https://www.cotillon-de-fete.fr/bonus-casino-acceptant-les-joueurs-belges/
Monday, July 6, 2026

Robo de credenciales de FortiBleed vinculado a operaciones de INC y Lynx Ransomware

TecnologíaRobo de credenciales de FortiBleed vinculado a operaciones de INC y Lynx Ransomware

Los recientemente descubiertos con motivación financiera FortiBleed La campaña se ha atribuido a las operaciones de ransomware INC y Lynx, lo que indica que las credenciales robadas y verificadas estaban destinadas a intrusiones posteriores.

“Se encontró que un operador vinculado a la infraestructura de FortiBleed trabajaba activamente en paneles de negociación para ambos grupos, vinculando el robo masivo de credenciales de FortiGate directamente con la implementación de ransomware por primera vez”, dijo SOCRadar en un nuevo informe publicado el miércoles.

La compañía dijo que rastreó la actividad de escaneo en aproximadamente 11,250 portales FortiGate en más de 150 países, seguido del acceso confirmado a nivel de administrador en 409 objetivos y la finalización exitosa de la cadena de ataque completa en 354 de ellos. En total, al menos 12 implementaciones de ransomware han resultado de este acceso, lo que ha provocado que se cifren cientos de puntos finales en las organizaciones afectadas.

La operación de recolección de credenciales a gran escala, que salió a la luz el mes pasado, involucró a los actores de amenazas escaneando sistemáticamente Internet en busca de dispositivos Fortinet expuestos, intentando ingresar a ellos usando combinaciones de credenciales conocidas y luego implementando rastreadores de paquetes personalizados para recopilar pasivamente credenciales y otros datos de autenticación del tráfico de la red.

Se estima que la campaña se dirigió a 430.000 firewalls FortiGate en todo el mundo, reuniendo más de 110 millones de credenciales en el proceso. La actividad quedó expuesta después de que un error de seguridad operativo por parte de los atacantes dejara un servidor que contenía credenciales robadas de miles de dispositivos Fortinet expuestos en Internet.

Se estima que el rastreador Golang se instaló en unos 12.000 dispositivos Fortinet, lo que lo convierte en un subconjunto del número total de equipos de red objetivo.

Los últimos hallazgos de SOCRadar muestran que se encontró que un operador con acceso a la infraestructura de FortiBleed inició sesión en los paneles de negociación de INC Ransom y Lynx, y las víctimas enumeradas por INC Ransom se superponen con los datos de la campaña. Los enlaces se basan en uno de los 200 servidores recientemente descubiertos asociados con la infraestructura FortiBleed que otorga visibilidad a archivos internos, registros y documentación operativa.

Ensar Seker, director de seguridad de la información de SOCRadar, dijo a The Hacker News por correo electrónico que el servidor expuesto funcionaba como un servidor de preparación y coordinación operativa, y no se utilizaba para phishing o recopilación activa de credenciales.

“Contenía inventarios de objetivos, datos recopilados, scripts de automatización, archivos de configuración y artefactos operativos que indican que se utilizó para coordinar la recolección de credenciales a gran escala contra dispositivos de red conectados a Internet”, dijo Seker. “En otras palabras, sirvió como parte de la infraestructura backend de los atacantes en lugar de la infraestructura con la que las víctimas interactuaban directamente”.

Las herramientas, los registros y las horas de trabajo indican que la actividad es obra de un actor de amenazas de habla rusa que probablemente opera como intermediario de acceso inicial. Gran parte de la focalización se ha centrado en los sectores de manufactura, tecnología y logística en América Latina y las regiones de Asia Pacífico.

SOCRadar también dijo que descubrió un documento interno que indica que se trata de una operación organizada que comprende a unas 20 personas con una clara división del trabajo. “Un pequeño núcleo de operadores líderes impulsa la mayoría de las intrusiones de alto impacto, respaldados por especialistas y personal de apoyo”, añadió.

Además, se cree que los actores de amenazas poseen al menos una vulnerabilidad de día cero en Nextcloud. La firma de inteligencia de amenazas dijo que está coordinando activamente con el proveedor afectado.

La compañía con sede en Delaware dijo que también identificó artefactos relacionados con Citrix que indican que la actividad probablemente esté dirigida más allá de los dispositivos Fortinet. La infraestructura identificada incluía una lista de objetivos dedicada que contenía alrededor de 29.000 direcciones IP y 37 dominios asociados con entornos Citrix. Esto sugiere que el flujo de trabajo automatizado puede reutilizarse para otras tecnologías de acceso remoto.

“En esta etapa, la presencia de estas listas de objetivos no prueba de manera concluyente que la recolección de credenciales contra dispositivos Citrix ya haya ocurrido a escala”, explicó Seker. “Más bien, demuestra un claro reconocimiento y preparación de objetivos”.

“Sin embargo, dada la sofisticación de la infraestructura y la capacidad comprobada de los operadores para automatizar la recopilación de credenciales contra dispositivos Fortinet, las organizaciones que utilizan la infraestructura Citrix con acceso a Internet deben tratar esto como una alerta temprana y verificar los registros de autenticación, rotar las credenciales expuestas cuando corresponda, aplicar MFA y monitorear la actividad de inicio de sesión anómala”.

La divulgación se produce cuando eSentire dijo que observó actores de amenazas explotando una falla en Fortinet FortiClient EMS (CVE-2026-35616, puntuación CVSS: 9.1) para implementar un ladrón de información llamado EKZ Stealer contra un cliente en el sector de energía, servicios públicos y residuos con el objetivo final de recolectar credenciales de navegadores basados ​​en Chromium y Firefox y exfiltrarlas a través de PowerShell.

Artículos más populares