Nieuw onderzoek naar de grootschalige FortiBleed-campagne wijst op een directe relatie met de ransomwaregroepen INC en Lynx. Daarmee lijkt de diefstal van tienduizenden Fortinet-inloggegevens onderdeel te zijn geweest van een bredere operatie die gericht was op toekomstige ransomware-aanvallen.
De omvang van FortiBleed bleek vorige maand al aanzienlijk toen onderzoekers een onbeveiligde server aantroffen met configuratiebestanden en inloggegevens van ruim 73.000 Fortinet-apparaten. Inmiddels concludeert beveiligingsbedrijf SOCRadar dat de infrastructuur achter die campagne nauw verweven is met de ransomwaregroepen INC en Lynx.
De onderzoekers baseren die conclusie op een Windows-server die deel uitmaakte van de gebruikte infrastructuur. Bij forensisch onderzoek vonden zij sporen waaruit blijkt dat de beheerders toegang hadden tot de onderhandelingsportalen van beide ransomwaregroepen. Op aangetroffen browsersessies waren dashboards zichtbaar waarop gesprekken met slachtoffers van ransomware-aanvallen werden gevoerd. Volgens SOCRadar is dat een sterke aanwijzing dat dezelfde personen of nauw samenwerkende groepen achter zowel de diefstal van de inloggegevens als de latere afpersingscampagnes zitten.
Afluisteren van VPN-verkeer
Eerder onderzoek liet al zien dat de aanvallers gebruikmaakten van een speciaal ontwikkelde tool, FortiGate Sniffer. Die software werd op gecompromitteerde FortiGate-firewalls geplaatst en onderschepte VPN-inloggegevens en andere authenticatiegegevens rechtstreeks uit het netwerkverkeer. Daarnaast beschikte de groep over infrastructuur om wachtwoordhashes te kraken en gestolen accounts automatisch uit te proberen op andere systemen.
Volgens SOCRadar reikte de operatie veel verder dan aanvankelijk werd aangenomen. De onderzoekers schatten dat wereldwijd meer dan 430.000 FortiGate-firewalls zijn benaderd. Op ongeveer 19.000 systemen werden daadwerkelijk sniffers geïnstalleerd om netwerkverkeer af te luisteren. Nadat getroffen organisaties waren gewaarschuwd, zou dat aantal zijn teruggebracht tot ongeveer 11.000.
Tijdens het vervolgonderzoek identificeerde SOCRadar ruim 200 extra operationele servers die niet eerder met FortiBleed in verband waren gebracht. In totaal zou de campagne gebruik hebben gemaakt van ongeveer 500 servers. Ook vonden de onderzoekers gegevens van slachtoffers die later terugkeerden op de publieke leksite van INC-ransomware.
Daarnaast zijn aanwijzingen gevonden dat de organisatie achter FortiBleed uit ongeveer twintig personen bestaat, ieder met een eigen taak binnen de operatie. Op verschillende gecompromitteerde systemen troffen de onderzoekers bovendien een hardnekkig backdooraccount aan met de gebruikersnaam “adminin”.
Mogelijke zero-day in Nextcloud
SOCRadar vermoedt verder dat de aanvallers een nog onbekende kwetsbaarheid in Nextcloud hebben misbruikt om hun toegang tot netwerken verder uit te breiden nadat zij eenmaal waren binnengedrongen. Technische details over deze vermoedelijke zero-day zijn nog niet openbaar gemaakt.
De onderzoekers werken nog aan hun analyse en zeggen onder meer te proberen decryptiesleutels van ransomware terug te halen. Zodra het onderzoek is afgerond, verschijnt een tweede technisch rapport met indicatoren van compromittering (IoC’s), aanvullende attributiebewijzen en verdere technische details over de campagne.