**Campaña FortiBleed: Credenciales de FortiGate comprometidas alimentan ataques de ransomware de INC y Lynx**
—
### 1. Introducción
El panorama de amenazas en el sector de la ciberseguridad se ha visto alterado recientemente por una campaña a gran escala, bautizada como “FortiBleed”, en la que actores avanzados están explotando credenciales filtradas de dispositivos FortiGate. Investigadores han vinculado el uso de estas credenciales, extraídas de cientos de miles de firewalls, con ataques de ransomware perpetrados por los grupos INC y Lynx. Este incidente subraya la importancia de una gestión rigurosa de credenciales y de la aplicación inmediata de parches en infraestructuras críticas.
### 2. Contexto del Incidente
Durante los últimos meses, múltiples organizaciones han reportado accesos no autorizados a través de dispositivos FortiGate vulnerables. El origen de la campaña FortiBleed se remonta a la explotación de una vulnerabilidad crítica (referenciada como CVE-2023-27997), que afecta a los dispositivos FortiGate SSL VPN. La explotación inicial de esta vulnerabilidad permitió a los atacantes extraer archivos de configuración, entre los que se encontraban credenciales administrativas y de usuario en texto claro o con cifrados fácilmente reversibles.
La filtración masiva de credenciales ha resultado en la exposición de cientos de miles de dispositivos a nivel global. Posteriormente, los grupos de ransomware INC y Lynx han aprovechado este acceso privilegiado para desplegar cargas maliciosas y cifrar infraestructuras enteras en ataques dirigidos, principalmente en sectores críticos y empresas con presencia internacional.
### 3. Detalles Técnicos
**Vulnerabilidad principal:**
– **CVE:** CVE-2023-27997
– **Dispositivos afectados:** FortiGate SSL VPN con versiones anteriores a FortiOS 7.0.12, 7.2.5 y 6.4.13
– **Vector de ataque:** Explotación remota (RCE) sin autenticación previa
– **Frameworks y herramientas utilizados:** Metasploit, Cobalt Strike, scripts personalizados de exfiltración y automatización
**Técnicas y Tácticas (MITRE ATT&CK):**
– **Initial Access:** Exploitation of Public-Facing Application (T1190)
– **Credential Access:** Credentials from Password Stores (T1555), Unsecured Credentials (T1552)
– **Lateral Movement:** Remote Services (T1021), Valid Accounts (T1078)
– **Execution:** Command and Scripting Interpreter (T1059)
– **Impact:** Data Encrypted for Impact (T1486)
**Indicadores de Compromiso (IoC):**
– Conexiones SSH y VPN desde direcciones IP asociadas a infraestructuras de C2 conocidas de INC y Lynx
– Ficheros de configuración exfiltrados (config.conf, system.conf)
– Actividad anómala en logs de acceso fuera del horario habitual
– Despliegue de binarios de ransomware (extensiones típicas .lynx, .inc)
### 4. Impacto y Riesgos
El alcance de la campaña FortiBleed es significativo. Según estimaciones de firmas de inteligencia, más de 300.000 dispositivos FortiGate habrían sido afectados por la filtración de credenciales. La facilidad con la que los atacantes han podido escalar privilegios y desplazarse lateralmente dentro de las redes comprometidas ha permitido ataques de ransomware altamente destructivos.
Empresas de sectores como manufactura, servicios financieros, energía y administración pública han sufrido interrupciones operativas, pérdidas de datos y demandas de rescate de hasta 5 millones de euros por incidente. Además, la exposición de credenciales podría facilitar ataques futuros incluso tras la mitigación inicial.
### 5. Medidas de Mitigación y Recomendaciones
1. **Actualización inmediata:** Aplicar los parches de seguridad recomendados por Fortinet (FortiOS 7.0.12, 7.2.5 y 6.4.13 o superiores).
2. **Revisión de credenciales:** Forzar el cambio de todas las contraseñas asociadas a dispositivos FortiGate y revisar la autenticación multifactor.
3. **Monitorización de accesos:** Auditar registros de acceso y buscar patrones anómalos, especialmente conexiones desde ubicaciones inusuales.
4. **Implementar segmentación de red:** Limitar el acceso a las interfaces administrativas y restringir el tráfico de administración a redes internas.
5. **Desplegar soluciones EDR:** Utilizar herramientas avanzadas de detección y respuesta para identificar comportamientos sospechosos post-explotación.
6. **Planes de respuesta:** Actualizar y probar los procedimientos de respuesta ante incidentes y de recuperación ante ransomware.
7. **Revisión de IoCs:** Integrar los últimos indicadores de compromiso publicados en sistemas SIEM y SOC.
### 6. Opinión de Expertos
Expertos en ciberseguridad coinciden en que la campaña FortiBleed representa una evolución preocupante en la utilización de credenciales filtradas como vector de ataque inicial. “La velocidad con la que los actores de amenazas han pivotado desde la explotación de la vulnerabilidad hasta la automatización del despliegue de ransomware es un recordatorio claro de la importancia de la gestión de vulnerabilidades y del hardening de dispositivos perimetrales”, afirma Javier Martínez, analista jefe de un reconocido CSIRT europeo.
Por su parte, responsables de Fortinet han reiterado la urgencia de actualizar los dispositivos y han colaborado con organismos internacionales para la difusión de IoCs y guías de mitigación.
### 7. Implicaciones para Empresas y Usuarios
Además del impacto operativo y financiero, las organizaciones afectadas pueden enfrentarse a sanciones regulatorias bajo marcos como el GDPR y la Directiva NIS2, especialmente en lo referente a la protección de datos personales y la obligatoriedad de notificación de incidentes. La persistencia de credenciales filtradas en mercados clandestinos incrementa el riesgo residual incluso tras la contención inicial.
Los usuarios y clientes de empresas afectadas podrían ver comprometidos sus datos personales, lo que añade presión reputacional y legal sobre las organizaciones.
### 8. Conclusiones
La campaña FortiBleed demuestra cómo una vulnerabilidad crítica y una gestión deficiente de credenciales pueden convertirse en la puerta de entrada para ataques de ransomware devastadores. La inmediatez en la aplicación de parches, la rotación de credenciales y la monitorización continua son esenciales para minimizar la superficie de ataque. La colaboración entre sector privado, fabricantes y organismos reguladores será clave para frenar este tipo de amenazas en el futuro.
(Fuente: www.securityweek.com)
