A campanha FortiBleed, que roubou credenciais de mais de 430 mil firewalls FortiGate em todo o mundo, foi vinculada diretamente às operações de ransomware INC Ransom e Lynx. A SOCRadar identificou um operador do FortiBleed logado simultaneamente nos painéis de negociação das duas gangues, conectando pela primeira vez o roubo massivo de credenciais Fortinet à implantação de ransomware, com ao menos 12 vítimas confirmadas em julho de 2026.
O que é o FortiBleed
O FortiBleed é uma operação de roubo de credenciais em larga escala que mira firewalls FortiGate globais. O ator por trás dela atua como Initial Access Broker (corretor de acesso inicial) usando uma ferramenta própria em Golang chamada FortigateSniffer. Essa ferramenta intercepta passivamente o tráfego de autenticação abusando de um comando nativo do FortiOS — o diagnose sniffer packet — em mais de duas dezenas de protocolos.
O impacto visível na superfície é roubo de credenciais, mas a operação corre mais fundo: as credenciais roubadas servem de porta de entrada para invasões completas. A CISA já havia emitido um alerta global em junho de 2026 pedindo o endurecimento de dispositivos Fortinet após relatos de exposição de credenciais — seguindo o mesmo padrão de confirmação de exploit ativo ligado a ransomware vista em outros alertas recentes da agência.
Vínculo com INC e Lynx
A operação que entregou a evidência foi um lapso de segurança operacional do grupo, que deu à SOCRadar visibilidade sobre o próprio ambiente — incluindo arquivos internos, logs e documentação operacional. Lá dentro, os pesquisadores encontraram um operador ativamente logado nos painéis de negociação do INC Ransom e do Lynx, dialogando diretamente sobre os valores de resgate.
O INC Ransom é ativo desde meados de 2023 e segue como uma das operações RaaS mais prolíficas por número de vítimas. Para organizações que dependem apenas de backup como estratégia de recuperação contra ransomware, o aviso é claro: o FortiBleed compromete o controlador de domínio antes de qualquer cifra, o que pode invalidar cópias de segurança acessíveis pela rede. O Lynx surgiu cerca de um ano depois e é amplamente avaliado como uma variante evoluída do INC. Encontrar um único operador trabalhando nos dois painéis, com infraestrutura rastreável até o FortiBleed, é a evidência mais clara até agora de que credenciais colhidas pela campanha estão sendo entregues — ou usadas diretamente — em ataques de ransomware. Um segundo dado corrobora: há sobreposição de vítimas entre o rastro do FortiBleed e um diretório aberto ligado ao INC.
Escala do ataque
Os números consolidados pela Threat Research Unit da SOCRadar mostram o tamanho real da operação:
| Indicador | Volume |
|---|---|
| Firewalls FortiGate mirados | 430.000+ |
| Servidores operacionais adicionais | 200+ |
| Portais FortiGate escaneados | ~11.250 em 150+ países |
| Acessos admin confirmados | 409 |
| Comprometimento total de domínio | 354 |
| Implantações de ransomware | 12 confirmadas |
| Tamanho da equipe do grupo | ~20 pessoas |
Em 354 dos alvos o ator completou a cadeia inteira de ataque: comprometimento de VPN, acesso ao controlador de domínio e privilégio de administrador de domínio. Foram centenas de endpoints criptografados nas organizações afetadas.
Proteger firewalls FortiGate
A exposição ao FortiBleed deixou de ser apenas um risco de credencial para virar precursor de ransomware. Equipes que operam FortiGate devem agir sobre os seguintes pontos concretos:
- Rotacione credenciais admin de todo firewall FortiGate exposto, sobretudo as usadas em portais VPN SSL, e ative autenticação multifator (MFA) sempre que possível.
- Restrinja o uso de
diagnose sniffer packete comandos equivalentes de captura de tráfego a administradores confiáveis, e monitore execuções anômalas desse comando — ele é o vetor do FortigateSniffer. - Atualize o FortiOS para versões que corrigem caminhos de bypass e confirme que o acesso administrativo não está exposto à internet aberta.
- Monitore sinais de INC e Lynx: acesso a controladores de domínio fora de janelas esperadas, alterações em contas de serviço e execução de ferramentas de cifra em lote.
- Audite VPN SSL: o FortiBleed completa a cadeia via VPN comprometida → controlador de domínio → domain admin. Bloqueie o acesso ao DC a partir de sessões VPN suspeitas e segmente o tráfego entre VPN e rede interna.
Fontes
- SOCRadar — Links FortiBleed Campaign to INC and Lynx Ransomware Operations
- The Hacker News — FortiBleed Credential Theft Linked to INC and Lynx Ransomware Operations
- CISA — Urges Hardening Fortinet Devices After Reports of Credential Exposure
- BleepingComputer — FortiBleed credential-theft campaign linked to Lynx ransomware