A negociação falha: análise de dados do vazamento de 440 GB do Fortinet Sharepoint

Categoria: Inteligência do adversário | Indústria: TI e tecnologia | Motivação: Financeiro | Região: EUA/América do Norte | Fonte: A1

Sumário executivo

Em 12 de setembro de 2024, a plataforma xVigil da CloudSEK descobriu um agente de ameaças chamado “Fortibitch” vazando 440 GB de dados supostamente exfiltrados do repositório SharePoint da Fortinet. O ator tentou extorquir a empresa, mas, após negociações malsucedidas, divulgou os dados. É altamente improvável que um ransomware tenha sido usado na violação. “Fortibitch” fez referência ao grupo de hackers ucraniano DC8044, embora nenhuma conexão direta tenha sido estabelecida entre eles. Com base nas informações disponíveis, acredita-se com média confiança que o ator da ameaça esteja baseado na Ucrânia.

Este blog agora está atualizado após analisar o impacto dos dados vazados. Consulte a seção Análise

Análise e atribuição

Informações do Post

• Em 12 de setembro de 2024, CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um agente de ameaças com o apelido de “Fortibitch” que vazou 440 GB de dados supostamente coletados do repositório Sharepoint da Fortigate.

‍

‍

• O ator mencionou na postagem que eles tentaram negociar com a liderança da empresa afetada, sem sucesso. Como parte de sua estratégia de extorsão, eles agora vazaram os dados extraídos da Fortinet. O ator da ameaça menciona as duas aquisições da Fortinet; Next DLP e Lacework, que estão operando nos setores de prevenção de perda de dados e segurança na nuvem, respectivamente.
• Não está claro se os servidores da Fortinet foram infectados por ransomware ou não, já que o agente da ameaça que publicou os dados não mencionou o uso de ransomware.
• O ator da ameaça mencionou alguns grupos no tópico, sendo o mais interessante deles o DC8044, que é um grupo local de hackers com sede na Ucrânia. O ator de ameaças “Fortibitch” já colaborou com o DC8044 no passado. DC8044 Socials: algum texto
  • https://x.com/dc8044_cr3w
  • https://t.me/DC8044
• Não há ligações diretas entre “Fortibitch” e DC8044, mas o tom sugere uma história entre os dois. Com base nas informações disponíveis, podemos verificar com média confiança que o ator da ameaça está sediado na Ucrânia.
• Há uma boa chance de que os dados obtidos da Fortinet não tenham sido de natureza crítica. Se fosse, o agente da ameaça teria tentado vender os dados para compradores interessados. No entanto, não notamos nenhum tópico de vendas relacionado ao mesmo. Nossa investigação está em andamento.
• Os dados vazados incluem recursos de funcionários, documentos financeiros, documentos de RH da Índia, ofertas de produtos, vendas nos EUA, serviços profissionais e documentos de marketing, além de informações sobre clientes. A sensibilidade e o conteúdo dos dados indicam que eles foram realmente extraídos de um servidor sharepoint pertencente à Fortinet.

Aqui está uma visão geral detalhada sobre os tipos de dados que podem ser acessados:

• Alertas EDR e informações do painel: alertas internos relacionados a vários ambientes, hospedados em um painel acessível localmente vinculado ao EnSilo. Nas mãos de um invasor, essas informações fornecem visibilidade da detecção e resposta internas de ameaças da organização, potencialmente permitindo que ele entenda os pontos fracos e contorne as defesas.
• Detalhes do Conselho Anti-Phishing: Informações sobre os membros e as regras de uma iniciativa de segurança cibernética. Isso pode ser explorado para atingir indivíduos envolvidos em esforços anti-phishing.
• NDAs e acordos assinados pelo cliente: contratos e acordos confidenciais com clientes. Um invasor pode usar essas informações jurídicas e comerciais confidenciais para extorsão, fraude ou danos à reputação.
• Capturas de pacotes: Capturas de pacotes de rede de ambientes internos. Isso pode permitir que os invasores analisem o tráfego, identifiquem vulnerabilidades e lancem ataques direcionados com base nos dados da rede.
• Diagramas e configurações de rede: diagramas detalhados de topologia de rede, configurações de firewall, registros e backups. Esses dados oferecem informações sobre a arquitetura de rede e as configurações de segurança, facilitando aos invasores identificar pontos de entrada, configurações incorretas e planejar movimentos laterais.
• RCA (análise de causa raiz) e relatórios de incidentes: relatórios pós-incidentes detalhados que descrevem vulnerabilidades e incidentes de segurança. Os invasores podem aproveitar essas informações para explorar pontos fracos conhecidos ou redirecionar vulnerabilidades específicas que não foram totalmente mitigadas.
• Dumps internos de e-mail: acesso a e-mails internos. Eles podem fornecer aos atacantes comunicações confidenciais, fornecendo informações sobre operações internas, possíveis oportunidades de spear-phishing e pontos de entrada adicionais para maiores comprometimentos

‍

Atividade e classificação do ator de ameaças

‍

‍

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia

‍

Apêndice

‍