FortiBleed Ternyata Terkait Lynx Ransomware, Lebih dari 430.000 Firewall FortiGate Jadi Target

Investigasi terbaru mengungkap bahwa kampanye pencurian kredensial FortiBleed memiliki kaitan langsung dengan kelompok ransomware INC dan Lynx. Temuan ini memperkuat dugaan bahwa ribuan kredensial perangkat Fortinet yang dicuri memang dipersiapkan untuk mendukung serangan ransomware terhadap organisasi di seluruh dunia.
Sebelumnya, peneliti menemukan sebuah server yang terbuka ke internet berisi kredensial dari lebih dari 73.000 perangkat Fortinet. Server tersebut menyimpan konfigurasi FortiGate, kredensial hasil pencurian, hingga infrastruktur untuk memecahkan hash password dan menjalankan serangan credential stuffing.
Bukti Hubungan dengan Kelompok Ransomware
Penelitian lanjutan dari SOCRadar Threat Research Unit (STRU) menemukan hubungan yang lebih kuat antara operasi FortiBleed dan kelompok ransomware.
Peneliti berhasil mengidentifikasi sebuah server Windows yang digunakan dalam infrastruktur FortiBleed. Dari hasil analisis forensik, ditemukan bukti bahwa pelaku mengakses panel negosiasi ransomware milik INC dan Lynx.
SOCRadar bahkan membagikan tangkapan layar yang memperlihatkan dashboard negosiasi korban yang biasa digunakan kedua kelompok ransomware tersebut.
Temuan ini menjadi indikasi kuat bahwa operator FortiBleed juga terlibat langsung dalam operasi ransomware, bukan sekadar menjual kredensial hasil curian.
Skala Serangan Jauh Lebih Besar
Investigasi terbaru menunjukkan bahwa operasi FortiBleed memiliki skala yang jauh lebih besar dibandingkan perkiraan awal.
Beberapa temuan penting meliputi:
- menargetkan lebih dari 430.000 firewall FortiGate di seluruh dunia;
- memasang alat penyadap lalu lintas jaringan (packet sniffer) pada sekitar 19.000 perangkat;
- setelah proses pemberitahuan kepada korban, jumlah perangkat yang masih terkompromi turun menjadi sekitar 11.000 unit;
- mengidentifikasi sekitar 500 server yang digunakan dalam operasi tersebut;
- menemukan lebih dari 200 server operasional tambahan yang sebelumnya belum diketahui.
Menggunakan FortiGate Sniffer untuk Mencuri Kredensial
Penelitian sebelumnya mengungkap bahwa pelaku menggunakan alat khusus bernama FortiGate Sniffer.
Tool ini dipasang pada firewall FortiGate yang telah berhasil dikompromikan untuk menyadap lalu lintas jaringan secara langsung, termasuk:
- kredensial VPN,
- informasi autentikasi pengguna,
- serta data sensitif lain yang melewati perangkat.
Dengan metode ini, pelaku memperoleh akses ke akun-akun yang nantinya dapat digunakan untuk melakukan intrusi lanjutan ke jaringan perusahaan.
Diduga Memanfaatkan Zero-Day Nextcloud
SOCRadar juga meyakini bahwa pelaku mengeksploitasi sebuah kerentanan zero-day Nextcloud yang hingga kini belum dipublikasikan.
Kerentanan tersebut diduga digunakan sebagai langkah lanjutan setelah memperoleh akses awal ke jaringan korban, meski rincian teknisnya masih dirahasiakan karena investigasi masih berlangsung.
Ditemukan Backdoor Permanen
Selain pencurian kredensial, peneliti juga menemukan akun backdoor permanen dengan username “adminin” pada sejumlah sistem yang berhasil dikompromikan.
Keberadaan akun tersebut memungkinkan pelaku mempertahankan akses meskipun kredensial utama telah diganti.
SOCRadar menyatakan masih terus melakukan investigasi, termasuk upaya memperoleh kunci dekripsi ransomware serta menyiapkan laporan teknis lanjutan yang akan berisi indikator kompromi (IoC), bukti atribusi, dan analisis mendalam mengenai operasi FortiBleed.
Lynx Diduga Merupakan Rebranding INC Ransomware
Kelompok INC Ransom telah beroperasi sebagai layanan Ransomware-as-a-Service (RaaS) sejak pertengahan 2023 dan telah menyerang berbagai sektor, mulai dari kesehatan, pendidikan, pemerintahan hingga perusahaan swasta.
Sementara itu, Lynx muncul pada pertengahan 2024 dan diyakini oleh sejumlah peneliti keamanan sebagai hasil rebranding dari kelompok INC, bukan kelompok baru yang benar-benar berbeda.
Sumber: SOCRadar








