Hackers afectaron a medio mundo, pero un servidor expuesto los delató: responsables de FortiBleed identificados

Hackers afectaron a medio mundo, pero un servidor expuesto los delató: responsables de FortiBleed identificados

Los indicios en la infraestructura resultaron más reveladores que la propia operación.

image

En la reciente operación maliciosa de alto perfil FortiBleed aparecieron nuevos detalles: los investigadores vincularon la campaña no solo con la recopilación masiva de contraseñas, sino con el grupo de extorsionadores Lynx / INC, también conocido como INC Ransom.

Según SOCRadar, los operadores de la campaña dejaron un servidor de trabajo abierto, donde se almacenaban archivos relacionados con su infraestructura. El análisis de esos datos permitió a SOCRadar ampliar la imagen de la operación: se trata de 86 644 dispositivos FortiGate comprometidos, más de 80 000 direcciones IP únicas, 22 405 dominios y 194 países.

Antes, en torno a FortiBleed la cuestión principal era la magnitud de la filtración y la forma en que se accedió a los dispositivos Fortinet. La nueva actualización añade a este panorama un posible autor. Lynx / INC funciona como grupo de extorsionadores y, según SOCRadar, desde 2023 ataca redes corporativas en salud, educación, sector público e industria, principalmente en Norteamérica y Europa.

El esquema FortiBleed no se basó en una vulnerabilidad nueva e inédita. Los operadores tomaban contraseñas de filtraciones anteriores y de registros de programas 'infostealer', luego las comprobaban automáticamente en dispositivos FortiGate accesibles desde internet. Tras acceder, el gateway comprometido se convertía en un punto de escucha del tráfico SSL VPN y ayudaba a recopilar nuevas credenciales.

SOCRadar presta especial atención a que la actualización del firmware por sí sola no cerró el problema para muchas organizaciones. Si la contraseña ya había llegado a los atacantes y no se cambió tras el incidente anterior, el dispositivo seguía siendo vulnerable a un nuevo acceso. En la base también aparecían cuentas administrativas y de sistema típicas de Fortinet, lo que indica una débil higiene de contraseñas en parte de las víctimas.

Entre los sectores afectados los investigadores destacan telecomunicaciones, organismos estatales, bancos, hospitales, universidades, empresas energéticas y grandes empresas. En el conjunto se encontraron 591 registros relacionados con 111 dominios gubernamentales, y el sector de telecomunicaciones aportó 5 616 registros.

A las organizaciones con FortiGate y SSL VPN se les recomienda cambiar de inmediato las contraseñas de administradores y de usuarios VPN, activar la autenticación de dos factores, revisar los registros de accesos, cerrar el acceso externo al panel de administración y actualizar el firmware. Si un dispositivo se encuentra en el conjunto FortiBleed, SOCRadar aconseja considerar el perímetro ya comprometido e iniciar la gestión del incidente.