A campanha FortiBleed, que roubou credenciais de mais de 430 mil firewalls FortiGate em todo o mundo, foi vinculada diretamente às operações de ransomware INC Ransom e Lynx. A SOCRadar identificou um operador do FortiBleed logado simultaneamente nos painéis de negociação das duas gangues, conectando pela primeira vez o roubo massivo de credenciais Fortinet à implantação de ransomware, com ao menos 12 vítimas confirmadas em julho de 2026.

O que é o FortiBleed

O FortiBleed é uma operação de roubo de credenciais em larga escala que mira firewalls FortiGate globais. O ator por trás dela atua como Initial Access Broker (corretor de acesso inicial) usando uma ferramenta própria em Golang chamada FortigateSniffer. Essa ferramenta intercepta passivamente o tráfego de autenticação abusando de um comando nativo do FortiOS — o diagnose sniffer packet — em mais de duas dezenas de protocolos.

O impacto visível na superfície é roubo de credenciais, mas a operação corre mais fundo: as credenciais roubadas servem de porta de entrada para invasões completas. A CISA já havia emitido um alerta global em junho de 2026 pedindo o endurecimento de dispositivos Fortinet após relatos de exposição de credenciais — seguindo o mesmo padrão de confirmação de exploit ativo ligado a ransomware vista em outros alertas recentes da agência.

Vínculo com INC e Lynx

A operação que entregou a evidência foi um lapso de segurança operacional do grupo, que deu à SOCRadar visibilidade sobre o próprio ambiente — incluindo arquivos internos, logs e documentação operacional. Lá dentro, os pesquisadores encontraram um operador ativamente logado nos painéis de negociação do INC Ransom e do Lynx, dialogando diretamente sobre os valores de resgate.

O INC Ransom é ativo desde meados de 2023 e segue como uma das operações RaaS mais prolíficas por número de vítimas. Para organizações que dependem apenas de backup como estratégia de recuperação contra ransomware, o aviso é claro: o FortiBleed compromete o controlador de domínio antes de qualquer cifra, o que pode invalidar cópias de segurança acessíveis pela rede. O Lynx surgiu cerca de um ano depois e é amplamente avaliado como uma variante evoluída do INC. Encontrar um único operador trabalhando nos dois painéis, com infraestrutura rastreável até o FortiBleed, é a evidência mais clara até agora de que credenciais colhidas pela campanha estão sendo entregues — ou usadas diretamente — em ataques de ransomware. Um segundo dado corrobora: há sobreposição de vítimas entre o rastro do FortiBleed e um diretório aberto ligado ao INC.

Escala do ataque

Os números consolidados pela Threat Research Unit da SOCRadar mostram o tamanho real da operação:

Indicador Volume
Firewalls FortiGate mirados 430.000+
Servidores operacionais adicionais 200+
Portais FortiGate escaneados ~11.250 em 150+ países
Acessos admin confirmados 409
Comprometimento total de domínio 354
Implantações de ransomware 12 confirmadas
Tamanho da equipe do grupo ~20 pessoas

Em 354 dos alvos o ator completou a cadeia inteira de ataque: comprometimento de VPN, acesso ao controlador de domínio e privilégio de administrador de domínio. Foram centenas de endpoints criptografados nas organizações afetadas.

Proteger firewalls FortiGate

A exposição ao FortiBleed deixou de ser apenas um risco de credencial para virar precursor de ransomware. Equipes que operam FortiGate devem agir sobre os seguintes pontos concretos:

  • Rotacione credenciais admin de todo firewall FortiGate exposto, sobretudo as usadas em portais VPN SSL, e ative autenticação multifator (MFA) sempre que possível.
  • Restrinja o uso de diagnose sniffer packet e comandos equivalentes de captura de tráfego a administradores confiáveis, e monitore execuções anômalas desse comando — ele é o vetor do FortigateSniffer.
  • Atualize o FortiOS para versões que corrigem caminhos de bypass e confirme que o acesso administrativo não está exposto à internet aberta.
  • Monitore sinais de INC e Lynx: acesso a controladores de domínio fora de janelas esperadas, alterações em contas de serviço e execução de ferramentas de cifra em lote.
  • Audite VPN SSL: o FortiBleed completa a cadeia via VPN comprometida → controlador de domínio → domain admin. Bloqueie o acesso ao DC a partir de sessões VPN suspeitas e segmente o tráfego entre VPN e rede interna.

Fontes