Los hackers responsables de la campaña de recolección de credenciales FortiBleed han robado credenciales de acceso a empleados de la Oficina de Asuntos Exteriores, la Commonwealth y el Desarrollo (FCDO) del Reino Unido, y las cuentas comprometidas ahora se anuncian en los mercados de la dark web junto con credenciales de ayuntamientos y organizaciones de infraestructuras críticas.

 

 

La campaña apunta a cortafuegos Fortinet y gateways VPN orientados a internet utilizando el relleno de credenciales y ataques de fuerza bruta contra nombres de usuario y contraseñas filtrados en brechas de datos anteriores. En lugar de explotar una nueva vulnerabilidad de software, los atacantes prueban continuamente las credenciales recicladas hasta encontrar cuentas que sigan usando las mismas contraseñas.

Según investigadores, la operación ha recopilado más de 30.000 credenciales verificadas de Fortinet de organizaciones de 194 países. La empresa de seguridad SOCRadar afirmó que los atacantes han construido una base de datos actualizada continuamente con nombres de usuario y contraseñas funcionales, que ahora se venden a otros ciberdelincuentes.

Entre las víctimas del Reino Unido se encuentran supuestamente personal del Ministerio de Asuntos Exteriores destinado en misiones diplomáticas británicas en Tailandia y Mauricio, así como empleados del Consejo del Condado de Derbyshire y del Consejo de Waltham Forest. Los investigadores advierten que las credenciales VPN válidas podrían permitir a los atacantes acceder remotamente a redes corporativas internas, crear nuevas cuentas de administrador, modificar configuraciones de cortafuegos y establecer una persistencia a largo plazo.

La brecha va más allá de las agencias gubernamentales. Los investigadores afirman que en el conjunto de datos robado también han aparecido credenciales vinculadas a organizaciones del NHS, proveedores de energía, proveedores farmacéuticos y otros operadores de infraestructuras críticas, lo que genera preocupación de que grupos de ransomware puedan comprar el acceso y usarlo para lanzar ataques posteriores.

El Centro Nacional de Ciberseguridad (NCSC) del Reino Unido ha confirmado que las organizaciones que utilizan cortafuegos Fortinet y dispositivos VPN están siendo objetivo en una campaña global en curso. La agencia insta a los administradores a restablecer inmediatamente las contraseñas reutilizadas o predeterminadas, auditar los registros de autenticación para detectar actividades sospechosas, habilitar la autenticación multifactor cuando sea posible y revisar los sistemas en busca de cuentas no autorizadas o cambios de configuración.

Aunque los investigadores afirman que partes del malware y la infraestructura contienen elementos en lengua rusa, actualmente no hay pruebas públicas que vinculen directamente la campaña con el gobierno ruso. Los expertos en seguridad advierten que los grupos cibercriminales de habla rusa suelen operar de forma independiente, lo que dificulta la atribución sin inteligencia más allá de los indicadores técnicos.

Deja un comentario