CEVIU Logo
Voltar
Campanha FortiBleed de roubo de credenciais é associada ao Lynx ransomware

Campanha FortiBleed de roubo de credenciais é associada ao Lynx ransomware

Aprofundamento CEVIU

Aprofundamento

A campanha FortiBleed não é só um vazamento de credenciais, é uma operação de coleta em escala industrial com pipeline técnico definido: desde o brute-force automatizado contra mais de 430 mil FortiGate até a implantação do FortiGate Sniffer, ferramenta personalizada que captura credenciais em trânsito de 24 protocolos diferentes, incluindo SSL/TLS descriptografado via MITM no próprio firewall. O dado crítico agora confirmado pela SOCRadar é que essa infraestrutura alimentou diretamente negociações do Lynx ransomware, com provas concretas de sessões ativas nos painéis administrativos dos grupos INC e Lynx acessadas a partir de servidores do FortiBleed.

O uso suspeito de uma vulnerabilidade zero-day no Nextcloud para entrada inicial reforça um padrão já observado na cobertura CEVIU: invasores estão migrando de exploits públicos (como CVE-2022-42475) para vetores silenciosos e não divulgados, especialmente em softwares de colaboração expostos em ambientes corporativos. Isso torna a detecção mais difícil, e a resposta, mais lenta.

O que mudou

Na cobertura anterior, o FortiBleed era descrito como uma campanha de roubo de credenciais liderada por um broker russo (com conexão à operação Storming Tide), focada em força bruta e exploração de backdoors antigos. Agora, há confirmação técnica de que o mesmo grupo opera como braço de acesso inicial para o Lynx ransomware, e não apenas como fornecedor de credenciais. Também houve atualização quantitativa: de 86 mil credenciais válidas reportadas em 23/06, o número subiu para 430 mil firewalls alvo, com 19 mil efetivamente comprometidos com sniffer ativo. A ligação direta com painéis de negociação de resgate é nova e não constava nas edições anteriores.

Por que isso importa

Organizações com FortiGate expostos não enfrentam só risco de vazamento, enfrentam risco de invasão em cadeia: credencial capturada → acesso à rede interna → movimentação lateral → implantação de ransomware. E o Lynx não é um novo grupo: é uma rebranding do INC, ativo desde meados de 2023, com histórico de ataques a saúde, governo e educação. Se 11 mil dispositivos ainda estão comprometidos, isso significa que centenas de redes brasileiras podem estar sob observação ou já infiltradas, aguardando o momento da execução final.

Linha do tempo

  1. Operação Storming Tide vincula ator russo Mora_001 a campanhas coordenadas contra dispositivos de perímetro

  2. Descoberta do servidor com 73 mil credenciais de Fortinet expostas

  3. FortiBleed confirmado em 86 mil credenciais válidas e 194 países

  4. Revelação de que FortiBleed coletou 110 milhões de credenciais e usa FortiGate Sniffer em 24 protocolos

  5. SOCRadar associa FortiBleed diretamente ao Lynx ransomware com evidências de acesso a painéis de negociação

Perguntas frequentes

O que é o FortiGate Sniffer e como ele difere de um sniffing comum?

É uma ferramenta personalizada implantada diretamente no firmware comprometido do FortiGate. Diferente de sniffers externos, ela opera no nível do kernel do dispositivo, capturando credenciais em tempo real de tráfego VPN, RADIUS, LDAP e outros 21 protocolos, inclusive dados criptografados que passam pelo firewall antes da descriptografia.

Por que o uso de uma vulnerabilidade zero-day no Nextcloud é preocupante?

Porque indica que os atacantes deixaram de depender só de senhas fracas ou exploits conhecidos. Um zero-day no Nextcloud permite acesso inicial silencioso a ambientes onde o software é usado para compartilhamento interno, muitas vezes sem registro de auditoria adequado ou integração com SIEM.

Qual é a relação entre Lynx e INC ransomware?

Segundo a SOCRadar, o Lynx é uma rebranding do INC, não um grupo independente. Ambos usam a mesma infraestrutura de negociação, e os mesmos operadores acessaram os painéis de ambos a partir de servidores do FortiBleed. Isso sugere uma única célula operacional com duas marcas.

O que fazer se minha organização usa FortiGate?

Verifique imediatamente se há contas 'adminin' persistentes, revise logs de autenticação para tentativas repetidas de login, busque por processos anômalos no CLI do dispositivo e atualize para a versão mais recente, mesmo que não tenha patch específico para o zero-day do Nextcloud, pois isso reduz superfície de ataque secundária.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
03 de julho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser