SecBoard
Zurück zur Übersicht

FortiBleed Actors Collaborating With Inc, Lynx Ransomware Gangs

Dark Reading·
Originalartikel lesen bei Dark Reading

Angreifer nutzen eine Schwachstelle in Fortinet-Firewalls aus, um Zugang zu Netzwerken zu erhalten. Sie arbeiten mit den Ransomware-Gruppen Inc und Lynx zusammen, um ihre Opfer zu monetarisieren. Betroffene Unternehmen sollten ihre Fortinet-Systeme umgehend patchen und auf verdächtige Aktivitäten überwachen.

Kurzfassung

Angreifer nutzen die Schwachstelle "FortiBleed" in Fortinet-Firewalls aus, um Zugang zu Netzwerken zu erhalten. Sie arbeiten mit den Ransomware-Gruppen Inc und Lynx zusammen, um ihre Opfer zu monetarisieren. Tausende von Organisationen, die Fortinet-Firewalls verwenden, sind betroffen, wobei Angreifer auch eine Nextcloud-Zero-Day-Schwachstelle ausnutzen.

Relevanz für Manager / CISOs
Priorität:Sofort
Betroffene

Organisationen, die Fortinet-Firewalls und/oder Nextcloud-Systeme verwenden.

Warum relevant

Die Ausnutzung von Schwachstellen in Fortinet-Firewalls und Nextcloud-Systemen kann zu Ransomware-Angriffen führen, die den Geschäftsbetrieb erheblich stören und finanzielle Verluste verursachen können.

Realistisches Worst Case

Ein erfolgreicher Ransomware-Angriff, der durch die Ausnutzung der Fortinet- oder Nextcloud-Schwachstellen ermöglicht wird, führt zur Verschlüsselung kritischer Daten und Systeme, Betriebsunterbrechungen und potenziellen Lösegeldforderungen.

Handlungsempfehlung

Fortinet- und Nextcloud-Systeme umgehend patchen und auf verdächtige Aktivitäten überwachen.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob alle Fortinet-Firewalls und Nextcloud-Systeme mit den neuesten Sicherheitspatches aktualisiert sind.
  • Überwachen Sie Netzwerkprotokolle und Systemereignisse auf Anzeichen von unbefugtem Zugriff oder verdächtigen Aktivitäten, insbesondere im Zusammenhang mit Fortinet- und Nextcloud-Systemen.
  • Führen Sie regelmäßige Schwachstellen-Scans Ihrer extern zugänglichen Systeme durch, um die Exposition gegenüber bekannten Schwachstellen zu identifizieren.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1190 Exploit Public-Facing ApplicationHighAngreifer nutzen eine Schwachstelle in Fortinet-Firewalls aus, um Zugang zu Netzwerken zu erhalten.
ImpactT1486 Data Encrypted for ImpactHighSie arbeiten mit den Ransomware-Gruppen Inc und Lynx zusammen, um ihre Opfer zu monetarisieren.
Offene Punkte
  • Spezifische CVE-IDs für die Fortinet- und Nextcloud-Schwachstellen sind im Artikel nicht genannt.
  • Die genaue Anzahl der betroffenen Organisationen ist nicht spezifiziert, nur 'Tausende'.
  • Details zu den spezifischen Taktiken, Techniken und Prozeduren (TTPs) der Inc- und Lynx-Ransomware-Gruppen, abgesehen von der Monetarisierung durch Ransomware, sind nicht aufgeführt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Möglich
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Ja
  • Detection / Logging prüfbar?Unklar
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Haben wir Fortinet extern erreichbar?