FortiBleed-Kampagne, Firewalls

FortiBleed-Kampagne: 430.000 Firewalls im Visier von Erpressern

Veröffentlicht: 05.07.2026 um 17:24 Uhr, Redaktion boerse-global.de

Russischsprachige Angreifer kapern massenhaft FortiGate-Firewalls und verkaufen Zugänge an Ransomware-Banden weiter.

FortiBleed: 430.000 Firewalls im Visier russischer Hacker
Digitale Firewall-Oberfläche mit leuchtenden Linien, die Datenfluss und Sicherheitsverletzungen darstellen, symbolisiert einen Cyberangriff und Datendiebstahl. Illustration mit AI erstellt übermittelt durch boerse-global.de

000 internetfähige FortiGate-Firewalls ins Visier genommen. Dahinter steckt ein russischsprachiger Angreifer, der als sogenannter „Initial Access Broker" agiert – also Zugänge zu Netzwerken an Erpresserbanden weiterverkauft.

Verbindungen zu INC und Lynx

Die Sicherheitsexperten von SOCRadar haben den Betreiber der Kampagne auf Verhandlungsplattformen der Ransomware-Gruppen INC und Lynx identifiziert. Das Hauptziel: das systematische Abgreifen von Administrator- und VPN-Zugangsdaten.

Die Analyse der Angreifer-Infrastruktur förderte erschreckende Zahlen zutage: Auf einem Server fanden sich Zugangsdaten von mehr als 73.000 Fortinet-Geräten. Insgesamt sollen über 110 Millionen Anmeldeinformationen erbeutet worden sein. Während eines Beobachtungszeitraums scannten die Angreifer rund 11.250 FortiGate-Portale – und verschafften sich bei 409 Zielen administrativen Zugang. Daraus entwickelte sich bei 354 Systemen eine vollständige Angriffskette, die in mindestens 12 bestätigten Ransomware-Angriffen endete.

HintertĂĽren und Spionagetool

Die Angreifer setzen ein eigenes Tool namens FortiGate Sniffer ein. Es wurde auf rund 19.000 kompromittierten Geräten installiert und zeichnet Anmeldedaten in Echtzeit auf, sobald sich Nutzer an den Firewalls anmelden.

Um dauerhaft in den Netzwerken präsent zu bleiben, legen die Täter Hintertüren an – häufig unter dem Benutzernamen „adminin". Die Ermittler haben mehr als 200 weitere Server identifiziert, die zur Infrastruktur der Gruppe gehören. Die Bande soll aus rund 20 Mitgliedern bestehen.

Anzeige

Wer seine FortiGate-Firewalls gegen die FortiBleed-Kampagne absichern will, findet in diesem Report die wichtigsten Schutzmaßnahmen – von Passwortwechsel bis Hintertür-Erkennung. Jetzt kostenlosen Notfall-Report anfordern

Schwachstellen im Fokus

Die Kampagne nutzt vor allem Sicherheitslücken in Nextcloud und Fortinet FortiClient EMS für den ersten Zugriff. Parallel dazu ist seit November 2025 eine weitere Schwachstelle (CVE-2025-64446) in älteren Versionen von FortiWeb aktiv ausgenutzt worden.

Die Angreifer konzentrieren sich auf die Branchen Produktion, Technologie und Logistik. Geografisch liegt der Schwerpunkt auf Lateinamerika und dem asiatisch-pazifischen Raum. Bereits im Frühsommer waren nach Branchenberichten große internationale Konzerne betroffen – darunter Siemens und DHL sowie ein türkischer Rüstungskonzern.

Das Interesse der Täter geht aber über Fortinet hinaus: Die Forscher entdeckten eine separate Zielliste mit 29.000 IP-Adressen von Citrix-Systemen – ein Hinweis auf eine umfassendere Strategie gegen Unternehmens-Fernzugänge.

Anzeige

Bereits kompromittierte Systeme brauchen einen klaren Incident-Response-Plan – bevor Ransomware-Gruppen wie INC oder Lynx die Kontrolle übernehmen. Dieser Leitfaden liefert konkrete Schritte zur Eindämmung und Bereinigung. Incident-Response-Plan jetzt sichern

Handlungsempfehlung

Die US-Cybersicherheitsbehörde CISA hat betroffene Organisationen aufgefordert, sämtliche Administrator- und VPN-Zugangsdaten umgehend zu ändern. Nur so lasse sich das Risiko unbefugter Zugriffe eindämmen.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69698245 |