FortiBleed Campaign Linked to INC, Lynx Ransomware Attacks
Die „FortiBleed“-Kampagne nutzt gestohlene Zugangsdaten von Hunderttausenden FortiGate-Firewalls. Diese werden von den Ransomware-Gruppen INC und Lynx für ihre Angriffe missbraucht. Unternehmen, die FortiGate-Firewalls einsetzen, sollten umgehend ihre Systeme überprüfen und entsprechende Sicherheitsmaßnahmen ergreifen.
Die „FortiBleed“-Kampagne nutzt gestohlene Zugangsdaten von Hunderttausenden FortiGate-Firewalls. Diese Zugangsdaten werden von den Ransomware-Gruppen INC und Lynx für Angriffe missbraucht. Unternehmen, die FortiGate-Firewalls einsetzen, sind betroffen und sollten umgehend Maßnahmen ergreifen.
Unternehmen, die FortiGate-Firewalls einsetzen.
Gestohlene Zugangsdaten von FortiGate-Firewalls können von Ransomware-Gruppen wie INC und Lynx genutzt werden, um in Unternehmensnetzwerke einzudringen und Ransomware-Angriffe durchzuführen. Dies stellt ein erhebliches Risiko für die Netzwerksicherheit dar.
Erfolgreiche Ransomware-Angriffe durch die Gruppen INC oder Lynx, die durch die Kompromittierung von FortiGate-Firewalls ermöglicht werden, führen zu Betriebsunterbrechungen und potenziellen Datenverlusten.
Unternehmen, die FortiGate-Firewalls nutzen, sollten umgehend ihre Systeme überprüfen, Sicherheitskonfigurationen anpassen, Systeme patchen und eine starke Zugangsdatenhygiene durchsetzen.
- ▸Überprüfen Sie die Protokolle Ihrer FortiGate-Firewalls auf ungewöhnliche Anmeldeversuche oder Zugriffe von unbekannten IP-Adressen.
- ▸Stellen Sie sicher, dass alle FortiGate-Firewalls auf dem neuesten Patch-Stand sind und alle verfügbaren Sicherheitsupdates installiert wurden.
- ▸Überprüfen Sie die Stärke und Einzigartigkeit aller Zugangsdaten für Ihre FortiGate-Firewalls und erzwingen Sie Multi-Faktor-Authentifizierung (MFA), wo immer möglich.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1133 External Remote Services | High | Die „FortiBleed“-Kampagne nutzt gestohlene Zugangsdaten von Hunderttausenden FortiGate-Firewalls. |
| Credential Access | T1552 Unsecured Credentials | High | Die „FortiBleed“-Kampagne nutzt gestohlene Zugangsdaten von Hunderttausenden FortiGate-Firewalls. |
- Es wird nicht spezifiziert, wie die Zugangsdaten ursprünglich gestohlen wurden (z.B. durch Brute-Force, Phishing, Schwachstellen-Exploitation).
- Es werden keine spezifischen CVEs oder Schwachstellen genannt, die von der Kampagne ausgenutzt werden.
- Es werden keine spezifischen Länder oder Branchen genannt, die von der Kampagne betroffen sind.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Möglich
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Ja
- Detection / Logging prüfbar?Ja
- Für Purple-Team-Szenario geeignet?Ja
Kundenfragen
- Haben wir Fortinet extern erreichbar?
- Können wir Reconnaissance detektieren?