网络安全公司SOCRadar最新研究显示,针对全球Fortinet防火墙的大规模凭证窃取活动FortiBleed与INC Ransom和Lynx勒索软件团伙直接相关。攻击者窃取超1.1亿个凭证,导致至少12次勒索软件部署,并手握Nextcloud零日漏洞。
网络安全公司SOCRadar周三发布研究报告称,一场针对全球数十万台Fortinet防火墙的大规模凭证窃取行动,与两个勒索软件即服务团伙——INC Ransom和Lynx——存在直接关联。

SOCRadar威胁研究部门报告称,与FortiBleed基础设施关联的操作者被发现登录过INC Ransom和Lynx的谈判面板,且INC Ransom所列的受害者与FortiBleed活动的数据存在重叠。研究人员追踪到针对150多个国家约11250个FortiGate门户的扫描活动,随后确认409个目标获得管理员权限,354个组织被完全攻陷。其中至少12次勒索软件部署导致受影响组织内数百个终端被加密。
该行动针对全球超过43万台FortiGate防火墙,利用部署在受损设备上的自定义数据包嗅探工具收集了超过1.1亿个凭证。SOCRadar识别出超过200个此前未知的运行服务器,并发现该团伙约由20名成员组成,分工明确。
SOCRadar指出,工具、日志和工作时间表明,这是一个以初始访问经纪人身份活动的俄语威胁行为者。目标主要集中在拉丁美洲和亚太地区的制造业、技术和物流行业。
在攻击规模明朗后,美国网络安全和基础设施安全局曾敦促各组织重置所有管理及VPN凭证、启用多因素认证并限制管理接口访问。
SOCRadar还发现,攻击者至少掌握一个Nextcloud的零日漏洞,并已收集了约29000个与Citrix环境相关的IP地址,表明行动可能不限于Fortinet设备。研究人员认为,Lynx是INC Ransom的改头换面,后者自2023年年中以来一直以医疗、教育和政府部门为目标。
“考虑到其基础设施的复杂性以及攻击者针对Fortinet设备自动化凭证收集的熟练程度,使用互联网暴露的Citrix基础设施的组织应将此视为早期预警。” SOCRadar首席信息安全官Ensar Seker对The Hacker News表示。
免费获取企业 AI 成熟度诊断报告,发现转型机会
关注公众号

扫码关注,获取最新 AI 资讯
3 步完成企业诊断,获取专属转型建议
已有 200+ 企业完成诊断