FortiBleed-Kampagne: 430.000 Firewalls im Visier von Erpressern
Veröffentlicht: 05.07.2026 um 17:24 Uhr, Redaktion boerse-global.de
000 internetfähige FortiGate-Firewalls ins Visier genommen. Dahinter steckt ein russischsprachiger Angreifer, der als sogenannter „Initial Access Broker" agiert – also Zugänge zu Netzwerken an Erpresserbanden weiterverkauft.
Verbindungen zu INC und Lynx
Die Sicherheitsexperten von SOCRadar haben den Betreiber der Kampagne auf Verhandlungsplattformen der Ransomware-Gruppen INC und Lynx identifiziert. Das Hauptziel: das systematische Abgreifen von Administrator- und VPN-Zugangsdaten.
Die Analyse der Angreifer-Infrastruktur förderte erschreckende Zahlen zutage: Auf einem Server fanden sich Zugangsdaten von mehr als 73.000 Fortinet-Geräten. Insgesamt sollen über 110 Millionen Anmeldeinformationen erbeutet worden sein. Während eines Beobachtungszeitraums scannten die Angreifer rund 11.250 FortiGate-Portale – und verschafften sich bei 409 Zielen administrativen Zugang. Daraus entwickelte sich bei 354 Systemen eine vollständige Angriffskette, die in mindestens 12 bestätigten Ransomware-Angriffen endete.
HintertĂĽren und Spionagetool
Die Angreifer setzen ein eigenes Tool namens FortiGate Sniffer ein. Es wurde auf rund 19.000 kompromittierten Geräten installiert und zeichnet Anmeldedaten in Echtzeit auf, sobald sich Nutzer an den Firewalls anmelden.
Um dauerhaft in den Netzwerken präsent zu bleiben, legen die Täter Hintertüren an – häufig unter dem Benutzernamen „adminin". Die Ermittler haben mehr als 200 weitere Server identifiziert, die zur Infrastruktur der Gruppe gehören. Die Bande soll aus rund 20 Mitgliedern bestehen.
Wer seine FortiGate-Firewalls gegen die FortiBleed-Kampagne absichern will, findet in diesem Report die wichtigsten Schutzmaßnahmen – von Passwortwechsel bis Hintertür-Erkennung. Jetzt kostenlosen Notfall-Report anfordern
Schwachstellen im Fokus
Die Kampagne nutzt vor allem Sicherheitslücken in Nextcloud und Fortinet FortiClient EMS für den ersten Zugriff. Parallel dazu ist seit November 2025 eine weitere Schwachstelle (CVE-2025-64446) in älteren Versionen von FortiWeb aktiv ausgenutzt worden.
Die Angreifer konzentrieren sich auf die Branchen Produktion, Technologie und Logistik. Geografisch liegt der Schwerpunkt auf Lateinamerika und dem asiatisch-pazifischen Raum. Bereits im Frühsommer waren nach Branchenberichten große internationale Konzerne betroffen – darunter Siemens und DHL sowie ein türkischer Rüstungskonzern.
Das Interesse der Täter geht aber über Fortinet hinaus: Die Forscher entdeckten eine separate Zielliste mit 29.000 IP-Adressen von Citrix-Systemen – ein Hinweis auf eine umfassendere Strategie gegen Unternehmens-Fernzugänge.
Bereits kompromittierte Systeme brauchen einen klaren Incident-Response-Plan – bevor Ransomware-Gruppen wie INC oder Lynx die Kontrolle übernehmen. Dieser Leitfaden liefert konkrete Schritte zur Eindämmung und Bereinigung. Incident-Response-Plan jetzt sichern
Handlungsempfehlung
Die US-Cybersicherheitsbehörde CISA hat betroffene Organisationen aufgefordert, sämtliche Administrator- und VPN-Zugangsdaten umgehend zu ändern. Nur so lasse sich das Risiko unbefugter Zugriffe eindämmen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
