A campanha FortiBleed revelou uma das mais preocupantes operações recentes contra infraestruturas corporativas. A descoberta feita pela SOCRadar mostrou que o roubo massivo de credenciais de dispositivos FortiGate não foi um incidente isolado, mas parte de uma cadeia de ataques diretamente ligada aos grupos de ransomware Lynx e INC. A operação expõe como credenciais comprometidas podem se transformar rapidamente em invasões de alto impacto.
O caso chama a atenção pelo seu alcance e pelo nível de sofisticação dos criminosos. Em vez de explorar apenas uma empresa ou setor específico, os operadores da campanha concentraram esforços na coleta sistemática de credenciais de acesso remoto, criando um enorme banco de dados capaz de alimentar futuras campanhas de ransomware contra organizações ao redor do mundo.
Os firewalls FortiGate desempenham um papel essencial na proteção das redes corporativas. Eles controlam o tráfego, protegem conexões VPN, bloqueiam ataques externos e servem como uma das primeiras linhas de defesa contra invasores. Quando esses equipamentos são comprometidos, toda a infraestrutura da empresa pode ficar exposta, tornando o impacto potencialmente devastador.
O que é a campanha FortiBleed e como ela opera
A campanha FortiBleed foi identificada após pesquisadores da SOCRadar encontrarem um servidor exposto contendo mais de 73 mil credenciais associadas a dispositivos FortiGate comprometidos. A descoberta revelou uma operação organizada voltada para a coleta contínua de informações sensíveis utilizadas posteriormente por grupos especializados em extorsão digital.
Os pesquisadores também estimaram que aproximadamente 430 mil firewalls FortiGate foram alvo de varreduras e tentativas de comprometimento durante a operação. Embora nem todos tenham sido efetivamente invadidos, o número demonstra a dimensão da campanha e a capacidade dos atacantes de automatizar ataques em larga escala.
A estratégia empregada não consistia apenas em capturar senhas. O objetivo era obter acesso persistente aos ambientes corporativos para que outras fases do ataque pudessem ser executadas posteriormente, incluindo movimentação lateral, escalonamento de privilégios e implantação de ransomware.

A tática do FortiGate Sniffer
Um dos componentes mais relevantes da operação foi a utilização da ferramenta conhecida como FortiGate Sniffer.
Essa ferramenta era utilizada para interceptar o tráfego das conexões VPN diretamente nos firewalls comprometidos, permitindo aos criminosos capturar credenciais de autenticação durante o fluxo normal das conexões realizadas pelos usuários.
Na prática, o equipamento de segurança deixava de atuar apenas como proteção e passava a funcionar como um ponto de espionagem dentro da própria rede corporativa.
Essa abordagem possui duas características que tornam a ameaça ainda mais perigosa:
- Baixa visibilidade, já que a captura ocorre dentro do firewall.
- Grande escalabilidade, permitindo comprometer diversas organizações simultaneamente.
Como consequência, administradores podem demorar semanas ou até meses para perceber que informações sensíveis estão sendo coletadas continuamente.
Backdoor persistente e possíveis brechas zero-day
Outro elemento alarmante identificado pelos pesquisadores foi a criação de um usuário administrativo falso chamado “adminin”.
À primeira vista, o nome parece apenas um erro de digitação de “admin”. Entretanto, justamente essa semelhança reduz as chances de o invasor ser descoberto durante auditorias rápidas de contas administrativas.
Esse backdoor persistente permitia que os criminosos recuperassem o acesso mesmo após alterações de senha realizadas pelos administradores.
Os pesquisadores também levantaram a hipótese de que parte da operação possa ter explorado uma vulnerabilidade zero-day, possivelmente relacionada ao Nextcloud, embora essa ligação ainda esteja sendo investigada e não tenha sido confirmada oficialmente.
Caso essa hipótese seja validada, ela indicará que os invasores possuíam recursos suficientes para combinar exploração de vulnerabilidades inéditas com técnicas tradicionais de roubo de credenciais.
Como a campanha FortiBleed alimentou os ransomwares Lynx e INC
Uma das descobertas mais importantes da investigação foi estabelecer uma ligação direta entre a campanha FortiBleed e operações de ransomware.
Durante a análise da infraestrutura utilizada pelos atacantes, pesquisadores encontraram evidências de que os operadores acessavam painéis internos de negociação utilizados por grupos de ransomware no mesmo servidor relacionado ao roubo das credenciais.
Esse detalhe praticamente elimina a hipótese de que as credenciais seriam revendidas aleatoriamente em fóruns clandestinos. Em vez disso, tudo indica que existia uma integração operacional entre os responsáveis pela coleta dos acessos e as equipes encarregadas das fases finais da extorsão.
Os grupos Lynx e INC aparecem como os principais beneficiários desse ecossistema criminoso.
Pesquisadores acreditam que exista uma forte relação operacional entre ambos. Em diversas campanhas recentes foram observadas semelhanças na infraestrutura utilizada, nos métodos de invasão, na negociação com vítimas e nas técnicas de criptografia dos dados.
Há indícios de que integrantes do antigo grupo INC tenham migrado ou reorganizado suas operações sob a marca Lynx, preservando boa parte da infraestrutura anterior.
Embora ainda existam investigações em andamento, essa hipótese ajuda a explicar a continuidade das campanhas mesmo após mudanças na identidade pública dos grupos criminosos.
O impacto global da campanha FortiBleed e como se proteger
A dimensão da campanha FortiBleed demonstra uma mudança importante no cenário das ameaças modernas.
Os criminosos não precisam mais invadir individualmente cada organização para obter sucesso. Ao comprometer equipamentos de infraestrutura utilizados por milhares de empresas, eles conseguem construir enormes bases de credenciais prontas para futuras invasões.
Para administradores de sistemas e equipes de segurança, esse caso reforça algumas medidas fundamentais:
- Auditar todas as contas administrativas existentes nos firewalls.
- Verificar usuários desconhecidos, especialmente contas semelhantes ao administrador padrão.
- Revisar logs de autenticação em busca de acessos incomuns.
- Atualizar imediatamente os dispositivos FortiGate para versões corrigidas.
- Reforçar a autenticação multifator (MFA) em todos os acessos administrativos.
- Monitorar sessões VPN em busca de atividades anormais.
- Segmentar redes críticas, reduzindo a movimentação lateral em caso de invasão.
Também é recomendável revisar políticas de resposta a incidentes e validar periodicamente backups offline, já que campanhas de ransomware normalmente evoluem rapidamente após o comprometimento inicial.
A principal lição deixada pela operação é que os firewalls corporativos não podem ser vistos apenas como equipamentos de borda. Eles precisam receber monitoramento constante, auditorias frequentes e atualizações de segurança tão rigorosas quanto servidores críticos.
À medida que grupos como Lynx e seus possíveis predecessores continuam profissionalizando suas operações, proteger a infraestrutura de acesso remoto passa a ser uma prioridade estratégica para qualquer organização.
Se sua empresa utiliza soluções FortiGate, este é um bom momento para revisar usuários administrativos, verificar os registros de autenticação, confirmar a integridade das configurações e investigar qualquer atividade suspeita. A prevenção continua sendo a melhor defesa contra campanhas cada vez mais sofisticadas como a campanha FortiBleed.