Nach Angaben von SOCRadar richtete sich die FortiBleed-Kampagne weltweit gegen 430.000 FortiGate-Geräte. Der Hersteller der Analyse sagt, der FortiBleed-Sniffer sei derzeit auf rund 12.000 FortiGate-Firewalls installiert. Frühere Untersuchungen hätten zudem gezeigt, dass die Initial-Access-Broker Zugriffsdaten für mehr als 30.000 Geräte besaßen.

Ausgangspunkt der neuen Erkenntnisse war laut SOCRadar eine „operative Sicherheitslücke“ in der Infrastruktur der Kampagne. Dadurch erhielten die Forscher Zugriff auf interne Dateien, Protokolle und operative Dokumentation der Gruppe. Neben der Aktivität des FortiBleed-Operators fand die Threat Research Unit von SOCRadar auch ein offenes Verzeichnis mit Bezug zu Inc, das Datensätze mit überschneidenden Opfern enthielt.

Hinzu kam ein internes Tracking-Dokument mit der Zielliste der Kampagne. Darin waren nach Angaben der STRU vermerkt, welche FortiGate-Systeme angegriffen wurden, welche Zugangsdaten verwendet wurden, auf welche Netzwerke zugegriffen wurde und ob Ransomware zum Einsatz kam. Die Forscher stellten fest, dass die Angreifer bei 409 Zielen Administratorzugriff erreicht hatten. Auf 354 dieser Systeme sei die vollständige Angriffskette abgeschlossen worden: Kompromittierung des VPN, Zugriff auf den Domain Controller und anschließend Domain-Admin-Rechte.

SOCRadar erklärt, die STRU habe mindestens 12 Ransomware-Einsätze bestätigt, die aus diesem Zugriff hervorgingen; dabei seien in betroffenen Organisationen hunderte Endpunkte verschlüsselt worden. Ensar Seker, CISO von SOCRadar, sagte Dark Reading jedoch, das Unternehmen beobachte bislang keine breit angelegte Ransomware-Welle, die sich unmittelbar auf FortiBleed zurückführen lasse. Die bisherige Aktivität passe eher zu Diebstahl von Zugangsdaten, Profiling von Opfern, Zugangshandel und dem Risiko datenbezogener Erpressung.

Nach Einschätzung von SOCRadar ist die FortiBleed-Gruppe von den RaaS-Gruppen Inc und Lynx getrennt. Seker zufolge deuteten die Belege auf eine vorgelagerte Zugriffslieferkette hin, in der kompromittierte Fortinet-Umgebungen und zugehörige Opferdaten gesammelt, validiert und möglicherweise monetarisiert oder an nachgelagerte Akteure weitergereicht werden. Inc und Lynx würden demnach eher als Abnehmer dieses Zugriffs und der Daten auftreten als als ursprüngliche Betreiber der kompromittierten Geräte.

Die Forscher schreiben der bislang unbenannten FortiBleed-IAB-Gruppe außerdem weitere Fähigkeiten zu. Laut Bericht handelt es sich um eine strukturierte Operation mit rund 20 Personen und einer kleinen Kerngruppe von Operatoren. Zudem verfüge die Gruppe über „mindestens eine“ Zero-Day-Schwachstelle. In E-Mails an Medien bestätigte SOCRadar, dass der betroffene Hersteller Nextcloud ist und mit FortiBleed verbundene Akteure die Lücke aktiv ausnutzten, um ihren Zero-Day-Zugang auszuweiten.

Nextcloud erklärte gegenüber Dark Reading, SOCRadar habe das Unternehmen nicht kontaktiert. Kommunikationsmanager Christoph Weissthaner sagte, Nextcloud betreibe ein öffentliches Bug-Bounty-Programm und habe bislang keinen entsprechenden Bericht erhalten. Wenn das Unternehmen von möglichen Problemen erfahre, werde es sie so schnell wie möglich beheben. Seker zufolge ordnet die STRU die Nextcloud-Zero-Day-Aktivität der Phase der Zugangsvermittlung und des Eindringens bei FortiBleed zu, nicht den Angriffen von Inc und Lynx. SOCRadar will die Aktivität weiter untersuchen und zusätzliche Analysen in einem angekündigten Whitepaper vorlegen.