24 jun 2026

FortiBleed: detalles de la operación de robo de 110 millones de credenciales (y contando)

Se cree que un intermediario de acceso inicial (IAB) de habla rusa, motivado por el lucro, está detrás de una operación de robo de credenciales a gran escala conocida como FortiBleed, que ha afectado a más de 430.000 firewalls FortiGate en todo el mundo.

La campaña, activa desde febrero de 2026, consiste en recopilar listas de credenciales, buscar servicios expuestos, realizar ataques de fuerza bruta contra sistemas accesibles e implementar analizadores de red personalizados en los firewalls comprometidos.

"Una vez implementados, estos analizadores capturan credenciales en texto plano y cifradas del tráfico que pasa por los dispositivos comprometidos", afirma SOCRadar en un informe reciente. "Los atacantes luego descifran, validan y reutilizan las credenciales contra dominios de Active Directory y otros servicios expuestos".

La clave de la operación es una herramienta basada en Go llamada FortigateSniffer, que aprovecha el comando de diagnóstico integrado de FortiOS, `-diagnose sniffer packet`, para capturar pasivamente el tráfico de autenticación de los dispositivos infectados. La herramienta está diseñada para monitorizar el tráfico a través de 24 protocolos, analizar los datos de autenticación y extraer las credenciales.

Se sospecha que los ciberdelincuentes podrían haber recurrido a una plataforma de seguridad ofensiva de código abierto basada en IA, denominada CyberStrike, para optimizar algunas partes del proceso. Curiosamente, otro marco de código abierto, CyberStrikeAI, se utilizó en relación con otra campaña de escaneo masivo automatizado dirigida a dispositivos FortiGate, que Amazon Threat Intelligence reveló a principios de este año.

La campaña muestra un fuerte enfoque en las pequeñas y medianas empresas (pymes) con menos de 200 empleados. El atacante se dirige a múltiples sectores y regiones, con especial énfasis en Estados Unidos e India. El sector de servicios de TI parece ser un objetivo clave. Esta elección de objetivos probablemente ayuda al atacante a maximizar el acceso posterior, ya que los proveedores de servicios comprometidos pueden crear vías de acceso a los entornos de los clientes.

Quizás el hallazgo más interesante sea que FortiBleed parece formar parte de una operación de acceso inicial más amplia y multivendedor, orquestada no solo para atacar dispositivos Fortinet, sino también para vulnerar NAS de Synology, firewalls de Sophos, portales RDWeb, VPN SSL de Citrix y servidores MS-SQL mediante ataques de fuerza bruta automatizados desde el 28 de febrero de 2026.

En total, se estima que los atacantes lanzaron al menos 659 campañas de robo de credenciales entre el 31 de mayo y el 15 de junio de 2026, lo que resultó en la identificación de más de 110 millones de credenciales. Esto incluyó:

  • 14,8 millones de credenciales RADIUS (Servicio de Autenticación Remota de Usuarios por Marcación)
  • 924.000 hashes NTLM
  • 130.000 hashes Kerberos
  • 89 millones de tokens de autenticación MySQL

La campaña FortiBleed se desarrolla en cinco etapas:

  1. Primero, se realiza un reconocimiento exhaustivo utilizando herramientas como Masscan y Shodan para identificar firewalls FortiGate vulnerables con acceso a internet. Posteriormente, se utilizan una utilidad personalizada llamada FortiProbe-fast y GeoSplit para filtrar los sistemas FortiGate y agruparlos por país, respectivamente.
  2. Comprometer los dispositivos con un verificador de credenciales llamado "forticheck" que ataca específicamente el panel administrativo y el portal SSL-VPN de FortiGate, además de utilizar herramientas para obtener acceso administrativo SSH mediante ataques de relleno de credenciales y de diccionario.
  3. Tras establecer el acceso por SSH, FortigateSniffer se implementa para interceptar pasivamente el tráfico de autenticación en 24 protocolos (p. ej., TACACS+, Kerberos, RPC, SMB, LDAP, SMTP, FTP, Telnet, RDP, WinRM, MS-SQL, MySQL, PostgreSQL y RADIUS) mediante comandos de diagnóstico nativos de FortiOS, lo que permite obtener credenciales en texto plano y hashes de contraseñas.
  4. Los hashes de contraseñas se descifran con Hashmat y Hashtopolis, y se procesan mediante un bot de Telegram llamado HASHBOT. Posteriormente, se utilizan para el movimiento lateral y la enumeración de Active Directory.
  5. Se extraen datos confidenciales de los recursos compartidos de red, mientras que las cookies de sesión robadas se utilizan para mantener un acceso persistente y autenticado.

"El grupo no trata a todos los objetivos por igual", dijo SOCRadar. "En cambio, los objetivos se clasifican según su valor económico antes de asignar los recursos para su explotación".

Además, el mecanismo de rastreo incluye un filtro de geolocalización que restringe las operaciones a rangos de IP específicos, limitando la actividad al horario comprendido entre las 7:00 y las 18:00, hora de Moscú. Según datos capturados por SpyCloud, el ciclo de captura relacionado con FortiGate habría comenzado el 19 de mayo de 2026, y la infraestructura de descifrado de hashes se instaló a finales de mes.

"La operación se ejecuta en ciclos de 300 minutos (cinco horas), con actualizaciones de estado cada minuto", declaró Zenox. "En cada ciclo, carga una lista de objetivos regionales [...] y realiza la validación con 1.000 hilos simultáneos, mostrando contadores de éxito, fallo, tiempo de espera agotado y advertencia. En los primeros ciclos, la tasa de validación exitosa rondaba el 90%".

La empresa brasileña de ciberseguridad también informó haber encontrado ciertas combinaciones de nombre de usuario y contraseña repetidas en miles de direcciones IP distintas, lo que plantea la posibilidad de que el atacante haya creado estas cuentas como puerta trasera clandestina.

Este hecho se produce después de que una cuenta en ruso llamada "SantaAd" anunciara el acceso a miles de dispositivos Fortinet por un precio inicial de 30.000 dólares, que horas después aumentó a 60.000 dólares. Sin embargo, no está claro si esto tiene alguna relación con la filtración de FortiBleed.

"El grupo de ciberdelincuentes responsable de 'FortiBleed' no solo atacaba las VPN de FortiGate", declaró SpyCloud. "En realidad, atacaban una variedad de dispositivos conectados a internet con una cadena de ataques estándar de tipo 'bombardeo masivo' que se basa principalmente en escaneos masivos y ataques de fuerza bruta para obtener accesos".

Fuente: THN 

No hay comentarios.:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!