FortiBleed: Pencurian Kredensial Terkait Operasi Ransomware INC dan Lynx
FortiBleed, kampanye pencurian kredensial yang baru-baru ini terungkap, telah dikaitkan dengan operasi ransomware INC dan Lynx. Hal ini menunjukkan bahwa kredensial yang dicuri dan terverifikasi tersebut digunakan untuk intrusi lanjutan yang berujung pada serangan ransomware.
Menurut laporan terbaru yang dirilis oleh SOCRadar pada Rabu, seorang operator yang terkait dengan infrastruktur FortiBleed ditemukan aktif mengakses panel negosiasi dari kedua kelompok ransomware tersebut. Ini menjadi bukti langsung bahwa pencurian kredensial FortiGate secara massal terkait erat dengan penyebaran ransomware untuk pertama kalinya.
Skala Serangan dan Dampaknya
SOCRadar melacak aktivitas pemindaian terhadap sekitar 11.250 portal FortiGate di lebih dari 150 negara. Dari jumlah tersebut, tercatat akses tingkat admin berhasil didapatkan pada 409 target, dan serangan berhasil diselesaikan secara penuh pada 354 perangkat. Dari akses ini, setidaknya 12 serangan ransomware telah dilaksanakan, yang mengenkripsi ratusan endpoint di berbagai organisasi terdampak.
Kampanye pencurian kredensial ini melibatkan para pelaku yang secara sistematis memindai internet untuk menemukan perangkat Fortinet yang terekspos. Mereka mencoba masuk menggunakan kombinasi kredensial yang sudah diketahui, kemudian memasang packet sniffer khusus untuk mengumpulkan kredensial dan data autentikasi lainnya secara pasif dari lalu lintas jaringan.
Target dan Metode Pelaku
Kampanye ini menargetkan sekitar 430.000 firewall FortiGate secara global, dengan lebih dari 110 juta kredensial berhasil dikumpulkan. Pengungkapan ini terjadi setelah adanya kesalahan keamanan operasional dari pihak pelaku yang menyebabkan sebuah server berisi kredensial hasil curian dari ribuan perangkat Fortinet terekspos di internet.
Packet sniffer berbasis Golang diperkirakan telah dipasang pada sekitar 12.000 perangkat Fortinet, yang merupakan sebagian dari total perangkat yang diserang.
Temuan terbaru SOCRadar juga menunjukkan bahwa operator dengan akses ke infrastruktur FortiBleed tercatat login ke panel negosiasi INC Ransom dan Lynx, dengan korban INC Ransom yang tercatat beririsan dengan data kampanye pencurian ini. Koneksi ini terungkap dari salah satu dari 200 server baru yang ditemukan terkait infrastruktur FortiBleed, yang memberi akses ke file internal, log, dan dokumentasi operasional.
Profil dan Organisasi Pelaku
Analisis tooling, log, dan jam kerja menunjukkan aktivitas ini dilakukan oleh aktor ancaman berbahasa Rusia yang kemungkinan berperan sebagai initial access broker. Fokus penargetan banyak menyasar sektor manufaktur, teknologi, dan logistik di kawasan Amerika Latin serta Asia Pasifik.
SOCRadar juga menemukan dokumen internal yang mengindikasikan operasi ini terorganisasi dengan baik, melibatkan sekitar 20 orang dengan pembagian tugas yang jelas. "Sebuah kelompok inti kecil dari operator utama memimpin sebagian besar intrusi berdampak tinggi, didukung oleh spesialis dan staf pendukung," tulis SOCRadar.
Selain itu, pelaku diyakini memiliki setidaknya satu kerentanan zero-day pada aplikasi Nextcloud. Firma intelijen ancaman ini sedang berkoordinasi aktif dengan vendor yang terdampak untuk menanggulangi masalah tersebut.
Ancaman Terkait dan Eksploitasi Lainnya
Pengungkapan ini bersamaan dengan laporan dari eSentire yang mengamati pelaku ancaman mengeksploitasi kerentanan pada Fortinet FortiClient EMS (CVE-2026-35616, skor CVSS: 9.1). Eksploitasi ini digunakan untuk menyebarkan pencuri informasi bernama EKZ Stealer pada sebuah pelanggan di sektor energi, utilitas, dan limbah. Tujuan akhir serangan ini adalah mencuri kredensial dari browser berbasis Chromium dan Firefox, serta mengekstrak data menggunakan PowerShell.
Menurut laporan lengkapnya yang tersedia di The Hacker News, kampanye FortiBleed ini merupakan ancaman serius yang membutuhkan perhatian khusus dari para pengguna perangkat Fortinet dan komunitas keamanan siber.
Analisis Redaksi
Menurut pandangan redaksi, pengungkapan FortiBleed ini menandai sebuah game-changer dalam dunia keamanan siber, khususnya bagi pengguna teknologi Fortinet. Tidak hanya berfokus pada pencurian kredensial, pelaku berhasil menghubungkan akses tersebut langsung ke penyebaran ransomware, yang berpotensi menimbulkan kerugian besar secara finansial dan operasional. Ini menunjukkan bahwa para pelaku semakin terorganisir dan profesional dalam menjalankan operasi siber mereka.
Lebih jauh lagi, fakta bahwa operasi ini melibatkan sekitar 20 orang dengan pembagian tugas yang jelas menandakan bahwa kejahatan siber telah bertransformasi menjadi bisnis terorganisir dengan struktur yang kompleks. Ini menjadi peringatan bagi perusahaan-perusahaan untuk meningkatkan pengawasan dan keamanan perangkat jaringan mereka, serta memperkuat respons insiden siber.
Ke depan, yang perlu diwaspadai adalah potensi eksploitasi lebih lanjut dari kerentanan zero-day yang sudah dikuasai pelaku dan pengembangan malware canggih yang dapat mengeksfiltrasi data secara tersembunyi. Para pengguna Fortinet dan sektor kritikal sebaiknya mengikuti update keamanan dan melakukan patching segera, serta menerapkan sistem deteksi dini untuk mencegah kerugian lebih lanjut.
Untuk informasi terkini dan tips perlindungan siber, selalu ikuti berita dari sumber terpercaya dan lakukan kolaborasi dengan pakar keamanan. Ancaman ini bukan hanya soal teknologi, melainkan juga soal kesiapan organisasi menghadapi serangan siber yang semakin kompleks.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0