FortiBleed: 430.000 Firewalls gehackt, 110 Mio. Zugänge gestohlen
24.06.2026 - 15:06:34 | boerse-global.de
000 FortiGate-Firewalls kompromittiert. Russischsprachige Angreifer erbeuteten mehr als 110 Millionen Zugangsdaten – ein Albtraum für Unternehmen jeder Größe.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Experten-Checkliste jetzt kostenlos herunterladen
Angriffsziel: Kleine und mittlere Unternehmen
Die Sicherheitsforscher von Arctic Wolf Labs und SOCRadar identifizierten rund 86.644 aktive Administrator- und VPN-Zugänge in 194 Ländern. Besonders betroffen sind kleine und mittlere Unternehmen mit weniger als 200 Mitarbeitern. Im Fokus stehen IT-Dienstleister in den USA und Indien. Erschreckend: Auch ein NATO-Verteidigungsunternehmen wurde bereits infiltriert.
Keine neue Lücke – alte Methoden, neue Werkzeuge
Die Angreifer nutzen keine bislang unbekannte SicherheitslĂĽcke. Stattdessen setzen sie auf gestohlene Zugangsdaten, Brute-Force-Angriffe und Credential Stuffing, um sich Zugang zu den Administrationspanels der Firewalls zu verschaffen. Einmal eingedrungen, installieren sie ein selbst entwickeltes Tool namens FortigateSniffer.
Dieser Schnüffler – geschrieben in der Programmiersprache Golang – missbraucht den legitimen Befehl „diagnose sniffer packet" in FortiOS. Damit fängt er Datenverkehr über 24 verschiedene Protokolle ab. Dazu gehören unter anderem RADIUS, NTLM, Kerberos, LDAP, SMB sowie Datenbankprotokolle wie MySQL und MS-SQL.
Ob im Büro oder von unterwegs – gestohlene Zugangsdaten sind das Haupteintrittstor für Hacker in die Unternehmens-IT. Dieser kostenlose Ratgeber liefert Ihnen sofort umsetzbare Strategien und Vorlagen, um mobiles Arbeiten und Home-Office wirksam abzusichern. Kostenloses E-Book für sicheres Arbeiten sichern
Besonders aktiv waren die Angreifer am 31. Mai und 15. Juni 2026. Allein in diesen Zyklen erbeuteten sie rund 89 Millionen MySQL-Tokens, 14,8 Millionen RADIUS-Zugangsdaten und fast eine Million NTLM-Hashes.
Hightech-Cracking per Telegram-Bot
Die Hintermänner haben eine ausgeklügelte Infrastruktur aufgebaut. Sie mieteten Dutzende Enterprise-GPUs von KI-Rechenzentren an, um die gestohlenen Daten zu knacken. Gesteuert wird alles über einen Telegram-Bot namens HASHBOT, der die Cracking-Tools Hashcat und Hashtopolis orchestriert.
Die Erntezyklen laufen nach einem strikten Zeitplan – geofenced zwischen 7 und 18 Uhr Moskauer Zeit. Längst beschränkt sich die Kampagne nicht mehr nur auf Fortinet-Geräte. Auch Synology-NAS-Systeme, Sophos-Firewalls und Citrix-SSL-VPNs sind im Visier.
Kriminelles Geschäftsmodell mit hohen Preisen
Im Untergrund ist die Kampagne als SantaAd bekannt. Ein Broker bietet dort verifizierte Zugänge zu tausenden Fortinet-Geräten an – für Preise zwischen 30.000 und 60.000 Euro. Diese Zugänge werden in der Regel an Ransomware-Gruppen weiterverkauft, die dann Folgeangriffe starten.
So reagieren Unternehmen richtig
Sicherheitsexperten warnen: Ein entdeckter kompromittierter FortiGate-Zugang ist kein Routine-Patch – sondern ein aktiver Sicherheitsvorfall. Die Angreifer installieren oft Hintertür-Konten, etwa unter dem Namen „forticloud-sync“. Ein einfaches Firmware-Update reicht nicht aus.
Die empfohlenen MaĂźnahmen:
- Werksreset des betroffenen Geräts
- Rotation aller IPsec-SchlĂĽssel
- Multi-Faktor-Authentifizierung (MFA) fĂĽr alle Admin- und VPN-Konten
- Beschränkung des Management-Zugriffs auf vertrauenswürdige IP-Adressen
- Ăśberwachung der Systemlogs auf unbefugte Nutzung von Paket-Sniffing-Befehlen
Die Forscher von Huntress und SOCRadar betonen: Das automatisierte CyberStrike-Framework der Angreifer ermöglicht eine hohe Erfolgsrate bei der Validierung gestohlener Zugänge. Unternehmen sollten daher keine Zeit verlieren.
