
แคมเปญขโมยข้อมูล Credentials อย่าง FortiBleed ได้ถูกเชื่อมโยงเข้ากับปฏิบัติการเรียกค่าไถ่ของกลุ่ม INC และ Lynx Ransomware ซึ่งบ่งชี้ว่า Credentials ของ Fortinet ที่ถูกขโมยไปนั้นมีวัตถุประสงค์เพื่อใช้เป็นช่องทางในการโจมตีเพื่อเข้าถึงเครือข่ายในอนาคต
ก่อนหน้านี้มีการค้นพบเซิร์ฟเวอร์เครื่องหนึ่งที่มีข้อมูล Credentials ที่ถูกขโมยจากอุปกรณ์ของ Fortinet มากกว่า 73,000 เครื่องเปิดทิ้งไว้บนอินเทอร์เน็ต โดยนักวิจัยพบว่าเซิร์ฟเวอร์ดังกล่าวมีทั้งไฟล์ Configuration ของ FortiGate ที่ถูกดาวน์โหลดออกมา Credentials ที่เก็บรวบรวมมาจากอุปกรณ์ที่ถูกโจมตี และโครงสร้างพื้นฐานที่ใช้ในการถอดรหัส password hashes รวมถึงการโจมตีแบบ Credential-stuffing
โดยแคมเปญดังกล่าวถูกตั้งชื่อว่า "FortiBleed" เนื่องจากมี Credentials จำนวนมากที่ถูกเปิดเผย และเป็นการขโมยข้อมูล Credentials ครั้งใหญ่
จากการสืบสวนของ SOCRadar เผยให้เห็นว่าแคมเปญ FortiBleed ใช้เครื่องมือ packet-sniffing tool ที่เรียกว่า "FortiGate Sniffer" บน FortiGate Firewall ที่ถูกโจมตี ซึ่งช่วยให้ Hacker สามารถดักจับ VPN Credentials และข้อมูลการยืนยันตัวตนอื่น ๆ ได้โดยตรงจาก network traffic
งานวิจัยล่าสุดจากหน่วยวิจัยภัยคุกคามของ SOCRadar (STRU) ได้เชื่อมโยงแคมเปญการขโมย Credentials นี้เข้ากับกลุ่ม Ransomware-as-a-service (RaaS) อย่าง INC และ Lynx โดยตรง
นักวิจัยเปิดเผยกับ BleepingComputer ว่า พวกเขาพบความเชื่อมโยงนี้หลังจากระบุตัวตนของเซิร์ฟเวอร์ Windows เครื่องหนึ่งที่ถูกใช้เป็นส่วนหนึ่งของโครงสร้างพื้นฐานในแคมเปญ FortiBleed
SOCRadar ได้แชร์ภาพ screenshots ให้กับ BleepingComputer ซึ่งแสดงให้เห็นถึงการใช้งานเบราว์เซอร์ในการเข้าถึง administration panels ของกลุ่ม Ransomware ทั้งสองกลุ่ม โดยภาพดังกล่าวแสดงให้เห็นหน้าแดชบอร์ดสำหรับการเจรจาที่มีข้อความแชตกับเหยื่อในระหว่างการเรียกค่าไถ่
จากข้อมูลของนักวิจัย นี่ถือเป็นหลักฐานโดยตรงที่แสดงว่า บุคคลที่มีสิทธิ์เข้าถึงโครงสร้างพื้นฐานของ FortiBleed นั้น มีส่วนเกี่ยวข้องกับแพลตฟอร์มการเจรจาของกลุ่ม INC และ Lynx Ransomware
บริษัทระบุเพิ่มเติมว่า สามารถระบุตัวตนของเซิร์ฟเวอร์ปฏิบัติการเพิ่มเติมได้อีกมากกว่า 200 เครื่อง นอกเหนือจากเซิร์ฟเวอร์ที่ถูกเชื่อมโยงกับแคมเปญนี้ในตอนแรก อีกทั้งยังพบข้อมูลของเหยื่อที่ถูกรวบรวมระหว่างปฏิบัติการ FortiBleed ที่มีความซ้ำซ้อนกับองค์กรที่มีรายชื่อปรากฏบนเว็บไซต์เปิดเผยข้อมูลที่รั่วไหลของ INC Ransomware ในภายหลัง และพบหลักฐานที่แสดงให้เห็นว่า แคมเปญ FortiBleed มีสมาชิกประมาณ 20 คนที่มีการแบ่งบทบาทหน้าที่อย่างชัดเจน
SOCRadar ยังระบุด้วยว่า แคมเปญ FortiBleed มีขนาดใหญ่กว่าที่ประเมินไว้ในตอนแรกมาก
จากข้อมูลของนักวิจัย แคมเปญ FortiBleed มีเป้าหมายเป็น FortiGate Firewall มากกว่า 430,000 เครื่องทั่วโลก และได้ติดตั้งเครื่องมือดักจับทราฟฟิก (Traffic Sniffers) บนอุปกรณ์ประมาณ 19,000 เครื่อง
หลังจากมีการแจ้งเตือนไปยังองค์กรที่ได้รับผลกระทบ ตัวเลขดังกล่าวได้ลดลงเหลืออุปกรณ์ที่ถูกโจมตีประมาณ 11,000 เครื่อง นอกจากนี้นักวิจัยระบุว่า พวกเขาสามารถระบุเซิร์ฟเวอร์ที่ปฏิบัติการนี้ใช้งานได้ราว ๆ 500 เครื่อง
นักวิจัยยังเชื่ออีกว่า Hacker ได้ใช้ประโยชน์จากช่องโหว่ Zero-Day บน Nextcloud ที่ยังไม่มีการเปิดเผยข้อมูล ซึ่งเป็นส่วนหนึ่งของการโจมตีเพื่อขยายสิทธิ์การเข้าถึงหลังจากสามารถเจาะระบบเข้ามาได้ในขั้นแรก อย่างไรก็ตาม รายละเอียดทางเทคนิคยังไม่มีการเปิดเผยในขณะนี้
SOCRadar ยังให้ข้อมูลเพิ่มเติมกับ BleepingComputer ว่า พบบัญชี Backdoor ที่ฝังตัวอยู่โดยใช้ชื่อ "adminin" บนระบบที่ถูกโจมตี และกำลังพยายามในการกู้คืน Decryption Keys ของ Ransomware
INC Ransomware ได้ดำเนินงานในรูปแบบแพลตฟอร์ม Ransomware-as-a-service มาตั้งแต่ช่วงกลางปี 2023 โดยมุ่งเป้าไปที่องค์กรในภาคส่วนสาธารณสุข, การศึกษา, รัฐบาล และภาคส่วนอื่น ๆ ทั่วโลก
Lynx Ransomware เริ่มปรากฏตัวในช่วงกลางปี 2024 โดยนักวิจัยความมั่นคงปลอดภัยเชื่อว่าเป็นการเปลี่ยนชื่อแบรนด์ของกลุ่ม INC Ransomware มากกว่าที่จะเป็นกลุ่ม Ransomware กลุ่มใหม่
SOCRadar ระบุว่า เอกสารรายงานทางเทคนิคฉบับที่สองซึ่งจะประกอบไปด้วย ข้อมูล IoC (Indicators of Compromise), หลักฐานการระบุตัวตนผู้กระทำผิด และผลวิเคราะห์ทางเทคนิคเพิ่มเติม จะถูกเผยแพร่ออกมาเมื่อการสืบสวนเสร็จสิ้น
ที่มา : Bleepingcomputer

You must be logged in to post a comment.