ARKANET
Autor: Łukasz Lein
|
|
Publikacja: 13-07-2026
FortiBleed ransomware

Kampania FortiBleed została powiązana z operatorami ransomware Lynx i INC, co potwierdza jej rolę jako źródła dostępu do realnych ataków. Nowe ustalenia pokazują, że skradzione poświadczenia były wykorzystywane nie tylko do infiltracji sieci, ale także do wdrażania ransomware. Sprawdź, jak wyglądało powiązanie tych operacji.

FortiBleed powiązany z ransomware Lynx i INC – nowe ustalenia badaczy

Nowe ustalenia dotyczące kampanii FortiBleed rzucają światło na jej rzeczywisty cel i sposób wykorzystania pozyskanych danych. Według analizy firmy SOCRadar, operacja kradzieży poświadczeń została powiązana z grupą cyberprzestępczą Warble, odpowiedzialną za rozwój i wykorzystanie ransomware Lynx oraz INC. To oznacza, że FortiBleed nie był jedynie kampanią zbierania danych, ale elementem większego łańcucha ataku, który miał prowadzić bezpośrednio do wdrażania ransomware w środowiskach ofiar.

Od kradzieży poświadczeń do ransomware

Badacze ustalili, że jedna z osób zaangażowanych w kampanię FortiBleed korzystała jednocześnie z dostępu do tej infrastruktury oraz logowała się do paneli negocjacyjnych ransomware Lynx i INC. Takie powiązanie jednoznacznie wskazuje na operacyjne wykorzystanie przejętych danych w kolejnych etapach ataku. Dodatkowym potwierdzeniem jest pokrywanie się organizacji dotkniętych kampanią FortiBleed z ofiarami publikowanymi przez operatorów ransomware INC. Pokazuje to, że przejęte poświadczenia były realnie wykorzystywane do uzyskiwania dostępu i dalszej kompromitacji środowisk.

Wewnętrzne narzędzia i organizacja grupy

SOCRadar poinformował również o zdobyciu wewnętrznego dokumentu wykorzystywanego przez grupę Warble do zarządzania operacją. Dokument ten zawiera szczegółowe informacje dotyczące przeprowadzonych działań, w tym wskazuje, jakie poświadczenia zostały wykorzystane, do których sieci uzyskano dostęp oraz czy w zaatakowanym środowisku wdrożono oprogramowanie ransomware. Z jego analizy wynika, że operacja była prowadzona przez około 20 osób, przy czym niewielka grupa głównych operatorów odpowiadała za większość skutecznych włamań. Taki model działania jest typowy dla dojrzałych grup cyberprzestępczych, które łączą automatyzację z manualnymi działaniami w kluczowych momentach ataku.

Ewolucja działalności grupy Warble

Grupa Warble aktywnie wykorzystuje ransomware INC od lipca 2023 roku. Z kolei ransomware Lynx pojawił się około rok później i najprawdopodobniej stanowi rozwinięcie lub rebranding wcześniejszej działalności. Powiązanie tych narzędzi z kampanią FortiBleed pokazuje wyraźną ewolucję modelu działania – od budowania dostępu (Initial Access) do jego bezpośredniej monetyzacji poprzez ataki ransomware.

Co to wszystko oznacza dla organizacji

Powiązanie FortiBleed z ransomware zmienia sposób postrzegania tej kampanii. Nie jest to już tylko problem wycieku danych uwierzytelniających, ale realne zagrożenie prowadzące do pełnoskalowych incydentów bezpieczeństwa.

W praktyce oznacza to, że organizacje powinny zwrócić szczególną uwagę na:

  • weryfikację dostępu do systemów (szczególnie VPN i urządzeń brzegowych),
  • analizę logów pod kątem nietypowych aktywności,
  • zmianę poświadczeń, które mogły zostać przechwycone.

Nowe ustalenia jasno pokazują, że FortiBleed był elementem większej operacji cyberprzestępczej, której celem było nie tylko pozyskanie danych, ale ich bezpośrednie wykorzystanie w atakach ransomware. To kolejny dowód na to, że przejęte poświadczenia stanowią jeden z najcenniejszych zasobów dla atakujących, i często są pierwszym krokiem do poważnych incydentów bezpieczeństwa w organizacjach.

Źródła:

O autorze: Łukasz Lein

Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".

Jesteśmy dla Ciebie

4.9 36 opinii
Zobacz opinie
KK
Krzysztof Kalinowski
14-03-2024
Polecam. Po ponad 10 latach współpracy.
PK
Powiat Krapkowicki
25-01-2024
Firma z dużym doświadczeniem i bardzo dobrym podejściem do klienta. Współpracujemy z nimi od wielu lat i możemy ją spokojnie polecić. Zawsze dostępni i pomocni z szerokim portfolio produktów i usług.
MK
Marian Kulig
22-03-2023
Firma godna polecenia, profesjonalne podejście do klienta wraz z bardzo dobrą opieką posprzedażową. Kontakt z firmą od roku 2022, po 30 latach pracy jako informatyk polecam współpracę z firmą Arkanet.
Halo. Zróbmy coś razem
Zamów rozmowę z konsultantem, oddzwonimy.
Zadaj pytanie
Potrzebujesz negocjować warunki oferty? Dodaj produkt na listę do wyceny i wyślij nam, a my sprawdzimy co możemy dla Ciebie zrobić