150カ国の組織を標的とする大規模な認証情報窃取作戦「FortiBleed」が、INC RansomおよびLynxランサムウェアファミリーの展開につながっていたことが、SOCRadarの報告により明らかになりました。
2026年6月中旬に発覚したFortiBleedは、43万台を超えるFortiGateファイアウォールを標的とし、「FortigateSniffer」と呼ばれるネットワークスニファーを展開してファイアウォールを通過するトラフィックを傍受し、平文の認証情報やパスワードハッシュを抽出したうえで将来の侵害に利用するというものです。
このキャンペーンは、Active Directoryドメインへのアクセス獲得、機密情報の窃取、そして持続的なアクセスの確立を狙うロシアの初期アクセスブローカーによって展開されている可能性が高いとみられています。
FortiBleedは少なくとも2026年2月から続いており、攻撃者は1億1000万件を超える認証情報を侵害したと推定されています。
今回、SOCRadarが明らかにしたところによると、同社は約11,250件のFortiGateポータルに対するスキャン活動を観測し、攻撃者が409件の標的で管理者権限によるアクセスを獲得していたことを確認したといいます。
攻撃者は354件の標的において、VPNの侵害、ドメインコントローラーへのアクセス、ドメイン管理者権限の獲得を含む攻撃チェーン全体を完遂していたことが観測されています。
このうち12件のインシデントではランサムウェアの展開に至り、SOCRadarによれば「被害組織全体で数百台のエンドポイントが暗号化された」としています。
攻撃者側の運用上のセキュリティミスにより、このサイバーセキュリティ企業は攻撃者の環境を可視化でき、内部ファイルやログ、ドキュメントへのアクセスも得ることができました。
SOCRadarは、同一のオペレーターがINC RansomとLynxランサムウェアの両方の交渉パネルにログインしている様子を観測したほか、FortiBleedの被害者とINCの標的との間に重複があることも確認し、両作戦で同一の組織が標的にされていたことを裏付けました。
SOCRadarは次のように指摘しています。「単一のオペレーターが両方のパネルを操作し、FortiBleedまで追跡可能なインフラを使用していたという事実は、このキャンペーンで収集されたFortiGateの認証情報が、ランサムウェア展開のために引き渡されているか、あるいは直接使用されていることを示す、これまでで最も明確な証拠です」
FortiBleedに関連する内部の追跡文書を分析した結果、この作戦にはおよそ20人が関与しており、一部は影響の大きい侵入活動に、他の者は技術支援にそれぞれ専念していることが示唆されています。
SOCRadarはさらにこう述べています。「FortiBleedは、ランサムウェア経済の傍らに孤立して存在する単なる認証情報窃取作戦ではありません。それはランサムウェア経済に直接流れ込んでいるのです。数十万台ものファイアウォールにわたって認証トラフィックを密かに傍受していたのと同じアクセスブローカーのインフラが、共有のオペレーターを介して、現在最も活発なランサムウェアブランドのうち2つとつながっています」
INC Ransomは2023年半ばに登場し、最も活発なランサムウェア・アズ・ア・サービス(RaaS)の運営組織の一つとなっています。Lynxは、その1年後に登場した派生バージョンである可能性が高いとみられています。
翻訳元: https://www.securityweek.com/fortibleed-campaign-linked-to-inc-lynx-ransomware-attacks/