зад операцијата стои рускоговоречки актер за закани, кој најверојатно функционира како Initial Access Broker (IAB) – криминална група специјализирана за добивање почетен пристап до корпоративни мрежи, кој потоа го продава или го отстапува на ransomware групи.

Најголем дел од нападите биле насочени кон организации од:

  • производствениот сектор;
  • технолошката индустрија;
  • логистичкиот сектор;

особено во Латинска Америка и регионот Азија-Пацифик.

Операција со околу 20 членови

SOCRadar открил и интерен документ што покажува дека станува збор за добро организирана група составена од околу 20 лица, со јасно распределени улоги.

Според извештајот:

„Мала група главни оператори ги изведува најкритичните упади, додека специјалисти и помошен персонал ги обезбедуваат останатите задачи и поддршка.“

Ова укажува дека операцијата функционира како професионално организирана сајбер-криминална структура, а не како група поединечни хакери.

Можно поседување zero-day ранливост

Истражувачите, исто така, веруваат дека напаѓачите располагаат со најмалку една zero-day ранливост во платформата Nextcloud.

SOCRadar соопшти дека активно соработува со производителот на софтверот за да ја истражи ранливоста и да овозможи нејзино навремено отстранување пред да биде пошироко злоупотребена.

Ова откритие доаѓа во време кога компанијата eSentire соопшти дека забележала напаѓачи како активно ја искористуваат ранливоста CVE-2026-35616 (CVSS оценка 9.1) во Fortinet FortiClient EMS за да инсталираат инфостилер наречен EKZ Stealer.

Во еден документиран случај, нападот бил насочен кон клиент од секторот енергетика, комунални услуги и управување со отпад.

Крајната цел на напаѓачите била да украдат акредитиви од прелистувачите базирани на Chromium (како Google Chrome, Microsoft Edge, Brave и други) и Mozilla Firefox, а потоа украдените податоци да ги испратат до напаѓачот користејќи PowerShell.

Извори:

  • The Hacker News – FortiBleed Credential Theft Linked to INC and Lynx Ransomware Operations The Hacker News