// 1 CRITICAL · 2 ZERO-DAY · 3 CVE · 3 EXPLOIT NELLE ULTIME 24H
SOCRadar collega il furto di credenziali FortiBleed ai gruppi INC e Lynx: un operatore gestiva insieme l'infrastruttura di raccolta e i pannelli di negoziazione.

Tutte le evidenze sul collegamento ransomware traggono origine dalla ricerca di SOCRadar, non ancora verificata indipendentemente.

Il 1° luglio 2026 SOCRadar ha reso pubblico il collegamento operativo tra la campagna di furto credenziali FortiBleed e i gruppi ransomware INC e Lynx. Per cinque mesi — da febbraio 2026 — la campagna era apparsa come furto di credenziali fine a sé stesso. La scoperta del luglio 2026 rivela che ogni firewall compromesso era già un possibile vettore ransomware.

Un singolo operatore, scoperto con sessioni browser aperte su entrambi i pannelli di negoziazione, gestiva contemporaneamente l'infrastruttura di raccolta massiva di credenziali e le trattative con le vittime. La scoperta chiude il cerchio tra il compromesso dei firewall di perimetro e la distribuzione del malware crittografico.

Punti chiave
  • Un operatore legato all'infrastruttura FortiBleed era attivamente loggato sui pannelli di negoziazione di INC Ransom e Lynx, con screenshot che mostrano le chat con le vittime.
  • La campagna ha preso di mira oltre 430.000 firewall FortiGate in 150 paesi, con 110 milioni di credenziali rubate.
  • I ricercatori hanno completato la catena d'attacco su 354 target, con 12 confermati che hanno portato a deployment ransomware.
  • Un documento interno recuperato dall'infrastruttura attaccante rivela un'operazione strutturata di circa 20 persone con ruoli definiti.

Come funziona l'estrazione: il tool Golang e i 24 protocolli

I ricercatori di SOCRadar hanno analizzato reverse-engineering un tool personalizzato scritto in Golang, denominato FortigateSniffer, che sfrutta il comando diagnostico nativo di FortiOS diagnose sniffer packet. Il tool si appoggia a credenziali già compromesse — riutilizzo di password o attacchi brute-force, come confermato da Fortinet — per ottenere accesso amministrativo al dispositivo. Da lì, attiva la cattura passiva del traffico di autenticazione su 24 protocolli diversi.

Il tool è progettato per estrarre credenziali RADIUS, NTLM, Kerberos e altri schemi di autenticazione transitanti per il dispositivo di perimetro. I commenti nel codice sono in lingua russa, secondo quanto documentato da Dark Reading. L'infrastruttura di raccolta si è rivelata più estesa del previsto: SOCRadar ha mappato oltre 200 server operativi aggiuntivi rispetto alla campagna originale, con una stima totale che si avvicina ai 500 server — stima ripresa anche da Techzine.

Il server Windows che ha tradito l'operazione

Il punto di svolta nell'indagine è stato il ritrovamento di un server Windows all'interno dell'infrastruttura FortiBleed. Su questo sistema, i ricercatori hanno trovato sessioni browser aperte sui pannelli di negoziazione di INC Ransom e Lynx, con chat attive con le vittime del ransomware. BleepingComputer ha pubblicato screenshot forniti da SOCRadar che mostrano queste interfacce.

SOCRadar ha anche verificato una sovrapposizione tra le organizzazioni presenti nei dataset di FortiBleed e quelle elencate sul sito di leak di INC. Almeno 12 deployment ransomware sono stati confermati, con centinaia di endpoint crittografati, secondo quanto riportato da The Hacker News — che a sua volta riprende le stime di SOCRadar.

"Finding a single operator working both panels, using infrastructure traceable back to FortiBleed, is the clearest evidence yet that FortiGate credentials harvested through this campaign are being handed off, or used directly, for ransomware deployment" — SOCRadar Threat Research Unit

I numeri della campagna

La scala dell'operazione è significativa. SOCRadar ha rilevato oltre 430.000 firewall FortiGate presi di mira a livello globale. Di questi, 11.250 portali di gestione sono stati scansionati in più di 150 paesi. L'infrastruttura attiva di raccolta ha raggiunto 19.000 dispositivi con sniffer distribuiti, scesi a circa 11.000 dopo le notifiche inviate agli amministratori.

I ricercatori hanno confermato accesso amministrativo su 409 target, e completato l'intera catena d'attacco — dal compromesso VPN al dominio controller fino all'elevazione a domain admin — su 354 di questi. Il dato di impatto più rilevante resta il volume di credenziali estratte: oltre 110 milioni, incluse RADIUS, NTLM e Kerberos.

Il documento interno recuperato dai ricercatori mostra un'operazione di circa 20 persone con ruoli differenziati. SOCRadar non esclude che gli operatori siano membri diretti dei gruppi ransomware, né che agiscano come IAB — Initial Access Broker — indipendenti che vendono l'accesso.

La struttura dietro lo schermo

Il documento di tracciamento interno mostra una divisione dei compiti che include la gestione dei target, lo sviluppo degli strumenti, l'operatività sui pannelli ransomware e il coordinamento delle negoziazioni. Sui sistemi compromessi i ricercatori hanno anche identificato un account backdoor persistente con username adminin, secondo quanto documentato da Techzine.

Un elemento che rimane parzialmente oscuro è il vettore di movimento laterale. SOCRadar sospetta l'utilizzo di una zero-day non ancora divulgata in Nextcloud, ma sta coordinando la divulgazione con il vendor. Non è chiaro se la vulnerabilità sia effettivamente sfruttata o se rappresenti solo un'ipotesi di lavoro.

Cosa fare adesso

Le azioni seguenti si basano sui fatti documentati nel brief di SOCRadar e sulle indicazioni di Fortinet:

  • Verificare se i firewall FortiGate in uso compaiono negli scan di SOCRadar: l'azienda ha notificato gli amministratori dei 19.000 dispositivi inizialmente identificati.
  • Cercare l'account adminin sui sistemi FortiGate: la sua presenza indica compromissione confermata.
  • Rivedere i log di accesso amministrativo per identificare sessioni sospette con il comando diagnose sniffer packet attivato in modo anomalo.
  • Controllare la sovrapposizione tra le proprie credenziali VPN/Firewall e i dataset di INC Ransom leak site.

Cosa cambia

Prima della ricerca di SOCRadar, FortiBleed era classificato come campagna di furto credenziali senza destinazione nota. Il collegamento diretto con i pannelli di negoziazione INC e Lynx trasforma la valutazione: ogni firewall compromesso non è più solo un rischio di esfiltrazione, ma un potenziale vettore di distribuzione ransomware.

Il ritardo di cinque mesi tra l'inizio della campagna — febbraio 2026 — e la scoperta del link ransomware — luglio 2026 — significa che le organizzazioni bersagliate hanno avuto un tempo di esposizione prolungato senza consapevolezza del rischio completo.

Il limite principale del dossier resta la provenienza unica delle evidenze: tutte le claim sul collegamento ransomware tracciano origine a SOCRadar, senza corroborazione indipendente al momento della pubblicazione.

Fonti: SOCRadar | BleepingComputer | Dark Reading | Fortinet | The Hacker News | Techzine

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. socradar.io
  2. bleepingcomputer.com
  3. darkreading.com
  4. fortinet.com
  5. thehackernews.com
  6. techzine.eu
  7. deals.bleepingcomputer.com