Shutter2U - stock.adobe.com

FortiBleed : une campagne d'ampleur au service de la triade d'INC Ransom

La campagne d'établissement d'accès initiaux à grande échelle dite FortiBleed était l'oeuvre d'un courtier spécialisé, apparemment au service du cartel cybercriminel caché derrière les enseignes INC Ransom et Lynx.

La campagne FortiBleed est une opération de récolte d'identifiants à grande échelle, ciblant les appliances Fortinet, Sophos et les instances MSSQL. Selon SOCRadar, cette opération, menée par un courtier en accès initial (IAB), a visé plus de 430 000 pare-feu FortiGate à travers le monde.

L'acteur malveillant utilise une méthodologie de reconnaissance étendue, combinant balayage actif et passif. Des outils comme Masscan et Shodan_Recon permettent d'extraire des métadonnées des certificats SSL. Pour affiner le ciblage, l'outil FortiProbe-fast classe les systèmes, réduisant l'univers des cibles avant l'application de tests de force brute.

L'accès initial est obtenu par plusieurs voies : des attaques par force brute SSH utilisant des listes de mots de passe spécifiques, et le credential stuffing sur les portails SSLVPN et les interfaces web. Une fois l'accès SSH établi, l'outil central de la campagne, FortigateSniffer, est déployé. Développé en Golang, cet outil exploite la commande diagnostique intégrée de FortiOS pour capturer passivement le trafic d'authentification sur 24 protocoles différents, incluant RADIUS, NTLM, Kerberos et LDAP.

L'opération post-exploitation : sophistication et infrastructure

Les données récoltées par FortigateSniffer sont transformées en renseignements exploitables par un processus sophistiqué. Le travail commence par le cassage distribué des hachages (NTLM, Kerberos) sur un cluster GPU, géré via des plateformes de location à faible coût.

Une fois les identifiants convertis en clair, l'acteur procède au déplacement latéral. Des scripts Python sont utilisés pour l'énumération approfondie d'Active Directory, identifiant les membres du groupe Domain Admins et les vecteurs d'escalade de privilèges. L'expansion interne est complétée par des outils de validation SMB et d’énumération de partage.

L'infrastructure opérationnelle est segmentée et résiliente. Le cœur de l'opération repose sur un laboratoire offensif isolé, hébergé sur un serveur hôte utilisant QEMU/KVM. L'architecture de commande et de contrôle (C2) est distribuée sur plusieurs blocs de sous-réseaux, conférant à l'opération une capacité d'échelle importante.

Le lien entre FortiBleed et l'économie du rançongiciel

L'unité de recherche sur les menaces (STRU) de SOCRadar a établi un lien direct entre la campagne FortiBleed et deux opérations de rançongiciel actives : INC Ransom et Lynx.

Cette connexion s'est matérialisée lorsque la STRU a identifié un opérateur ayant accès à l'infrastructure de FortiBleed, et qui était simultanément connecté aux panneaux de négociation d'INC Ransom et de Lynx. Ce fait constitue la preuve la plus claire que les identifiants récoltés via FortiBleed sont directement utilisés pour le déploiement de rançongiciels.

Ce lien est corroboré par le chevauchement des victimes. La comparaison des données de l'infrastructure FortiBleed avec un répertoire ouvert lié à INC Ransom a révélé des organisations communes, confirmant que la même entité suivait à la fois la récolte d'accès et l'attaque par rançongiciel. L'opération est structurée, impliquant environ 20 personnes avec une division claire des tâches, selon la STRU.

Les liens entre INC Ransom et Lynx ont été largement documentés, les deux enseignes n'étant vraisemblablement que deux faces d'un cartel plus large. Car il faut compter avec Sinobi, qui présente des similarités de code et d'infrastructure avec Lynx et INC. Un indice majeur est que ces trois marques partagent des éléments d'infrastructure directement accessibles sur Internet.

Et à cela s'ajoute Safepay. Fin avril, nous comptions 33 victimes revendiquées chez INC Ransom et Lynx vraisemblablement imputables au même acteur, 25 à un second ayant officié pour INC et Safepay, 10 à un troisième lié à ces deux mêmes marques, et 3 à un quatrième, impliquant INC et Lynx. Le second acteur avait alors déjà publié 18 revendications chez INC Ransom et 7 chez Safepay. Ses activités avec ces enseignes avaient commencé à l’automne dernier et apparaissaient se poursuivre encore au printemps. 

Pour approfondir sur Menaces, Ransomwares, DDoS