A campanha FortiBleed não foi um ataque de oportunidade. Foi uma operação estruturada: roubar credenciais de dispositivos Fortinet em larga escala, armazená-las e usá-las como ponto de entrada para ataques de ransomware meses depois.
O SOCRadar vinculou as credenciais roubadas às operações dos ransomwares INC e Lynx. O que parecia uma campanha isolada de roubo de credenciais era, na prática, a fase de reconhecimento de múltiplas invasões futuras.
Como o FortiBleed funcionou
A campanha explorou vulnerabilidades conhecidas em dispositivos FortiGate e FortiClient expostos na internet — muitos deles sem patches aplicados. O objetivo não era acesso imediato: era coletar credenciais VPN e de administração de milhares de organizações simultaneamente.
As credenciais coletadas foram consolidadas em bases de dados estruturadas, classificadas por organização, tipo de acesso e nível de privilégio. Esse material foi então comercializado em fóruns fechados e vendido diretamente a grupos de ransomware como serviço.
O intervalo entre o roubo e o uso foi de semanas a meses — tempo suficiente para que os defensores baixassem a guarda, achando que o incidente havia sido contido. Não é a primeira vez que dispositivos Fortinet são o vetor: em 2024, 490.000 dispositivos Fortinet ficaram expostos a uma vulnerabilidade crítica — o padrão de negligência com equipamentos de perímetro é recorrente.
Por que isso é diferente de um ataque convencional
A separação entre quem rouba credenciais e quem executa o ransomware é a evolução mais perigosa do ecossistema de ameaças atual. Ela significa que:
- A empresa pode ter sido comprometida muito antes de qualquer sinal visível aparecer
- Revogar senhas após identificar o FortiBleed pode não ser suficiente — o acesso pode já ter sido vendido
- Os logs de acesso da época do roubo precisam ser revisados, não apenas os recentes
- Grupos de ransomware com acesso pré-comprado conseguem escalar o ataque em horas, sem a fase demorada de reconhecimento inicial
Como verificar se sua organização foi afetada
Ações concretas de investigação:
- Verificar o hash das credenciais nos dumps públicos do FortiBleed usando ferramentas como Have I Been Pwned for Enterprise ou serviços de threat intelligence
- Auditar acessos VPN dos últimos 90 dias — especialmente acessos fora do horário comercial, de IPs estrangeiros ou com duração anormal de sessão. Entenda como a VPN FortiOS SSL registra e expõe dados de sessão
- Rotacionar todas as credenciais de administração Fortinet independente de confirmação de comprometimento — o custo é baixo, o risco de não fazer é alto
- Revisar regras de firewall e túneis VPN ativos — verificar se há configurações não reconhecidas criadas no período da campanha
- Checar integridade dos certificados SSL instalados nos dispositivos
O padrão que vai se repetir
FortiBleed não é um evento isolado. É o modelo que grupos de ransomware bem capitalizados estão adotando: separar inteligência (roubo de acesso) de execução (ransomware). Dispositivos de segurança de perímetro — firewalls, VPNs, gateways — são os alvos preferenciais porque têm acesso privilegiado à rede e raramente são monitorados com a mesma atenção que servidores internos.
A defesa requer profissionais que entendam esse padrão e saibam onde procurar evidências antes que o ransomware seja acionado. Veja as 10 ferramentas para gestão de vulnerabilidades que ajudam a mapear dispositivos expostos antes que virem vetor de ataque.
Forme analistas que detectam antes do impacto
A IBSEC prepara profissionais para identificar comprometimentos na fase de acesso inicial — antes que o dano seja irreversível:
- Defesa Cibernética — Analista SOC na Prática — threat hunting, análise de logs de acesso e resposta a incidentes com metodologia real
- Ransomware — Identificar, Proteger e Recuperar na Prática — playbook completo de antes, durante e após um ataque
- Gestão de Vulnerabilidades na Prática — identificar e priorizar dispositivos expostos antes que virem vetor de ataque
Ou valide o que você já sabe com a Certificação IBSEC gratuita — disponível em português, sem custo.
Capacite-se com quem é referência em cibersegurança no Brasil. Domine as práticas que o mercado exige e conquiste novas oportunidades.