Chiến dịch FortiBleed: Đánh cắp hàng triệu thông tin xác thực, liên đới tới các nhóm ransomware khét tiếng
Chiến dịch FortiBleed đã thu thập hơn 110 triệu thông tin xác thực từ các thiết bị FortiGate, tạo tiền đề cho các cuộc tấn công ransomware từ các nhóm INC và...
Chiến dịch tấn công mạng mang tên FortiBleed, vốn gây chấn động vào tháng trước do quy mô đánh cắp thông tin xác thực khổng lồ, vừa được các chuyên gia bảo mật tại SOCRadar xác nhận có mối liên hệ trực tiếp với các nhóm ransomware INC và Lynx.
Theo báo cáo mới nhất, các đối tượng tấn công đã khai thác lỗ hổng trên các thiết bị FortiGate để thu thập thông tin xác thực, sau đó sử dụng chúng làm bàn đạp cho các cuộc xâm nhập sâu hơn. Đây là lần đầu tiên các nhà nghiên cứu tìm thấy bằng chứng kết nối trực tiếp giữa việc đánh cắp thông tin hàng loạt trên FortiGate và quá trình triển khai ransomware thực tế.
Quy mô tấn công đáng báo động
Dữ liệu từ SOCRadar cho thấy chiến dịch này đã quét qua khoảng 430.000 thiết bị tường lửa FortiGate trên toàn cầu, thu thập hơn 110 triệu thông tin xác thực. Các đối tượng tấn công đã cài đặt các công cụ packet sniffer tùy chỉnh (viết bằng ngôn ngữ Golang) trên khoảng 12.000 thiết bị để âm thầm thu thập dữ liệu xác thực từ lưu lượng mạng.
Kết quả từ các hoạt động này bao gồm:
- Truy cập cấp quản trị (admin-level) thành công trên 409 mục tiêu.
- Hoàn tất chuỗi tấn công hoàn chỉnh trên 354 mục tiêu.
- Ít nhất 12 vụ triển khai ransomware đã được ghi nhận, gây mã hóa dữ liệu trên hàng trăm endpoint.
Mối liên hệ với các nhóm Ransomware
Các nhà nghiên cứu phát hiện một đối tượng vận hành hạ tầng FortiBleed cũng đồng thời quản lý các bảng điều khiển đàm phán của cả hai nhóm INC Ransom và Lynx. Sự trùng lặp về danh sách nạn nhân giữa các nhóm này và dữ liệu thu thập được từ hạ tầng FortiBleed đã củng cố giả thuyết về một mạng lưới tội phạm có tổ chức. Nhóm này được cho là bao gồm khoảng 20 thành viên với sự phân công lao động rõ ràng, tập trung vào các lĩnh vực sản xuất, công nghệ và logistics tại khu vực Mỹ Latinh và châu Á – Thái Bình Dương.
Cảnh báo về lỗ hổng Zero-day
Bên cạnh FortiBleed, các nhà nghiên cứu cũng cảnh báo rằng nhóm tội phạm này đang nắm giữ ít nhất một lỗ hổng zero-day liên quan đến Nextcloud. Hiện tại, các đơn vị bảo mật đang phối hợp chặt chẽ với nhà cung cấp để xử lý vấn đề.
Trong một diễn biến khác, eSentire cũng ghi nhận các cuộc tấn công khai thác lỗ hổng CVE-2026-35616 (điểm CVSS 9.1) trên Fortinet FortiClient EMS để triển khai mã độc đánh cắp thông tin (info-stealer) nhằm thu thập dữ liệu từ trình duyệt web. Điều này cho thấy các thiết bị của Fortinet đang trở thành mục tiêu ưu tiên hàng đầu của nhiều chiến dịch tấn công mạng phức tạp hiện nay.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.