FortiBleed kimlik bilgisi hırsızlığı operasyonunun INC ve Lynx fidye yazılımı gruplarıyla bağlantılı olduğu ortaya çıktı

SOCRadar araştırmacıları, dünya genelinde on binlerce Fortinet cihazından kimlik bilgileri çalan FortiBleed operasyonunun, INC ve Lynx fidye yazılımı gruplarıyla doğrudan bağlantılı olduğunu açıkladı. Araştırmaya göre çalınan VPN kimlik bilgileri, kurumsal ağlara sızmak ve gelecekteki fidye yazılımı saldırılarında kullanılmak üzere toplandı.

1x
Temmuz 5, 2026 - 16:32
FortiBleed kimlik bilgisi hırsızlığı operasyonunun INC ve Lynx fidye yazılımı gruplarıyla bağlantılı olduğu ortaya çıktı

Siber güvenlik şirketi SOCRadar, FortiBleed adı verilen geniş çaplı kimlik bilgisi hırsızlığı operasyonunun INC ve Lynx fidye yazılımı (Ransomware-as-a-Service - RaaS) gruplarıyla bağlantılı olduğunu duyurdu. Araştırmacılar, operasyon kapsamında ele geçirilen Fortinet kimlik bilgilerinin gelecekte gerçekleştirilecek ağ ihlallerinde kullanılmasının amaçlandığını değerlendirdi.

Bu ayın başında internete açık bırakılan bir sunucuda 73 binden fazla Fortinet cihazından çalınan kimlik bilgileri tespit edilmişti. Sunucuda FortiGate yapılandırma dosyaları, ele geçirilen cihazlardan toplanan kimlik bilgileri ile parola özetlerini kırmak ve credential stuffing saldırıları gerçekleştirmek için kullanılan altyapının bulunduğu belirlenmişti.

VPN kimlik bilgileri ağ trafiğinden toplandı

SOCRadar'ın önceki incelemelerine göre saldırganlar, ele geçirilen FortiGate güvenlik duvarlarında çalışan "FortiGate Sniffer" adlı özel bir paket dinleme aracını kullanarak VPN kimlik bilgileri ve diğer kimlik doğrulama verilerini doğrudan ağ trafiği üzerinden topladı.

Şirketin son araştırması ise bu operasyonun fidye yazılımı gruplarıyla doğrudan ilişkisini ortaya koydu.

SOCRadar, "Tehdit araştırmacılarımız FortiBleed altyapısına ait bir Windows sunucusu tespit etti ve bu sunucu saldırganların çalışma yöntemine ilişkin önemli bilgiler sağladı." açıklamasını yaptı.

Araştırmacılar ayrıca, "Sunucu üzerinde elde edilen bulguların incelenmesi sırasında tehdit aktörünün hem Lynx hem de INC fidye yazılımı grubunun müzakere panellerine eriştiği belirlendi." ifadelerini kullandı.

SOCRadar, BleepingComputer ile paylaştığı ekran görüntülerinde her iki grubun yönetim panelleri ve fidye görüşmelerinde kullanılan mağdur sohbet ekranlarının yer aldığını belirtti.

200'den fazla ek sunucu tespit edildi

Araştırmacılar, ilk incelemelerde belirlenen altyapının ötesinde 200'den fazla ek operasyon sunucusu tespit ettiklerini açıkladı.

SOCRadar ayrıca FortiBleed operasyonunda elde edilen mağdur bilgilerinin bir bölümünün daha sonra INC fidye yazılımı grubunun veri sızıntısı sitesinde yayımlanan kuruluşlarla örtüştüğünü belirledi.

Şirket, operasyonun yaklaşık 20 kişiden oluşan ve görev dağılımı bulunan organize bir ekip tarafından yürütüldüğünü değerlendirdi.

430 binden fazla FortiGate cihazı hedef alındı

SOCRadar'a göre operasyonun kapsamı ilk tahminlerden çok daha büyük.

Araştırmacılar, dünya genelinde 430 binden fazla FortiGate güvenlik duvarının hedef alındığını ve yaklaşık 19 bin cihazda ağ trafiğini izleyen dinleme araçlarının yerleştirildiğini bildirdi.

Etkilenen kuruluşların bilgilendirilmesinin ardından ele geçirilmiş cihaz sayısının yaklaşık 11 bine düştüğü belirtildi. Operasyonda kullanılan yaklaşık 500 sunucunun da tespit edildiği açıklandı.

Nextcloud sıfırıncı gün açığı şüphesi

SOCRadar, saldırganların ilk erişimin ardından ağ içindeki yetkilerini genişletmek amacıyla daha önce bilinmeyen bir Nextcloud sıfırıncı gün (zero-day) güvenlik açığından da yararlanmış olabileceğini değerlendirdi. Ancak bu iddiaya ilişkin teknik ayrıntılar henüz paylaşılmadı.

Araştırmacılar ayrıca ele geçirilen sistemlerde "adminin" kullanıcı adıyla oluşturulmuş kalıcı arka kapı hesapları tespit ettiklerini ve fidye yazılımı şifre çözme anahtarlarını elde etmeye yönelik çalışmaların sürdüğünü açıkladı.

INC ve Lynx grupları yakından izleniyor

INC Ransom, 2023 yılının ortalarından bu yana hizmet olarak fidye yazılımı modeliyle faaliyet gösteriyor ve sağlık, eğitim, kamu ile birçok farklı sektördeki kuruluşları hedef alıyor.

Lynx ise 2024 yılının ortalarında ortaya çıktı. Güvenlik araştırmacıları, bu grubun yeni bir yapıdan ziyade INC fidye yazılımı grubunun yeniden markalanmış hâli olduğunu değerlendiriyor.

SOCRadar, soruşturmanın tamamlanmasının ardından uzlaşma göstergeleri (IOC), teknik analizler ve ilişkilendirme bulgularını içeren ikinci teknik raporunu yayımlayacağını duyurdu.

Kaynak: Beykozun Sesi

Tepkiniz Nedir?

Beğenmek Beğenmek 0
Beğenmemek Beğenmemek 0
Aşk Aşk 0
Eğlenceli Eğlenceli 0
Sinirli Sinirli 0
Üzgün Üzgün 0
Vay Vay 0