Kampanye FortiBleed Ternyata Terkait Geng Ransomware Lynx dan INC

Investigasi terbaru mengungkap bahwa kampanye pencurian kredensial berskala besar FortiBleed memiliki keterkaitan langsung dengan operasi ransomware Lynx dan INC Ransom. Temuan ini memperkuat dugaan bahwa ribuan kredensial yang dicuri dari perangkat Fortinet FortiGate digunakan sebagai pintu masuk untuk serangan ransomware di tahap berikutnya.
Sebelumnya, peneliti keamanan menemukan sebuah server yang terekspos di internet berisi data hasil pencurian dari lebih dari 73.000 perangkat Fortinet, termasuk file konfigurasi FortiGate, kredensial pengguna, serta infrastruktur yang digunakan untuk memecahkan hash kata sandi dan menjalankan serangan credential stuffing.
Menggunakan Sniffer untuk Mencuri Kredensial VPN
Penelitian lanjutan yang dilakukan SOCRadar Threat Research Unit (STRU) mengungkap bahwa pelaku menggunakan alat khusus bernama FortiGate Sniffer.
Perangkat lunak tersebut dipasang pada firewall FortiGate yang telah dikompromikan untuk menyadap lalu lintas jaringan secara langsung.
Melalui teknik tersebut, pelaku dapat memperoleh:
- Kredensial VPN.
- Data autentikasi pengguna.
- Informasi sensitif lain yang melewati perangkat FortiGate.
Berbeda dengan pencurian melalui database atau eksploitasi aplikasi, metode ini memungkinkan pelaku menangkap kredensial saat digunakan oleh korban.
Bukti Keterkaitan dengan Lynx dan INC
SOCRadar menemukan sebuah server Windows yang merupakan bagian dari infrastruktur FortiBleed.
Dari analisis artefak digital pada server tersebut, peneliti menemukan bukti bahwa operator FortiBleed pernah mengakses panel negosiasi ransomware milik:
- INC Ransom
- Lynx Ransomware
Panel tersebut merupakan dashboard internal yang digunakan operator ransomware untuk berkomunikasi dengan korban selama proses pemerasan.
SOCRadar juga membagikan tangkapan layar yang menunjukkan sesi browser aktif menuju kedua panel administrasi tersebut, lengkap dengan percakapan negosiasi bersama korban.
Temuan ini menjadi salah satu bukti paling kuat yang menghubungkan operasi pencurian kredensial dengan aktivitas ransomware.
Skala Operasi Jauh Lebih Besar
Penelitian terbaru menunjukkan bahwa kampanye FortiBleed ternyata jauh lebih luas dibandingkan perkiraan awal.
SOCRadar mengungkap bahwa pelaku:
- Menargetkan lebih dari 430.000 firewall FortiGate di seluruh dunia.
- Berhasil memasang traffic sniffer pada sekitar 19.000 perangkat.
- Mengidentifikasi sekitar 500 server yang digunakan dalam operasi tersebut.
- Menemukan lebih dari 200 server operasional tambahan yang sebelumnya belum diketahui.
Setelah organisasi yang terdampak diberi notifikasi, jumlah perangkat yang masih terkompromi dilaporkan turun menjadi sekitar 11.000 unit.
Diduga Memanfaatkan Zero-Day Nextcloud
Selain menyerang perangkat FortiGate, SOCRadar juga menduga pelaku mengeksploitasi sebuah kerentanan zero-day pada Nextcloud untuk memperluas akses ke jaringan korban setelah memperoleh kredensial awal.
Namun hingga saat ini rincian teknis mengenai kerentanan tersebut masih belum dipublikasikan.
Menemukan Akun Backdoor
Peneliti juga menemukan akun backdoor persisten menggunakan nama pengguna “adminin” pada sejumlah sistem yang telah dikompromikan.
SOCRadar mengatakan investigasi masih berlangsung, termasuk upaya memperoleh kunci dekripsi ransomware yang mungkin dapat membantu korban memulihkan data tanpa harus membayar tebusan.
Lynx Diduga Rebranding INC Ransom
INC Ransom mulai beroperasi sebagai layanan Ransomware-as-a-Service (RaaS) sejak pertengahan 2023 dan telah menyerang berbagai sektor, termasuk:
- Kesehatan.
- Pendidikan.
- Pemerintahan.
- Berbagai organisasi swasta di berbagai negara.
Sementara itu, Lynx muncul pada pertengahan 2024 dan oleh banyak peneliti keamanan diyakini bukan kelompok baru, melainkan hasil rebranding dari operasi INC Ransom.
SOCRadar menyatakan akan merilis laporan teknis lanjutan yang memuat Indicators of Compromise (IoC), bukti atribusi, serta analisis teknis lebih mendalam setelah investigasi selesai.
Sumber: SOCRadar








