im Januar 2025 haben die Arctic Wolf Labs über verdächtige Aktivitäten auf Fortinet FortiGate Firewall-Geräten berichtet. Am 14. Januar veröffentlichte Fortinet die Bestätigung einer Zero-Day-Schwachstelle, die FortiOS- und FortiProxy-Produkte betrifft und als CVE-2024-55591 bezeichnet wurde. Am 11. Februar bestätigte das Unternehmen eine weitere Schwachstelle mit der Bezeichnung CVE-2025-24472.
Die neue SuperBlack Ransomeware nützt die letztgenannte Fortinet-Schwachstelle zur Umgehung der Autorisierung aus, wie jüngst berichtet wurde. „Bedrohungsakteure sind immer auf der Suche nach neuen ‚Einnahmequellen‘. Und die Fortinet-Sicherheitslücken sind ein Beispiel dafür, welche Risiken für Unternehmen durch ungepatchte Schwachstellen bestehen. Im Fall Fortinet gibt es eine gute Nachricht: Der vom Unternehmen veröffentlichte Patch sollte beide Schwachstellen abdecken. Neueste Berichte deuten jedoch darauf hin, dass Bedrohungsakteure es nun auf die Unternehmen abgesehen haben, die den Patch nicht angewendet oder ihre Firewall-Konfigurationen angepasst haben, als die Schwachstelle ursprünglich bekannt wurde.
Patch von Fortinet
Wie bei anderen bekannten Schwachstellen, die noch nicht behoben wurden, machen sich Cyberkriminelle dieses Versäumnis schnell zunutze. Der Bedrohungsakteur, der für die im Forescout Report beschriebene Ransomware-Kampagne verantwortlich ist, scheint eine Reihe bekannter Tools zu nutzen, die bereits bei früheren Ransomware-Aktivitäten zum Einsatz kamen. Allerdings passte er seine anfänglichen Zugriffstechniken an. Als der LockBit 3.0 Builder im Jahr 2022 durchsickerte, begannen zahlreiche Gruppen, ihn für ihre eigenen unabhängigen Kampagnen zu verwenden. Dieser Bedrohungsakteur scheint dasselbe zu tun. Darüber hinaus weist das Vorgehen bei der Lösegeldforderung Ähnlichkeiten mit dem anderer Gruppen auf, wie z. B. der inzwischen nicht mehr existenten Ransomware-Variante BlackCat/ALPHV. Dies veranschaulicht, wie die Bedrohungsakteure, die sich hinter den Namen von Ransomware-Gruppen verstecken, ihren Namen ändern und sich anpassen, wenn sich ihre Anreize und Allianzen im Laufe der Zeit weiterentwickeln.
Unternehmen, die diese Sicherheitslücke noch nicht geschlossen haben, empfehlen wir, dies so bald wie möglich nachzuholen und die Sicherheitskonfiguration ihrer Firewall zu überprüfen. Nur so können sie ausschließen, dass sie Opfer dieser oder ähnlicher Kampagnen werden.“ (Stefan Hostetler, Lead Threat Intelligence Researcher bei Arctic Wolf)
Über Arctic Wolf Arctic Wolf ist ein weltweiter Marktführer im Bereich Security Operations und bietet die erste cloudnative Security-Operations-Plattform zur Abwehr von Cyber-Risiken. Basierend auf Threat Telemetry, die Endpunkt-, Netzwerk- und Cloud-Quellen umfasst, analysiert die Arctic Wolf® Security Operations Cloud weltweit mehr als 1,6 Billionen Security Events pro Woche. Sie liefert unternehmenskritische Erkenntnisse zu nahezu allen Security Use Cases und optimiert die heterogenen Sicherheitslösungen der Kunden. Die Arctic Wolf Plattform ist bei mehr als 2.000 Kunden weltweit im Einsatz. Sie bietet automatisierte Threat Detection und Response und ermöglicht es Unternehmen jeder Größe, auf Knopfdruck erstklassige Security Operations einzurichten.
Passende Artikel zum Thema