Campanha FortiBleed de roubo de credenciais é associada ao Lynx ransomware
Aprofundamento CEVIU
Aprofundamento
A campanha FortiBleed não é só um vazamento de credenciais, é uma operação de coleta em escala industrial com pipeline técnico definido: desde o brute-force automatizado contra mais de 430 mil FortiGate até a implantação do FortiGate Sniffer, ferramenta personalizada que captura credenciais em trânsito de 24 protocolos diferentes, incluindo SSL/TLS descriptografado via MITM no próprio firewall. O dado crítico agora confirmado pela SOCRadar é que essa infraestrutura alimentou diretamente negociações do Lynx ransomware, com provas concretas de sessões ativas nos painéis administrativos dos grupos INC e Lynx acessadas a partir de servidores do FortiBleed.
O uso suspeito de uma vulnerabilidade zero-day no Nextcloud para entrada inicial reforça um padrão já observado na cobertura CEVIU: invasores estão migrando de exploits públicos (como CVE-2022-42475) para vetores silenciosos e não divulgados, especialmente em softwares de colaboração expostos em ambientes corporativos. Isso torna a detecção mais difícil, e a resposta, mais lenta.
O que mudou
Na cobertura anterior, o FortiBleed era descrito como uma campanha de roubo de credenciais liderada por um broker russo (com conexão à operação Storming Tide), focada em força bruta e exploração de backdoors antigos. Agora, há confirmação técnica de que o mesmo grupo opera como braço de acesso inicial para o Lynx ransomware, e não apenas como fornecedor de credenciais. Também houve atualização quantitativa: de 86 mil credenciais válidas reportadas em 23/06, o número subiu para 430 mil firewalls alvo, com 19 mil efetivamente comprometidos com sniffer ativo. A ligação direta com painéis de negociação de resgate é nova e não constava nas edições anteriores.
Por que isso importa
Organizações com FortiGate expostos não enfrentam só risco de vazamento, enfrentam risco de invasão em cadeia: credencial capturada → acesso à rede interna → movimentação lateral → implantação de ransomware. E o Lynx não é um novo grupo: é uma rebranding do INC, ativo desde meados de 2023, com histórico de ataques a saúde, governo e educação. Se 11 mil dispositivos ainda estão comprometidos, isso significa que centenas de redes brasileiras podem estar sob observação ou já infiltradas, aguardando o momento da execução final.
Linha do tempo
Operação Storming Tide vincula ator russo Mora_001 a campanhas coordenadas contra dispositivos de perímetro
Descoberta do servidor com 73 mil credenciais de Fortinet expostas
FortiBleed confirmado em 86 mil credenciais válidas e 194 países
Revelação de que FortiBleed coletou 110 milhões de credenciais e usa FortiGate Sniffer em 24 protocolos
SOCRadar associa FortiBleed diretamente ao Lynx ransomware com evidências de acesso a painéis de negociação
Perguntas frequentes
O que é o FortiGate Sniffer e como ele difere de um sniffing comum?
É uma ferramenta personalizada implantada diretamente no firmware comprometido do FortiGate. Diferente de sniffers externos, ela opera no nível do kernel do dispositivo, capturando credenciais em tempo real de tráfego VPN, RADIUS, LDAP e outros 21 protocolos, inclusive dados criptografados que passam pelo firewall antes da descriptografia.
Por que o uso de uma vulnerabilidade zero-day no Nextcloud é preocupante?
Porque indica que os atacantes deixaram de depender só de senhas fracas ou exploits conhecidos. Um zero-day no Nextcloud permite acesso inicial silencioso a ambientes onde o software é usado para compartilhamento interno, muitas vezes sem registro de auditoria adequado ou integração com SIEM.
Qual é a relação entre Lynx e INC ransomware?
Segundo a SOCRadar, o Lynx é uma rebranding do INC, não um grupo independente. Ambos usam a mesma infraestrutura de negociação, e os mesmos operadores acessaram os painéis de ambos a partir de servidores do FortiBleed. Isso sugere uma única célula operacional com duas marcas.
O que fazer se minha organização usa FortiGate?
Verifique imediatamente se há contas 'adminin' persistentes, revise logs de autenticação para tentativas repetidas de login, busque por processos anômalos no CLI do dispositivo e atualize para a versão mais recente, mesmo que não tenha patch específico para o zero-day do Nextcloud, pois isso reduz superfície de ataque secundária.
Fontes
- bleepingcomputer.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 03 de julho de 2026
- Editoria
- CEVIU Segurança da Informação

