← Voltar ao blog

FortiBleed: 430K+ Firewalls FortiGate Alvo de Massive Credential Harvesting Campaign

Um intermediário de acesso inicial falante de russo orquestrou uma operação de coleta de credenciais em larga escala contra mais de 430.000 firewalls FortiGate desde fevereiro de 2026, potencialmente expondo 110 milhões de credenciais. A campanha FortiBleed combina reconhecimento, ataques de força bruta e implantação de malware personalizado para comprometer infraestrutura crítica de rede.

TL;DR

  • FortiBleed visa 430.000+ firewalls FortiGate globalmente em operação de coleta de credenciais ativa desde fevereiro de 2026
  • IAB falante de russo usa reconhecimento, força bruta e malware personalizado para obter acesso inicial a dispositivos de perímetro
  • A campanha colheu aproximadamente 110 milhões de credenciais de sistemas comprometidos
  • Os firewalls FortiGate são alvos de alto valor para atacantes que buscam acesso à rede e capacidades de movimento lateral
  • As organizações devem priorizar correção, rotação de credenciais e segmentação de rede para infraestrutura de firewall

Um intermediário de acesso inicial falante de russo, motivado financeiramente, lançou uma das maiores campanhas de coleta de credenciais direcionadas à infraestrutura de rede, focando especificamente em firewalls FortiGate. A operação, rastreada como FortiBleed, está ativa desde fevereiro de 2026 e comprometeu com sucesso mais de 430.000 instâncias de firewall em todo o mundo, resultando na coleta de aproximadamente 110 milhões de credenciais.

A campanha emprega uma abordagem multifásica metódica: os atacantes primeiro identificam serviços FortiGate expostos através de reconhecimento, depois conduzem ataques de força bruta em larga escala contra sistemas acessíveis e, finalmente, implantam malware personalizado para estabelecer acesso persistente. Os firewalls FortiGate representam alvos de alto valor porque ficam nas perímetros de rede e fornecem aos atacantes possíveis caminhos para movimento lateral e comprometimento mais profundo da infraestrutura.

Este incidente ressalta a importância crítica de proteger dispositivos de borda de rede e implementar práticas robustas de gerenciamento de credenciais em toda a infraestrutura corporativa.

Metodologia de Ataque e Escala

  • FortiBleed visa instâncias de firewall FortiGate expostas através de reconhecimento sistemático e enumeração de serviços
  • Os atacantes empregam ataques de credenciais de força bruta contra interfaces de gerenciamento acessíveis
  • Malware personalizado é implantado pós-comprometimento para estabelecer persistência e permitir exploração adicional de rede
  • A campanha colheu com sucesso 110 milhões de credenciais de 430.000+ firewalls comprometidos
  • A operação demonstra direcionamento de infraestrutura coordenado e em larga escala típico de operações profissionais de IAB

Risco e Recomendações Defensivas

  • Credenciais de firewall comprometidas permitem que atacantes modifiquem políticas de segurança e contornem controles de perímetro
  • Dispositivos de borda de rede fornecem aos atacantes posições estratégicas para movimento lateral e exfiltração de dados
  • As organizações devem priorizar a correção de sistemas FortiGate e rotacionar todas as credenciais administrativas
  • Implemente segmentação de rede para limitar o raio de explosão se as credenciais do firewall forem comprometidas
  • Implante autenticação multifator em todas as interfaces de gerenciamento de firewall para reduzir a eficácia de força bruta
  • Monitore logs de firewall para padrões incomuns de acesso administrativo e modificações de política

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

FortiBleed: 430K+ Firewalls FortiGate Alvo de Massive Credential Harvesting Campaign — Agent Breach Blog | Agent Breach