Robo de credenciales de FortiBleed vinculado a operaciones de INC y Lynx Ransomware

Ravie Lakshmanan02 de julio de 2026Seguridad de red/ransomware

Los recientemente descubiertos con motivación financiera FortiBleed La campaña se ha atribuido a las operaciones de ransomware INC y Lynx, lo que indica que las credenciales robadas y verificadas estaban destinadas a intrusiones posteriores.

«Se encontró que un operador vinculado a la infraestructura de FortiBleed trabajaba activamente en paneles de negociación para ambos grupos, vinculando el robo masivo de credenciales de FortiGate directamente con la implementación de ransomware por primera vez», SOCRadar dicho en un nuevo informe publicado el miércoles.

La compañía dijo que rastreó la actividad de escaneo en aproximadamente 11,250 portales FortiGate en más de 150 países, seguido del acceso confirmado a nivel de administrador en 409 objetivos y la finalización exitosa de la cadena de ataque completa en 354 de ellos. En total, al menos 12 implementaciones de ransomware han resultado de este acceso, lo que ha provocado que se cifren cientos de puntos finales en las organizaciones afectadas.

Ciberseguridad

La operación de recolección de credenciales a gran escala, que salió a la luz el mes pasado, involucró a los actores de amenazas escaneando sistemáticamente Internet en busca de dispositivos Fortinet expuestos, intentando ingresar a ellos usando combinaciones de credenciales conocidas y luego implementando rastreadores de paquetes personalizados para recopilar pasivamente credenciales y otros datos de autenticación del tráfico de la red.

Se estima que la campaña se dirigió a 430.000 firewalls FortiGate en todo el mundo, reuniendo más de 110 millones de credenciales en el proceso. La actividad quedó expuesta después de que un error de seguridad operativo por parte de los atacantes dejara un servidor que contenía credenciales robadas de miles de dispositivos Fortinet expuestos en Internet.

Se estima que el rastreador Golang se instaló en unos 12.000 dispositivos Fortinet, lo que lo convierte en un subconjunto del número total de equipos de red objetivo.

Los últimos hallazgos de SOCRadar muestran que se encontró que un operador con acceso a la infraestructura de FortiBleed inició sesión en los paneles de negociación de INC Ransom y Lynx, y las víctimas enumeradas por INC Ransom se superponen con los datos de la campaña. Los enlaces se basan en uno de los 200 servidores recientemente descubiertos asociados con la infraestructura FortiBleed que otorga visibilidad a archivos internos, registros y documentación operativa.

Las herramientas, los registros y las horas de trabajo indican que la actividad es obra de un actor de amenazas de habla rusa que probablemente opera como intermediario de acceso inicial. Gran parte de la focalización se ha centrado en los sectores de manufactura, tecnología y logística en América Latina y las regiones de Asia Pacífico.

Ciberseguridad

SOCRadar también dijo que descubrió un documento interno que indica que se trata de una operación organizada que comprende a unas 20 personas con una clara división del trabajo. «Un pequeño núcleo de operadores líderes impulsa la mayoría de las intrusiones de alto impacto, respaldados por especialistas y personal de apoyo», añadió.

Además, se cree que los actores de amenazas poseen al menos una vulnerabilidad de día cero en Nextcloud. La firma de inteligencia de amenazas dijo que está coordinando activamente con el proveedor afectado.

La divulgación llega como eSentire dicho observó que los actores de amenazas explotaban una falla en Fortinet FortiClient EMS (CVE-2026-35616, puntuación CVSS: 9.1) para implementar un ladrón de información llamado EKZ Stealer contra un cliente en el sector de energía, servicios públicos y residuos con el objetivo final de recolectar credenciales de navegadores basados ​​en Chromium y Firefox y exfiltrarlas a través de PowerShell.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *