FortiBleed bị phát hiện là nguồn truy cập ban đầu của ransomware INC và Lynx
- Evelyn Carter

- 4 ngày trước
- 4 phút đọc
Báo cáo mới của SOCRadar xác nhận chiến dịch FortiBleed đã dẫn đến 409 thiết bị FortiGate bị chiếm quyền quản trị, 354 vụ xâm nhập hoàn chỉnh và ít nhất 12 cuộc tấn công ransomware. Đây là lần đầu tiên có bằng chứng kỹ thuật liên kết trực tiếp FortiBleed với các hoạt động của hai nhóm ransomware INC và Lynx.
Phát hiện này đánh dấu lần đầu tiên mối liên hệ giữa FortiBleed và các chiến dịch ransomware được xác lập dựa trên các bằng chứng thu thập từ chính hạ tầng của tác nhân tấn công.
SOCRadar đã phát hiện gì về mối liên hệ giữa FortiBleed và ransomware?
Theo SOCRadar, trong quá trình điều tra hạ tầng của chiến dịch FortiBleed, nhóm nghiên cứu đã phát hiện một máy chủ Windows được sử dụng trong hoạt động của tác nhân đe dọa.
Các tệp nhật ký, tài liệu nội bộ và dữ liệu thu thập được từ máy chủ này cho thấy cùng một tác nhân đã truy cập vào bảng điều khiển đàm phán tiền chuộc của cả hai nhóm ransomware INC và Lynx. Bên cạnh đó, SOCRadar cũng ghi nhận sự trùng khớp giữa các nạn nhân của FortiBleed với những tổ chức sau đó xuất hiện trong các chiến dịch ransomware, qua đó củng cố mối liên hệ giữa hai hoạt động.

Quy mô của chiến dịch FortiBleed ra sao?
Báo cáo cho biết các tác nhân đe dọa đã tiến hành quét khoảng 11.250 cổng FortiGate trên phạm vi hơn 150 quốc gia nhằm tìm kiếm các hệ thống có thể bị khai thác.
Kết quả điều tra ghi nhận:
Khoảng 409 thiết bị bị chiếm quyền quản trị
354 vụ xâm nhập hoàn tất toàn bộ chuỗi tấn công
Ít nhất 12 cuộc tấn công ransomware đã được xác nhận
Hàng trăm thiết bị đầu cuối của các tổ chức bị mã hóa dữ liệu sau khi kẻ tấn công giành được quyền truy cập.
Những con số này cho thấy chiến dịch đã vượt xa mục tiêu đánh cắp thông tin đăng nhập đơn thuần, chuyển sang giai đoạn khai thác quyền truy cập để triển khai ransomware.
FortiBleed hoạt động theo phương thức nào?
Theo SOCRadar, chiến dịch tập trung vào các thiết bị FortiGate được kết nối Internet.
Sau khi chiếm được quyền quản trị, tác nhân đe dọa tiếp tục thu thập thông tin xác thực, mở rộng quyền truy cập trong hệ thống và duy trì khả năng kiểm soát hạ tầng của nạn nhân. Những quyền truy cập này sau đó được sử dụng để triển khai toàn bộ chuỗi tấn công hoặc phục vụ các hoạt động ransomware.
Dựa trên cách thức hoạt động, SOCRadar nhận định tác nhân đứng sau FortiBleed có đặc điểm của một Initial Access Broker (IAB) - nhóm chuyên thu thập hoặc duy trì quyền truy cập ban đầu vào hệ thống trước khi sử dụng hoặc chuyển giao cho các nhóm ransomware khai thác.

Các tổ chức sử dụng FortiGate nên làm gì?
Do chiến dịch vẫn đang được theo dõi, SOCRadar khuyến nghị các tổ chức sử dụng thiết bị FortiGate cần chủ động rà soát hệ thống để phát hiện dấu hiệu bị xâm nhập.
Các biện pháp được khuyến nghị gồm:
Kiểm tra toàn bộ tài khoản quản trị trên thiết bị FortiGate
Thay đổi thông tin xác thực nếu có nguy cơ đã bị lộ
Theo dõi các hoạt động đăng nhập hoặc quản trị bất thường
Kiểm tra sự tồn tại của các tài khoản hoặc cơ chế duy trì quyền truy cập trái phép trong hệ thống.
Phát hiện mới này có ý nghĩa gì?
Trước đây, FortiBleed chủ yếu được biết đến là một chiến dịch đánh cắp thông tin xác thực trên các thiết bị FortiGate. Tuy nhiên, những bằng chứng mới do SOCRadar công bố cho thấy các thông tin đăng nhập bị chiếm đoạt đã được sử dụng như bước khởi đầu cho các cuộc tấn công ransomware của INC và Lynx.
Phát hiện này cho thấy không chỉ gây rủi ro mất tài khoản mà còn có thể trở thành mắt xích quan trọng trong toàn bộ chuỗi tấn công mạng. Đối với các tổ chức sử dụng FortiGate, việc rà soát quyền truy cập, thay đổi thông tin xác thực có nguy cơ bị lộ và theo dõi các dấu hiệu truy cập bất thường là những bước cần được ưu tiên nhằm giảm nguy cơ bị khai thác.
Giải pháp nào cho việc bảo vệ “lá chắn số” của doanh nghiệp?
Để bảo vệ hệ thống công nghệ thông tin và nâng cao năng lực an toàn thông tin trước các chiến dịch tấn công nhắm mục tiêu tinh vi. IPSIP Việt Nam cung cấp các giải pháp bảo mật toàn diện, giám sát an ninh mạng chuyên nghiệp và dịch vụ ứng cứu sự cố kịp thời, giúp doanh nghiệp vững tâm phát triển kinh doanh.

Hệ thống quản trị và giám sát của IPSIP Việt Nam đã xuất sắc vượt qua các kiểm định khắt khe nhất để đạt chứng nhận tiêu chuẩn an toàn thông tin quốc tế ISO 27001:2022 và SOC 2 Type II. Bằng việc cung cấp các dịch vụ cốt lõi hoạt động 24/7 như Trung tâm Giám sát An ninh mạng (SOC 24/7), Trung tâm Điều hành Mạng lưới (NOC 24/7) và đội ngũ IT Support/Helpdesk trực chiến, IPSIP cam kết trực tiếp phản ứng, đánh chặn mọi nỗ lực xâm nhập bất kể ngày đêm.
Nguồn tham khảo









Bình luận