FortiBleed: Hacker kapern 73.932 Firmen-Netzwerke weltweit

Die jüngste Welle von Cyberangriffen hat ein alarmierendes Ausmaß erreicht. Gleich mehrere Vorfälle innerhalb weniger Tage zeigen: Kriminelle Gruppen haben ihre Methoden massiv professionalisiert. Betroffen sind nicht nur einzelne Nutzer, sondern ganze Konzerne und kritische Infrastrukturen weltweit.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Experten-Ratgeber für IT-Sicherheit jetzt kostenlos herunterladen

„FortiBleed" – Angriff auf globale Netzwerke

Am 19. Juni bestätigte der Sicherheitsanbieter Fortinet eine koordinierte Kampagne gegen seine Firewall-Geräte. Die als „FortiBleed" bekannte Aktion nutzt keine neue Sicherheitslücke. Stattdessen setzen die Angreifer auf gestohlene Zugangsdaten aus früheren Vorfällen und brute?force-Attacken gegen Geräte ohne Zwei-Faktor-Authentifizierung.

Ein Datensatz enthält Login-Informationen für 73.932 FortiGate-Geräte in 194 Ländern. Eine russischsprachige Gruppe soll mit 45 Grafikprozessoren Passwort-Hashes geknackt haben. Zu den betroffenen Organisationen zählen Samsung, Siemens, Foxconn, Oracle, Accenture, DHL und Infosys. Besonders brisant: Ein türkischer NATO-Rüstungskonzern verlor durch den Angriff klassifizierte Dokumente.

Die Sicherheitsfirma CloudSEK analysierte die Angriffsmethode: Die Hacker nutzten eine Verzögerung bei der Passwort-Verschlüsselung aus. Neuere FortiOS-Versionen verwenden den sicheren PBKDF2-Algorithmus, doch ältere SHA-256-Hashes bleiben oft in Konfigurationsdateien gespeichert. Erst wenn ein Administrator sich manuell anmeldet, wird das Passwort aktualisiert. Fortinet empfiehlt betroffenen Kunden, alle aktiven Sitzungen zu beenden, Passwörter zurückzusetzen und sofort MFA zu implementieren.

24 Milliarden Datensätze – die größte Sammlung aller Zeiten?

Forscher von Cybernews entdeckten Anfang Juni eine ungesicherte Elasticsearch-Datenbank mit rund 24 Milliarden Einträgen. Der 8,3 Terabyte große Datensatz wurde am 12. Juni offline genommen. Er vereinte Informationen aus 36 verschiedenen Quellen.

Die Datenbank enthielt Klartext-Passwörter, E-Mail-Adressen und Login-URLs. Ein Teil stammte aus historischen Leaks, ein erheblicher Anteil jedoch aus frischen Logs von „Infostealer"-Schadsoftware. Diese enthielt aktive Session-Cookies und Authentifizierungs-Token. Rund 1,7 Milliarden Einträge kamen von Telegram-Kanälen, darunter 260 Millionen aus Kanälen der Gruppe „Darkside". Die Datenbank enthielt zudem 17.000 CVE-Beschreibungen und tausende aktuelle Sicherheitsartikel.

IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Kostenloses E-Book: Cyber Security Trends sichern

Infostealer-Malware treibt die Zahl kompromittierter Konten in die Höhe

Am 15. Juni fügte der Benachrichtigungsdienst Have I Been Pwned (HIBP) einen Datensatz mit 56 Millionen E-Mail-Adressen und 124 Millionen Passwörtern hinzu. Anders als bei klassischen Datenbank-Hacks wurden diese Zugangsdaten direkt von infizierten Geräten abgegriffen.

Die Schadsoftware fängt Passwörter ab, während sie eingegeben oder im Browser gespeichert werden. Selbst komplexe Passwörter nützen dann nichts, wenn das Endgerät nicht geschützt ist. Besonders kleine und mittlere Unternehmen sind gefährdet: Sie verwenden häufig dieselben Passwörter auf mehreren Plattformen und verfügen oft nicht über ausreichende Endpunktsicherung.

Lieferketten-Angriffe und internationale Strafverfolgung

Auch gezielte Attacken auf Dienstleister haben den Unternehmenssektor getroffen. Am 11. Juni kompromittierte ein Angreifer namens „Icarus" die Marktanalyse-Plattform Klue. Durch gestohlene OAuth-Tokens gelangte er an die Salesforce-Instanzen mehrerer Klue-Kunden, darunter Huntress, Recorded Future, Tanium und Jamf. Abgeflossene Daten umfassen Geschäftskontakte, Verkaufsangebote und interne Verteilungsdetails – Zahlungsdaten blieben demnach unberührt.

Die internationale Gemeinschaft reagiert. Unter dem Namen „Operation Endgame" beschlagnahmten FBI, Europol sowie Polizeibehörden aus den Niederlanden und Deutschland 106 Server und Domains der SocGholish-Operation (FakeUpdates). Die Aktion führte zur Bereinigung von fast 15.000 infizierten WordPress-Seiten. Ermittler stellten zudem Zugangsdaten für weitere 1,4 Millionen WordPress-Seiten sicher – ein Beleg für die Beharrlichkeit der kriminellen Infrastruktur, die von Gruppen wie Evil Corp betrieben wird.

de | wissenschaft | 69587002 |