FortiBleed: Como o Roubo de Credenciais FortiGate Alimenta Ransomware INC e Lynx

Descubra os detalhes da campanha FortiBleed, que coletou 110 milhões de credenciais FortiGate e está diretamente ligada aos ataques de Ransomware INC e Lynx.

Editor TecDicas

Infográfico sobre a campanha FortiBleed mostrando um appliance firewall FortiGate da Fortinet
Infográfico sobre a campanha FortiBleed mostrando um appliance firewall FortiGate da Fortinet

Alerta de Cibersegurança: Campanha FortiBleed Conecta Roubo Massivo de Credenciais FortiGate aos Ransomwares INC e Lynx

O cenário global de ameaças digitais acaba de sofrer um impacto severo. A recém-descoberta campanha FortiBleed, focada em motivações financeiras e roubo de credenciais em larga escala, foi oficialmente vinculada a duas das operações de ransomware mais agressivas do momento: INC Ransom e Lynx.

A descoberta comprova o que muitos especialistas temiam: dados de acessos legítimos roubados em massa estão sendo convertidos diretamente em invasões destrutivas e criptografia de redes corporativas.

De acordo com um relatório detalhado publicado pela empresa de inteligência cibernética SOCRadar, investigadores identificaram conexões técnicas diretas entre os operadores da infraestrutura do FortiBleed e os painéis de negociação de resgates de ambos os grupos criminosos. Esta é a primeira vez que o roubo massivo de credenciais em dispositivos FortiGate é diretamente associado à implantação final de ransomware.

Os Números Alarmantes da Invasão FortiBleed

O tamanho da operação impressiona até mesmo analistas veteranos de cibersegurança. Os criminosos miraram uma superfície de ataque gigantesca, varrendo a internet em busca de vulnerabilidades e falhas de configuração.

  • Dispositivos Alvos: Estima-se que 430.000 firewalls FortiGate tenham sido monitorados ou visados globalmente.

  • Credenciais Coletadas: Mais de 110 milhões de combinações de usuários e senhas foram extraídas no processo.

  • Infraestrutura Comprometida: A varredura ativa atingiu mais de 11.250 portais FortiGate em mais de 150 países.

  • Ataques Concluídos: O SOCRadar confirmou acesso a nível de administrador (admin-level) em 409 alvos, completando com sucesso a cadeia de ataque em 354 deles.

Até o momento, pelo menos 12 implantações bem-sucedidas de ransomware foram diretamente rastreadas a partir desse vetor de acesso, resultando na criptografia completa de centenas de endpoints em organizações afetadas.

Como funciona o ataque?

A campanha, que começou a ser desmantelada no mês passado, operava por meio de uma automação sistemática. Os atacantes escaneavam a internet procurando por dispositivos Fortinet expostos, tentavam obter acesso usando combinações de credenciais conhecidas (ataques de credential stuffing ou força bruta) e, uma vez dentro, instalavam um sniffer de pacotes customizado em linguagem Golang.

Esse sniffer agia passivamente, capturando tráfego de rede e colhendo credenciais e dados de autenticação de usuários legítimos sem levantar suspeitas. O malware em Golang foi identificado em cerca de 12.000 dispositivos Fortinet em todo o mundo.

O Erro Operacional que Expôs o Grupo Russo

A ligação entre o FortiBleed e os ransomwares INC e Lynx só foi descoberta devido a um erro de segurança operacional (OPSEC) dos próprios criminosos. Os atacantes deixaram um servidor de coordenação exposto na internet sem proteção.

Ao analisar o servidor exposto, especialistas descobriram que ele funcionava como um "banco de dados de palco" (staging server). Segundo Ensar Seker, CISO da SOCRadar, o servidor continha inventários de alvos, dados colhidos, scripts de automação e arquivos de configuração. Ele servia estritamente como a infraestrutura de backend dos criminosos, e não como uma página de phishing com a qual as vítimas interagiam.

Análises de ferramentas, logs de atividades e fusos horários apontam que a operação é conduzida por um grupo cibercriminoso de língua russa, que atua principalmente como um Initial Access Broker (provedor de acessos iniciais para outros criminosos).

Um documento interno confiscado revelou que a operação é altamente organizada, contando com cerca de 20 pessoas com divisões claras de trabalho: um núcleo central lidera as intrusões de alto impacto, apoiado por especialistas técnicos e equipes de suporte. Os setores mais afetados até agora incluem manufatura, tecnologia e logística, com forte foco nas regiões da América Latina e Ásia-Pacífico.

Próximos Alvos: Vulnerabilidades em Nextcloud e Citrix na Mira

Os analistas emitiram alertas ainda mais graves baseados nos arquivos encontrados no servidor dos criminosos. A organização possui, supostamente, pelo menos uma vulnerabilidade de dia zero (zero-day) não revelada para a plataforma Nextcloud. Detalhes estão sendo mantidos sob sigilo enquanto a empresa de segurança coordena a resposta com o desenvolvedor do software.

Além disso, foram encontrados artefatos relacionados a ambientes Citrix. A infraestrutura dos atacantes incluía uma lista dedicada de alvos contendo aproximadamente 29.000 endereços IP e 37 domínios associados a redes Citrix.

Embora isso não prove que ataques em massa contra a Citrix já estejam acontecendo, demonstra uma fase avançada de reconhecimento e preparação de alvos. Dada a capacidade comprovada do grupo de automatizar roubos de credenciais contra a Fortinet, redes que utilizam Citrix expostas à internet devem acender o sinal de alerta imediatamente.

Malware Adicional: O Caso do EKZ Stealer via FortiClient

Para agravar a situação do ecossistema Fortinet, a empresa de segurança eSentire reportou quase simultaneamente ataques explorando uma falha crítica no Fortinet FortiClient EMS (rastreada como CVE-2026-35616, com pontuação CVSS de 9.1).

Nesses incidentes, os cibercriminosos aproveitam a falha para implantar um infostealer chamado EKZ Stealer em empresas do setor de energia e utilidades públicas. O objetivo do malware é coletar credenciais salvas em navegadores baseados em Chromium e Firefox, extraindo as informações via comandos maliciosos no PowerShell.

Como Proteger sua Empresa contra o FortiBleed e Ameaças Relacionadas

Diante de ameaças automatizadas e da agressividade de grupos de ransomware como INC e Lynx, administradores de rede e profissionais de TI devem adotar posturas defensivas imediatamente:

  1. Auditoria de Logs de Autenticação: Verifique os logs de acessos de seus firewalls FortiGate e ambientes Citrix em busca de conexões anômalas ou em horários incomuns.

  2. Autenticação Multifator (MFA) Obrigatória: Imponha o uso de MFA para todos os acessos VPN e consoles de gerenciamento de borda. Credenciais roubadas perdem o valor se houver um segundo fator de validação.

  3. Rotação de Senhas Críticas: Promova a troca imediata de senhas de administradores de redes e credenciais de infraestrutura de borda.

  4. Atualização Urgente de Patches: Certifique-se de aplicar as atualizações de segurança mais recentes emitidas pela Fortinet (especialmente corrigindo o CVE-2026-35616) e mantenha sistemas Nextcloud monitorados.

A campanha FortiBleed redesenha o nível de perigo que o roubo de credenciais automatizado representa. Proteger o perímetro digital não é mais uma opção, mas uma necessidade de sobrevivência para o ecossistema corporativo moderno.

Perguntas Frequentes (FAQ)

O que é a campanha FortiBleed?

A FortiBleed é uma operação cibercriminosa de larga escala focada no roubo automatizado de credenciais de acesso em dispositivos de rede, principalmente firewalls FortiGate da Fortinet. Os atacantes invadem os sistemas e instalam um sniffer malicioso para capturar usuários e senhas diretamente do tráfego de rede.

Qual é a relação entre o FortiBleed e os Ransomwares INC e Lynx?

Investigações da empresa SOCRadar descobriram que os acessos obtidos pela campanha FortiBleed foram repassados diretamente para operadores dos ransomwares INC Ransom e Lynx. Os criminosos usam essas credenciais legítimas roubadas para invadir as empresas, se mover pela rede e criptografar os dados para exigir resgates.

Como os criminosos conseguiram roubar tantas credenciais?

A operação utilizou ferramentas de automação para escanear a internet atrás de dispositivos vulneráveis ou mal configurados. Eles realizavam ataques de força bruta ou credential stuffing (testando senhas vazadas anteriormente) e, após o login, implantavam um malware escrito em Golang para monitorar e roubar novos acessos de forma invisível.

Minha empresa usa ambientes Citrix ou Nextcloud. Devo me preocupar?

Sim. No servidor de comando dos criminosos, foram encontradas listas de alvos contendo mais de 29 mil IPs associados a redes Citrix, além de indícios de uma vulnerabilidade de "dia zero" (zero-day) voltada para o Nextcloud. Isso indica que o grupo está expandindo a operação para além dos dispositivos Fortinet.

O que é o malware EKZ Stealer e o CVE-2026-35616?

O EKZ Stealer é um vírus do tipo infostealer (roubador de informações) que está sendo distribuído através da exploração de uma falha crítica no Fortinet FortiClient EMS (rastreada como CVE-2026-35616, com nota de gravidade 9.1). Ele foca em extrair senhas salvas em navegadores como Firefox e navegadores baseados em Chromium (como Chrome e Edge).

Como posso proteger a infraestrutura de TI da minha empresa?

As principais medidas recomendadas por especialistas incluem:

  • Ativar obrigatoriamente a Autenticação Multifator (MFA) para todos os acessos externos e VPNs.

  • Aplicar imediatamente os patches de segurança e atualizações da Fortinet.

  • Forçar a rotação (troca) de senhas de todas as contas de administradores.

  • Monitorar ativamente os logs de autenticação em busca de acessos anômalos ou em horários incomuns.

🛠️ Conheça as Ferramentas Online com Privacidade Total do TecDicas

Precisa resolver uma tarefa rápida no seu dia a dia digital com segurança máxima? Na nossa seção de Ferramentas, todos os utilitários rodam direto no navegador da sua máquina.

🔒 Segurança Absoluta: Chega de baixar programas suspeitos ou fazer upload de arquivos confidenciais. Como o processamento é 100% local, seus dados nunca saem do seu computador ou celular.

Acesse os nossos utilitários gratuitos mais acessados:

👉 Ver a lista completa com as 12 Ferramentas Gratuitas

Os melhores produtos custo-benefício você encontra aqui

Explore as TechDicas com análises, recomendações e seleções inteligentes para você comprar melhor e gastar menos.

Confira aqui as TechDicas de produtos.

Dúvidas? Fale conosco pelo email ou na sessão Contato

© 2026. All rights reserved.

Email