INC Ransom exploite une faille FortiGate (FG-IR-24-535) et détruit des données lors d’un incident

Selon un billet de l’équipe HvS IR, un incident de ransomware mené par le groupe INC Ransom a tiré parti d’une vulnérabilité FortiGate de janvier 2025 (FG-IR-24-535), dans un contexte d’attaques typiques, de vulnérabilités connues et de mauvaises configurations.

Faits saillants:

• Les assaillants ont délibérément détruit des données.
• Ils ont fourni de fausses informations lors des négociations 💬.
• L’environnement a été entièrement chiffré en 48 heures après l’accès initial 🔐.

Vecteur et conditions d’exploitation:

• Exploitation d’une faille sur firewall FortiGate identifiée comme FG-IR-24-535 (datée de janvier 2025).
• Présence de mauvais paramétrages et usage de techniques courantes dans les attaques par ransomware.

IOCs et TTPs:

• IOCs:

  • Network activity ip-dst 185.174.100.204 C2 channel of svchost.exe meterpreter sample
  • Network activity url http[://]185.174.100.204:443/L7RZw57VJ-b1dfR0k_tCyQtB1fJI8WowHQJSk54rTfUI2od24XrEIUzV5WGzx5fD0nPOwbVMrUfjFtDSZ8s8FudwarDyt7dL8gMPumRtXRv_ondaA99DiB1AmQDhTROOEB5RNqoBUGF7RO1eVLkzN4bgXoa9mjeqRlP1HJkpzxwa-XWfCySg54DfgGxSZPQAlpmdrTQwiPTmXmZzxGfhQBf svchost.exe meterpreter C2 URI
  • Payload delivery sha1 6e45db2cc4648a388fbd6f3d82c7da9c8e30187d svchost.exe meterpreter sample
  • Payload delivery filename svchost.exe svchost.exe meterpreter sample
  • Payload delivery md5 2f000e0a52d6ee0c89f93fa5ab4c7e3c svchost.exe meterpreter sample
  • Payload delivery sha256 cf1ebd6fb534d65dd0e8164db9693988d5a4a645dd044beba578ab25c0033e66 svchost.exe meterpreter sample
  • Other text %PROGRAMDATA%\Microsoft\ svchost.exe meterpreter sample
  • Payload delivery sha1 41b9a2ca27188c967a28a9b72950380cd0fa8e20 win.exe INC RANSOM crypter
  • Payload delivery filename win.exe win.exe INC RANSOM crypter
  • Payload delivery sha256 ef8bb466a368d5f564d05b54aea154b117847938c07627e85e3eb0e147296644 win.exe INC RANSOM crypter
  • Other text \Users\Administrator\Documents\x64 win.exe INC RANSOM crypter

• TTPs:

  • Exploitation d’un équipement périmétrique (FortiGate) vulnérable.
  • Chiffrement à grande échelle rapide (48 h).
  • Destruction de données intentionnelle.
  • Désinformation en phase de négociation.

L’article présente un retour d’incident avec les constatations de l’équipe et des recommandations à l’appui; il vise à partager les techniques observées et les enseignements tirés.

---

🔗 Source originale : https://www.hvs-consulting.de/en/blog/inc-ransom-ransomware

🖴 Archive : https://web.archive.org/web/20250819084110/https://www.hvs-consulting.de/en/blog/inc-ransom-ransomware