TeknoFiber Logo
Son Dakika
Yeni ChocoPoC Kötü Amaçlı Yazılımı Araştırmacıları Hedef AlıyorKubota, Hackerların Ağına Düşen Verileri Açıkladı: 1 Ay Süren ErişimFortiBleed: Yeni Siber Tehditin Arkasında Lynx Ransomware Operasyonları VarNASA, Blue Origin'in İlerleyişini Takdir Ediyor: Uzay Fırsatları Devam EdiyorApple, Giriş Seviyesi MacBook Pro'yu Yenilemeye HazırlanıyorBending Spoons IPO'su ile Büyüme Stratejisini Paylaştı: Şansın Rolünü AzaltmakBending Spoons Hisse Senetleri İlk Gününde %40 Değer KazandıApple, Yeni iPad Pro ve MacBook Pro Modellerini 2024'te TanıtacakApple, Giriş Seviyesi MacBook Pro'yu Yeniliyor: 2027'de Geliyor!T-Mobile, Broadcom ile Sözleşme Anlaşmazlığı Nedeniyle VMware Sanal Makinelerini TaşıyorYeni ChocoPoC Kötü Amaçlı Yazılımı Araştırmacıları Hedef AlıyorKubota, Hackerların Ağına Düşen Verileri Açıkladı: 1 Ay Süren ErişimFortiBleed: Yeni Siber Tehditin Arkasında Lynx Ransomware Operasyonları VarNASA, Blue Origin'in İlerleyişini Takdir Ediyor: Uzay Fırsatları Devam EdiyorApple, Giriş Seviyesi MacBook Pro'yu Yenilemeye HazırlanıyorBending Spoons IPO'su ile Büyüme Stratejisini Paylaştı: Şansın Rolünü AzaltmakBending Spoons Hisse Senetleri İlk Gününde %40 Değer KazandıApple, Yeni iPad Pro ve MacBook Pro Modellerini 2024'te TanıtacakApple, Giriş Seviyesi MacBook Pro'yu Yeniliyor: 2027'de Geliyor!T-Mobile, Broadcom ile Sözleşme Anlaşmazlığı Nedeniyle VMware Sanal Makinelerini TaşıyorYeni ChocoPoC Kötü Amaçlı Yazılımı Araştırmacıları Hedef AlıyorKubota, Hackerların Ağına Düşen Verileri Açıkladı: 1 Ay Süren ErişimFortiBleed: Yeni Siber Tehditin Arkasında Lynx Ransomware Operasyonları VarNASA, Blue Origin'in İlerleyişini Takdir Ediyor: Uzay Fırsatları Devam EdiyorApple, Giriş Seviyesi MacBook Pro'yu Yenilemeye HazırlanıyorBending Spoons IPO'su ile Büyüme Stratejisini Paylaştı: Şansın Rolünü AzaltmakBending Spoons Hisse Senetleri İlk Gününde %40 Değer KazandıApple, Yeni iPad Pro ve MacBook Pro Modellerini 2024'te TanıtacakApple, Giriş Seviyesi MacBook Pro'yu Yeniliyor: 2027'de Geliyor!T-Mobile, Broadcom ile Sözleşme Anlaşmazlığı Nedeniyle VMware Sanal Makinelerini Taşıyor
Siber Güvenlik

FortiBleed: Yeni Siber Tehditin Arkasında Lynx Ransomware Operasyonları Var

FortiBleed kampanyası, Lynx ransomware gruplarıyla bağlantılı olarak büyük bir kimlik avı saldırısını ortaya çıkardı.

Burak ArslanBurak Arslan·
FortiBleed: Yeni Siber Tehditin Arkasında Lynx Ransomware Operasyonları Var
Paylaş:

Son zamanlarda ortaya çıkan FortiBleed kimlik avı kampanyası, Lynx ransomware operasyonlarıyla bağlantılı olduğu tespit edildi. Bu durum, çalınan Fortinet kimlik bilgilerinin gelecekteki ağ ihlallerini desteklemek amacıyla kullanıldığını gösteriyor.

Bu ayın başlarında, 73,000'den fazla Fortinet cihazından çalınan kimlik bilgilerini içeren bir sunucunun internete sızmış olduğu keşfedildi. Araştırmacılar, bu sunucunun, ele geçirilmiş cihazlardan toplanan kimlik bilgilerinin yanı sıra, FortiGate yapılandırma dosyalarının ve şifre hash'lerini kırmak için kullanılan altyapının da bulunduğunu belirtti.

Kampanya, sızdırılan kimlik bilgilerinin büyük sayısı nedeniyle "FortiBleed" olarak adlandırıldı. SOCRadar tarafından yapılan incelemeler, bu operasyonun, FortiGate güvenlik duvarları üzerinde kullanılan özel bir paket dinleme aracı olan "FortiGate Sniffer" ile gerçekleştirildiğini ortaya koydu. Bu araç sayesinde, saldırganlar VPN kimlik bilgilerini ve diğer kimlik doğrulama verilerini doğrudan ağ trafiğinden yakalayabildi.

Ransomware Bağlantıları ve Yeni Buluntular

SOCRadar’ın Tehdit Araştırma Birimi (STRU), kimlik avı operasyonunu doğrudan INC ve Lynx ransomware gruplarının üyeleriyle ilişkilendirdi. Araştırmacılar, FortiBleed altyapısının bir parçası olarak kullanılan bir Windows sunucusunu tespit ettiklerinde bu bağlantıyı keşfettiklerini belirttiler.

SOCRadar, BleepingComputer’a yaptığı açıklamada, “FortiBleed altyapısına ait bir Windows sunucusu belirledik ve bu, tehdit aktörlerinin çalışma şekli hakkında daha fazla bilgi sağladı.” dedi. Sunucu incelemesi sırasında, tehdit aktörünün Lynx ve INC ransomware gruplarının müzakere panellerine eriştiği ortaya çıktı.

SOCRadar, BleepingComputer ile paylaştığı ekran görüntülerinde, her iki ransomware grubunun yönetim panellerine erişim sağlayan tarayıcı oturumlarını gösterdi. Bu görüntüler, ransomware müzakereleri sırasında kullanılan kurban sohbetlerini içeren müzakere panellerini gözler önüne seriyor.

Kampanyanın Büyüklüğü ve Etkileri

Araştırmacılar, FortiBleed kampanyasının başlangıçta anlaşıldığından çok daha büyük olduğunu ifade ediyor. Operasyon, dünya genelinde 430,000'den fazla FortiGate güvenlik duvarını hedef aldı ve yaklaşık 19,000 cihazda trafik dinleyicileri kurdu. Etkilenen kuruluşlara bildirimde bulunduktan sonra, ele geçirilen cihaz sayısının 11,000 civarına düştüğü belirtildi.

Ayrıca, araştırmacılar bu operasyonun bir parçası olarak daha önce açıklanmayan bir Nextcloud sıfır gün açığını da kullandıklarını düşünüyor. Ancak, bu konuda teknik detaylar henüz paylaşılmadı.

SOCRadar, ele geçirilmiş sistemlerde "adminin" kullanıcı adıyla kalıcı arka kapı hesaplarının bulunduğunu ve ransomware şifre çözme anahtarlarını geri alma çabalarının devam ettiğini de belirtti. INC Ransom, 2023 ortalarından bu yana, sağlık, eğitim, hükümet ve diğer sektörlerdeki kuruluşları hedef alan bir ransomware-as-a-service (RaaS) platformu olarak faaliyet gösteriyor.

Lynx ise 2024 ortalarında ortaya çıktı ve güvenlik araştırmacıları, bunun yeni bir zorbalık grubu değil, INC ransomware çetesi olarak yeniden markalandığını düşünüyor.

SOCRadar, araştırmalarını tamamladığında, uzlaşma kanıtları, atıf kanıtları ve ek teknik analizler içeren ikinci bir teknik beyaz kağıdın yayımlanacağını duyurdu.

Burak Arslan

Yazar: Burak Arslan

Siber Güvenlik ve Donanım Uzmanı

Siber güvenlik, veri gizliliği ve donanım mimarileri alanında derinlemesine analizler yapan uzman.

Tüm yazılarını gör

İlgili Haberler

Siber Güvenlik kategorisindeki diğer haberler

Son Haberler

Burak Arslan

Burak Arslan

Siber Güvenlik ve Donanım Uzmanı

Bu yazarın diğer yazıları:

📧

Teknoloji haberlerini kaçırma!

Her gün en önemli gelişmeleri e-postana gönderelim.