SecBoard
Zurück zur Übersicht

FortiBleed Credential Theft Linked to INC and Lynx Ransomware Operations

The Hacker News·
Originalartikel lesen bei The Hacker News

Die FortiBleed-Kampagne, die auf den Diebstahl von FortiGate-Zugangsdaten abzielt, wird den Ransomware-Gruppen INC und Lynx zugeschrieben. Gestohlene Anmeldeinformationen werden für nachfolgende Angriffe und die Bereitstellung von Ransomware verwendet. Unternehmen, die FortiGate-Produkte nutzen, sollten umgehend ihre Systeme überprüfen und Schutzmaßnahmen ergreifen.

Kurzfassung

Die FortiBleed-Kampagne, die den Ransomware-Gruppen INC und Lynx zugeschrieben wird, zielt auf den Diebstahl von FortiGate-Zugangsdaten ab. Gestohlene Anmeldeinformationen werden für nachfolgende Angriffe und die Bereitstellung von Ransomware verwendet. Unternehmen, die FortiGate-Produkte nutzen, sollten umgehend ihre Systeme überprüfen und Schutzmaßnahmen ergreifen.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Unternehmen, die FortiGate-Produkte nutzen, insbesondere im Finanzsektor.

Warum relevant

Gestohlene FortiGate-Zugangsdaten ermöglichen Angreifern den Zugriff auf Netzwerke, was zu Ransomware-Angriffen und Datenkompromittierung führen kann. Dies kann den Geschäftsbetrieb erheblich stören und finanzielle Verluste verursachen.

Realistisches Worst Case

Ein erfolgreicher Diebstahl von FortiGate-Zugangsdaten führt zur Bereitstellung von Ransomware durch INC oder Lynx, was zu einer vollständigen Verschlüsselung von Systemen und Daten sowie potenziellen Lösegeldforderungen führt.

Handlungsempfehlung

Überprüfung von FortiGate-Systemen auf Kompromittierung, Implementierung starker Authentifizierungsmechanismen und Überwachung auf verdächtige Aktivitäten.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie FortiGate-Protokolle auf ungewöhnliche Anmeldeversuche oder Zugriffe von unbekannten IP-Adressen.
  • Stellen Sie sicher, dass alle FortiGate-Geräte mit den neuesten Sicherheitspatches und Firmware-Updates versehen sind.
  • Validieren Sie die Implementierung von Multi-Faktor-Authentifizierung (MFA) für alle FortiGate-Administratorkonten.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Credential AccessT1552 Unsecured CredentialsHighDie FortiBleed-Kampagne, die auf den Diebstahl von FortiGate-Zugangsdaten abzielt
Initial AccessT1133 External Remote ServicesLowGestohlene Anmeldeinformationen werden für nachfolgende Angriffe
ImpactT1486 Data Encrypted for ImpactHighdie Bereitstellung von Ransomware verwendet
Offene Punkte
  • Die spezifische Methode des Zugangsdaten-Diebstahls (z.B. Brute-Force, Phishing, Ausnutzung einer Schwachstelle) ist im Artikel nicht spezifiziert.
  • Es werden keine spezifischen CVEs oder Schwachstellen genannt, die von der Kampagne ausgenutzt werden.
  • Die genaue geografische Reichweite der Kampagne ist nicht spezifiziert.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Unklar
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Ja
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Ja

Kundenfragen

  • Haben wir Fortinet extern erreichbar?
  • Können wir Reconnaissance detektieren?

MITRE ATT&CK Kill Chain (1 Techniken)

Reconnaissance