FortiBleed: Aus Credential-Diebstahl wird eine Ransomware-Lieferkette

FortiBleed wird zu einem immer größeren Enterprise-Risiko

Bild: Getty Images / Credits: MaskaRad

Die FortiBleed-Kampagne entwickelt sich von einem groß angelegten Credential-Leak zu einem operativen Risiko für Unternehmensnetzwerke. Aktuelle Analysen von SOCRadar verknüpfen die Aktivitäten mit den Ransomware-as-a-Service-Gruppen INC und Lynx. Damit rückt ein Szenario in den Vordergrund, das für Enterprise-IT besonders kritisch ist: kompromittierte Perimeter-Systeme als Einstiegspunkt für vollständige Ransomware-Angriffsketten.

Vom Zugangsdiebstahl zur Kompromittierung ganzer Domänen

Nach aktuellen Erkenntnissen wurden mehr als 430.000 FortiGate-Systeme adressiert; mehrere zehntausend Geräte waren zeitweise aktiv kompromittiert. Auch nach ersten Gegenmaßnahmen gelten weiterhin tausende Systeme als gefährdet. Parallel warnen Behörden wie CISA vor anhaltenden Angriffen auf FortiGate-Appliances und insbesondere SSL-VPN-Gateways.

Entscheidend ist jedoch die Weiterverwertung der erbeuteten Zugangsdaten. SOCRadar dokumentiert Fälle, in denen Angreifer über kompromittierte VPN-Zugänge in interne Netze eindringen, sich lateral bewegen und bis zu Domain-Admin-Rechten eskalieren. In einer zweistelligen Zahl von Fällen mündete dies nachweislich in Ransomware-Deployments.

Die Zuordnung zu INC und Lynx basiert unter anderem auf überlappenden Opferdaten, identischen Infrastrukturartefakten sowie Aktivitäten in Leak- und Verhandlungsportalen. Sicherheitsforscher sehen beide Gruppen zudem als eng verwandt; Lynx gilt als Weiterentwicklung beziehungsweise Rebranding von INC.

Hohe Relevanz für Unternehmen in Deutschland

Die Bedeutung für europäische und insbesondere deutsche Unternehmen ergibt sich aus der Rolle von FortiGate im Enterprise-Umfeld. Die Systeme fungieren typischerweise als zentrale Sicherheitskomponente am Netzrand – etwa für VPN-Zugänge, Standortvernetzung oder als Bestandteil von Zero-Trust-Architekturen. Entsprechend kritisch ist ein erfolgreicher Zugriff: Er erfolgt an einer Stelle, die per Design vertrauenswürdig ist und tiefen Zugang in interne Systeme ermöglicht.

Herstellerangaben zufolge gehört FortiGate zu den weltweit am weitesten verbreiteten Firewall-Plattformen. In Kombination mit der hohen Zahl internetexponierter Systeme entsteht eine große Angriffsfläche. Das BSI beschreibt die IT-Sicherheitslage in Deutschland weiterhin als angespannt und verweist insbesondere auf Defizite beim Patch- und Schwachstellenmanagement sowie auf eine wachsende externe Angriffsfläche.

Geschäftsrisiken: Betriebsausfall, Datenabfluss, regulatorischer Druck

Für Unternehmen liegt das Risiko nicht primär im kompromittierten Netzwerkgerät, sondern in den Folgeschäden. Wird ein VPN- oder Firewall-Zugang übernommen, können Angreifer Sicherheitsmechanismen umgehen, sich als legitime Nutzer bewegen und kritische Systeme erreichen.

Die Konsequenzen entsprechen dem typischen Ransomware-Szenario, jedoch mit höherer Erfolgsrate – und größerem Blastradius:

ENISA bewertet Ransomware weiterhin als dominierende Bedrohung für europäische Organisationen. Auffällig ist dabei die zunehmende Professionalisierung: Initial Access Broker, Ransomware-as-a-Service und arbeitsteilige Angriffsmodelle senken die Eintrittshürden und erhöhen die Skalierbarkeit.

Deutschland steht dabei besonders im Fokus. ENISA-Daten zeigen, dass ein erheblicher Anteil der in Europa gemeldeten Ransomware-Vorfälle deutsche Organisationen betrifft. Gleichzeitig sind laut BSI insbesondere kleine und mittlere Unternehmen überproportional häufig Ziel solcher Angriffe.

Nextcloud-Zero-Day: Hinweise, aber keine gesicherte Evidenz

Ein zusätzlicher, bislang nicht abschließend geklärter Aspekt ist ein mutmaßlicher Nextcloud-Zero-Day. Die Sicherheitsforscher bei SOCRadar glauben, dass eine bislang nicht veröffentlichte Schwachstelle in Nextcloud Teil der Angriffskette gewesen sein könnte. Technische Details, betroffene Versionen oder reproduzierbare Analysen wurden bislang nicht öffentlich gemacht. Die Untersuchungen laufen noch.

Für Unternehmen ist die Einordnung dennoch relevant: Nextcloud wird in Europa häufig als Plattform für Datenaustausch und Kollaboration eingesetzt – oft mit sensiblen Inhalten. Sollte sich die Nutzung einer Zero-Day-Schwachstelle bestätigen, hätte dies unmittelbare Auswirkungen auf das Risiko in hybriden und selbst betriebenen Cloud-Umgebungen.

Gleichzeitig betont Fortinet, dass die FortiBleed-Aktivität selbst nicht auf eine neue Schwachstelle im eigenen Produkt zurückzuführen sei, sondern auf wiederverwendete Zugangsdaten, schwache Authentifizierung und unzureichend abgesicherte Internetzugänge. Der mögliche Nextcloud-Aspekt stellt einen zusätzlichen Angriffsvektor dar.

Einordnung in die aktuelle Bedrohungslage

FortiBleed fügt sich in ein bekanntes Muster ein: die systematische Ausnutzung von Identitäten und Perimeter-Systemen als Ausgangspunkt für weitergehende Angriffe. ENISA und Europol beschreiben seit mehreren Jahren eine Entwicklung hin zu stärker modularisierten Angriffsketten, in denen initialer Zugriff, Lateralmovement und Monetarisierung klar getrennt organisiert sind.

Auffällig ist dabei die Geschwindigkeit: Zwischen initialem Zugriff und Ransomware-Deployment liegen oft nur wenige Tage. Gleichzeitig steigt der Druck auf betroffene Unternehmen durch kombinierte Erpressungsmodelle aus Verschlüsselung und Datenveröffentlichung.

--

Mehr zum Thema:

--

Handlungsempfehlungen für Enterprise-IT-Verantwortliche

Die aktuellen Erkenntnisse unterstreichen, dass klassische Perimeter-Sicherheit allein nicht ausreicht. Für Unternehmen ergeben sich mehrere prioritäre Maßnahmen:

Zentral ist dabei ein Perspektivwechsel: Kompromittierte Edge-Systeme müssen als potenzieller Identitätsvorfall behandelt werden – mit entsprechender Tiefe in Analyse und Reaktion.

Fazit

FortiBleed markiert keinen isolierten Vorfall, sondern ein Beispiel für die zunehmende Verzahnung von Credential Theft, Initial Access und Ransomware. Für Unternehmen in Deutschland und Europa entsteht daraus ein unmittelbares Geschäftsrisiko, weil zentrale Infrastrukturkomponenten betroffen sind.

Während Teile der technischen Details – insbesondere rund um den möglichen Nextcloud-Zero-Day – noch unklar sind, ist die strategische Stoßrichtung eindeutig: Angreifer nutzen vertrauenswürdige Zugangspunkte, um klassische Sicherheitsgrenzen zu umgehen. Entsprechend müssen Unternehmen ihre Verteidigungsstrategien stärker auf Identitäten, Sichtbarkeit und Resilienz ausrichten.