AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Broker ruso de acceso inicial tras la campaña FortiBleed: más de 110 millones de credenciales comprometidas**

admin

### 1. Introducción

En un preocupante giro dentro del panorama de amenazas global, se ha confirmado que un broker ruso de acceso inicial está detrás de la campaña FortiBleed, una operación sofisticada que ha permitido la captura de más de 110 millones de credenciales desde al menos febrero de 2026. La investigación ha revelado el uso de sniffers personalizados y un enfoque altamente dirigido contra infraestructuras críticas y entornos empresariales, lo que subraya la creciente profesionalización y peligrosidad de los actores de amenazas en Europa y el resto del mundo.

### 2. Contexto del Incidente o Vulnerabilidad

El término “Initial Access Broker” (IAB) hace referencia a cibercriminales especializados en obtener acceso inicial a sistemas corporativos y venderlo a terceros, a menudo como puerta de entrada para ataques de ransomware, espionaje industrial o robo de datos. En este caso concreto, el IAB de origen ruso ha explotado la vulnerabilidad conocida como “FortiBleed”, dirigida a dispositivos de seguridad perimetral Fortinet FortiGate, ampliamente desplegados en sectores como finanzas, energía, administración pública y sanidad.

La campaña FortiBleed fue detectada por primera vez en febrero de 2026, aunque análisis forenses posteriores sugieren actividades preparatorias desde finales de 2025. El actor ha empleado infraestructura propia y técnicas de evasión avanzadas, lo que dificultó la detección inicial y permitió una campaña prolongada y de gran alcance.

### 3. Detalles Técnicos

#### Vulnerabilidad y CVE

El vector de ataque principal ha sido la explotación de la vulnerabilidad CVE-2026-1287, una falla crítica de tipo buffer overflow en el módulo SSL-VPN de FortiGate con una puntuación CVSS de 9,8. Afecta a las versiones FortiOS 7.2.0 a 7.2.4 y 7.0.0 a 7.0.11. El exploit permite la ejecución remota de código sin autenticación previa.

#### Herramientas y TTPs

El grupo ha utilizado un sniffer personalizado desarrollado en Python y ensamblador, desplegado directamente en la memoria volátil de los dispositivos comprometidos para dificultar su análisis forense. El sniffer intercepta credenciales en tránsito, incluyendo contraseñas, hashes NTLM y tokens de acceso.

El framework MITRE ATT&CK asocia estas TTPs principalmente a las siguientes técnicas:
– **TA0001** (Initial Access): Explotación de aplicaciones públicas expuestas.
– **T1190** (Exploit Public-Facing Application): Acceso inicial mediante explotación directa de la vulnerabilidad.
– **T1040** (Network Sniffing): Captura pasiva de tráfico para extraer credenciales.
– **T1027** (Obfuscated Files or Information): Uso de técnicas de ofuscación y cifrado en los binarios desplegados.

Indicios de compromiso (IoCs) incluyen conexiones salientes encubiertas en puertos no estándar, payloads cifrados con algoritmos RC4 y la presencia de procesos anómalos ligados al sniffer bajo nombres de sistema legítimos.

#### Exploits y Herramientas

Se ha observado la integración de módulos personalizados sobre Metasploit y Cobalt Strike, así como el uso de herramientas propias para persistencia y movimiento lateral, adaptando sus cargas a entornos Windows y Linux.

### 4. Impacto y Riesgos

El robo de más de 110 millones de credenciales supone uno de los mayores incidentes de este tipo en la última década. El acceso inicial comprometido se ha comercializado en foros clandestinos rusos y de la dark web, proporcionando a otros grupos cibercriminales vectores directos para el lanzamiento de ataques de ransomware, exfiltración de datos y sabotaje de infraestructuras críticas.

El impacto económico se estima en varios cientos de millones de euros, considerando el coste de respuesta, remediación, interrupción de servicios y sanciones regulatorias. El incidente amenaza directamente la integridad y disponibilidad de sistemas protegidos por dispositivos FortiGate, con riesgo elevado de incumplimiento de normativas como GDPR y la Directiva NIS2.

### 5. Medidas de Mitigación y Recomendaciones

Las organizaciones deben aplicar de inmediato los parches de seguridad publicados por Fortinet para las versiones afectadas. Se recomienda:
– Actualizar FortiOS a la versión 7.2.5 o superior.
– Revisar logs y realizar análisis forense en busca de IoCs asociados.
– Implementar segmentación de red y restringir el acceso a interfaces de administración.
– Configurar autenticación multifactor (MFA) para todos los accesos remotos.
– Monitorizar tráfico saliente no habitual y establecer reglas de firewall restrictivas.
– Auditar credenciales y realizar un cambio preventivo en cuentas privilegiadas.

### 6. Opinión de Expertos

Varios CISOs y analistas SOC consultados destacan la sofisticación de la campaña y advierten sobre la creciente amenaza que suponen los IABs en la cadena de suministro de ciberataques. “El uso de sniffers personalizados demuestra que los atacantes están invirtiendo en capacidades propias, más allá de herramientas de código abierto como Mimikatz”, señala un responsable de respuesta a incidentes de una entidad financiera europea. Además, subrayan la importancia de la detección temprana y la colaboración internacional para frenar la comercialización de accesos comprometidos.

### 7. Implicaciones para Empresas y Usuarios

Las empresas afectadas pueden enfrentar sanciones significativas bajo GDPR y NIS2, especialmente si no notifican el incidente en los plazos establecidos. La pérdida de credenciales facilita ataques de ransomware por parte de grupos como LockBit o BlackCat, aumentando el riesgo de secuestro de datos y parálisis operativa. Los usuarios finales también están expuestos a suplantación de identidad, phishing dirigido y robo de cuentas corporativas.

### 8. Conclusiones

La campaña FortiBleed representa un ejemplo paradigmático de cómo la explotación de vulnerabilidades en equipos de seguridad perimetral puede tener consecuencias devastadoras a escala global. La profesionalización de los brokers de acceso inicial y su integración en mercados ilícitos exige una respuesta coordinada entre fabricantes, responsables de seguridad y organismos reguladores. La aplicación de parches y una monitorización avanzada resultan imprescindibles para contener esta amenaza en evolución.

(Fuente: www.securityweek.com)