SOCRadar hatte FortiBleed Mitte Juni öffentlich gemacht. Die Kampagne richtet sich gegen FortiGate-Firewalls und setzte laut den Forschern auf den Sniffer FortigateSniffer, um Authentifizierungsdaten aus dem Netzwerkverkehr auszuleiten. Ziel sei es gewesen, Klartext-Zugangsdaten und Passwort-Hashes zu sammeln, um später in die betroffenen Umgebungen einzudringen.

Nach Einschätzung von SOCRadar steckt wahrscheinlich ein russischer Initial Access Broker hinter der Operation. Dessen Ziel sei es, Zugang zu Active-Directory-Domänen zu erhalten, sensible Informationen zu stehlen und dauerhaften Zugriff aufzubauen. Interne Nachverfolgungsunterlagen, die SOCRadar auswerten konnte, deuten darauf hin, dass an FortiBleed rund 20 Personen beteiligt sind. Ein Teil davon konzentriere sich auf besonders folgenreiche Einbrüche, andere übernähmen technische Unterstützung.

Neue Beobachtungen des Unternehmens legen nahe, dass die Kampagne inzwischen direkt in Ransomware-Angriffe mündet. SOCRadar registrierte Scan-Aktivitäten gegen rund 11.250 FortiGate-Portale; auf 409 Zielen hätten sich die Angreifer Administratorzugriff verschafft. Bei 354 Zielen sei die vollständige Angriffskette durchlaufen worden, darunter die Kompromittierung von VPNs, der Zugriff auf den Domain Controller und die Erlangung von Domain-Admin-Rechten.

In 12 dieser Fälle kam es laut SOCRadar zur Ausbringung von Ransomware. Dabei seien in den betroffenen Organisationen Hunderte Endpunkte verschlüsselt worden. Als eingesetzte Familien nennt der Bericht INC Ransom und Lynx.

Den Zusammenhang zwischen FortiBleed und diesen Ransomware-Operationen begründet SOCRadar mit mehreren Beobachtungen. Ein Fehler in der operativen Sicherheit der Angreifer verschaffte dem Unternehmen Einblick in deren Umgebung sowie Zugriff auf interne Dateien, Protokolle und Dokumentation. Dort sah SOCRadar unter anderem einen Operator, der sowohl in das Verhandlungspanel von INC Ransom als auch in das von Lynx eingeloggt war.

Hinzu kommen laut SOCRadar Überschneidungen zwischen FortiBleed-Opfern und INC-Zielen. Das bestätige, dass dieselben Organisationen in beiden Operationen angegriffen wurden. Wörtlich wertet das Unternehmen den Fund eines einzelnen Operators, der beide Panels bediene und dabei Infrastruktur nutze, die sich zu FortiBleed zurückverfolgen lasse, als bislang klarsten Beleg dafür, dass über diese Kampagne abgegriffene FortiGate-Zugangsdaten weitergereicht oder unmittelbar für Ransomware-Einsätze verwendet werden.

SOCRadar ordnet FortiBleed deshalb nicht als isolierte Diebstahlkampagne für Zugangsdaten ein, sondern als Teil der Ransomware-Ökonomie. Die Infrastruktur des Access Brokers, die Authentifizierungsverkehr über Hunderttausende Firewalls hinweg heimlich abgefangen habe, sei über einen gemeinsamen Operator mit zwei derzeit aktiven Ransomware-Marken verbunden.

INC Ransom trat laut dem Bericht Mitte 2023 auf und zählt zu den produktivsten Ransomware-as-a-Service-Operationen. Lynx wurde demnach wahrscheinlich ein Jahr später als aktualisierte Variante veröffentlicht.