// CLUBIC — CYBERSECURITY
FortiBleed : la piste ransomware se précise derrière le casse géant d’identifiants Fortinet
Déjà associée à une fuite massive d’accès VPN et administrateur Fortinet, la campagne FortiBleed serait en partie liée au gang de ransomware INC / Lynx. De quoi renforcer les craintes autour d’intrusions préparées à grande échelle.
Nouveau rebondissement dans l’affaire FortiBleed. Après la découverte d’une base de données centralisant des dizaines de milliers d’identifiants Fortinet compromis, puis les révélations concernant le détournement d’une fonction légitime de FortiOS pour transformer les pare-feu FortiGate en postes d’écoute réseau, SOCRadar affirme désormais avoir trouvé un lien direct entre l’infrastructure de la campagne et l’univers du ransomware. Les chercheurs ne décrivent pas un simple stock d’identifiants dans lequel des cybercriminels seraient venus se servir, mais un chevauchement opérationnel entre FortiBleed et des acteurs associés au groupe INC / Lynx.
D’après les éléments transmis à BleepingComputer, SOCRadar aurait identifié un serveur Windows utilisé dans l’infrastructure FortiBleed. Son analyse aurait permis de retrouver des traces d’accès aux panneaux de négociation de l’écosystème INC / Lynx, ces interfaces utilisées par les attaquants pour dialoguer avec leurs victimes, fixer les montants réclamés et gérer les menaces de publication de données.
En clair, au moins un opérateur lié à l’infrastructure FortiBleed aurait aussi eu accès aux outils internes du gang de ransomware. Une piste d’autant plus sérieuse que SOCRadar dit également avoir relevé des recoupements entre des données collectées via FortiBleed et des victimes ou cibles déjà liées à des opérations d’INC, sans pour autant attribuer l’intégralité de la campagne actuelle à INC / Lynx.
Pour rappel, INC Ransom est actif depuis mi-2023 dans le milieu du ransomware-as-a-service. Lynx, apparu mi-2024, est de son côté souvent présenté comme une évolution ou un changement de nom d’INC, plutôt que comme un groupe entièrement distinct. Les deux noms sont associés à des campagnes d’extorsion contre des organisations publiques et privées, notamment dans la santé, l’éducation, l’administration et les services.
En marge de cette découverte, les chercheurs de SOCRadar ont également revu leurs chiffres à la hausse. FortiBleed aurait ainsi visé plus de 430 000 pare-feu FortiGate dans le monde et permis de déployer des outils d’écoute réseau sur environ 19 000 équipements. Après notification des organisations concernées, ce volume serait redescendu autour de 11 000 appareils encore compromis.
L’infrastructure des attaquants serait elle aussi plus étendue que prévu. SOCRadar dit avoir identifié plus de 200 serveurs opérationnels supplémentaires, portant le total observé autour de 500 serveurs utilisés par l’opération. Les chercheurs évoquent également une organisation d’environ 20 personnes, avec des rôles définis, ce qui renforce l’idée d’une campagne structurée.
Enfin, SOCRadar dit avoir retrouvé des comptes persistants utilisant le nom « adminin » sur des systèmes compromis. Les attaquants auraient ainsi conservé des accès de secours pour revenir dans certains environnements après la compromission initiale. Les chercheurs évoquent aussi l’exploitation possible d’une faille zero-day Nextcloud pour étendre certains accès, mais les détails techniques n’ont pas encore été publiés.
Pour les entreprises équipées de pare-feu FortiGate, il ne suffit donc plus de réinitialiser les mots de passe exposés. Il faut aussi rechercher d’éventuels comptes inconnus, désactiver les interfaces d’administration accessibles depuis Internet quand elles ne sont pas nécessaires, restreindre les accès restants aux seules adresses IP de confiance, vérifier les journaux FortiGate, VPN, SSH et Active Directory, examiner les exports de configuration, les règles modifiées, les connexions inhabituelles et les traces de rebond vers des services internes.