详细内容或原文请订阅后点击阅览
430,000 个 FortiGate 设备在 FortiBleed 勒索软件链接中暴露
FortiBleed 暴露了 430,000 个 FortiGate 防火墙,这些防火墙链接到 INC Ransom 和 Lynx,导致域泄露和至少 12 次勒索软件攻击。 SOCRadar 的威胁研究部门已将 FortiBleed(一项从全球超过 430,000 个 FortiGate 防火墙获取凭据的大规模活动)直接与两个活跃的勒索软件操作:INC Ransom 和 Lynx 连接起来。该链接不是偶然的。运算符 [...]
来源:Security Affairs _恶意软件430,000 个 FortiGate 设备在 FortiBleed 勒索软件链接中暴露
FortiBleed 暴露了 430,000 个 FortiGate 防火墙,这些防火墙链接到 INC Ransom 和 Lynx,导致域泄露和至少 12 次勒索软件攻击。
SOCRadar 的威胁研究部门已将 FortiBleed(一项从全球超过 430,000 个 FortiGate 防火墙获取凭据的大规模活动)直接与两个活跃的勒索软件操作:INC Ransom 和 Lynx 连接起来。该链接不是偶然的。我们发现一名能够访问 FortiBleed 自身基础设施的操作员主动登录两个勒索软件组织的谈判小组,实时处理勒索要求。
自 SOCRadar 发布第一份报告以来,FortiBleed 已被记录。该操作使用了一个用 Go 编写的名为 FortigateSniffer 的自定义工具,该工具通过滥用 FortiOS 自己的跨二十多个协议的内置数据包诊断命令来被动拦截身份验证流量。
攻击者永远不会向防火墙发送恶意负载。他们只是监听设备自身生成的流量。这是一种大规模收集凭证的安静方式,并且已在 150 多个国家/地区运行。
初步披露后,SOCRadar 继续使用 Shodan、Censys、Validin 及其自己的扫描来绘制该活动的地图。这项工作在原始数据集之外发现了大约 200 个额外的操作服务器,这些服务器是第一次调查中未出现的凭证嗅探器和网络扫描器的组合。正如 SORadar 报告所述:
“在扩展的基础设施中,STRU 跟踪了 150 多个国家/地区约 11,250 个 FortiGate 门户的扫描活动,并确认了 409 个目标的管理员级别访问权限。”阅读 SocRadar 发布的报告。 “在其中 354 个攻击中,攻击者完成了完整的攻击链:VPN 入侵、访问域控制器和域管理员。STRU 已确认至少有 12 个勒索软件部署源于此访问,受影响组织的数百个端点已加密。”
皮尔路易吉·帕格尼尼
