SecBoard
Zurück zur Übersicht

FortiBleed Campaign Linked to INC, Lynx Ransomware Attacks

SecurityWeek·
Originalartikel lesen bei SecurityWeek

Die „FortiBleed“-Kampagne nutzt gestohlene Zugangsdaten von Hunderttausenden FortiGate-Firewalls. Diese werden von den Ransomware-Gruppen INC und Lynx für ihre Angriffe missbraucht. Unternehmen, die FortiGate-Firewalls einsetzen, sollten umgehend ihre Systeme überprüfen und entsprechende Sicherheitsmaßnahmen ergreifen.

Kurzfassung

Die „FortiBleed“-Kampagne nutzt gestohlene Zugangsdaten von Hunderttausenden FortiGate-Firewalls. Diese Zugangsdaten werden von den Ransomware-Gruppen INC und Lynx für Angriffe missbraucht. Unternehmen, die FortiGate-Firewalls einsetzen, sind betroffen und sollten umgehend Maßnahmen ergreifen.

Relevanz für Manager / CISOs
Priorität:Sofort
Betroffene

Unternehmen, die FortiGate-Firewalls einsetzen.

Warum relevant

Gestohlene Zugangsdaten von FortiGate-Firewalls können von Ransomware-Gruppen wie INC und Lynx genutzt werden, um in Unternehmensnetzwerke einzudringen und Ransomware-Angriffe durchzuführen. Dies stellt ein erhebliches Risiko für die Netzwerksicherheit dar.

Realistisches Worst Case

Erfolgreiche Ransomware-Angriffe durch die Gruppen INC oder Lynx, die durch die Kompromittierung von FortiGate-Firewalls ermöglicht werden, führen zu Betriebsunterbrechungen und potenziellen Datenverlusten.

Handlungsempfehlung

Unternehmen, die FortiGate-Firewalls nutzen, sollten umgehend ihre Systeme überprüfen, Sicherheitskonfigurationen anpassen, Systeme patchen und eine starke Zugangsdatenhygiene durchsetzen.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die Protokolle Ihrer FortiGate-Firewalls auf ungewöhnliche Anmeldeversuche oder Zugriffe von unbekannten IP-Adressen.
  • Stellen Sie sicher, dass alle FortiGate-Firewalls auf dem neuesten Patch-Stand sind und alle verfügbaren Sicherheitsupdates installiert wurden.
  • Überprüfen Sie die Stärke und Einzigartigkeit aller Zugangsdaten für Ihre FortiGate-Firewalls und erzwingen Sie Multi-Faktor-Authentifizierung (MFA), wo immer möglich.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Initial AccessT1133 External Remote ServicesHighDie „FortiBleed“-Kampagne nutzt gestohlene Zugangsdaten von Hunderttausenden FortiGate-Firewalls.
Credential AccessT1552 Unsecured CredentialsHighDie „FortiBleed“-Kampagne nutzt gestohlene Zugangsdaten von Hunderttausenden FortiGate-Firewalls.
Offene Punkte
  • Es wird nicht spezifiziert, wie die Zugangsdaten ursprünglich gestohlen wurden (z.B. durch Brute-Force, Phishing, Schwachstellen-Exploitation).
  • Es werden keine spezifischen CVEs oder Schwachstellen genannt, die von der Kampagne ausgenutzt werden.
  • Es werden keine spezifischen Länder oder Branchen genannt, die von der Kampagne betroffen sind.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Möglich
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Ja
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Ja

Kundenfragen

  • Haben wir Fortinet extern erreichbar?
  • Können wir Reconnaissance detektieren?

MITRE ATT&CK Kill Chain (1 Techniken)

Reconnaissance
Themen
Network SecurityFortiBleedFortinet