Thought Leadership
Im Januar 2025 beobachtete das Threat-Research-Team von Arctic Wolf verdächtige Aktivitäten auf Fortinet FortiGate Firewall-Geräten, die von der neuen SuperBlack Ransomware ausgenutzt wird. Diese Sicherheitslücke könnte Unternehmen gefährden, die den Patch noch nicht angewendet haben, und verdeutlicht die wachsende Bedrohung durch gezielte Cyberangriffe.
Am 14. Januar veröffentlichte Fortinet die Bestätigung einer Zero-Day-Schwachstelle, die FortiOS- und FortiProxy-Produkte betrifft und als CVE-2024-55591 bezeichnet wurde. Am 11. Februar bestätigte das Unternehmen eine weitere Schwachstelle mit der Bezeichnung CVE-2025-24472.
Die neue SuperBlack Ransomeware nützt die letztgenannte Fortinet-Schwachstelle zur Umgehung der Autorisierung aus, wie jüngst berichtet wurde.
Stefan Hostetler, Lead Threat Intelligence Researcher bei Arctic Wolf, gibt seine Einschätzung zur Ausnutzung der Fortinet-Schwachstelle durch SuperBlack Ransomware und ihre Bedeutung für die Cybersicherheit:
„Bedrohungsakteure sind immer auf der Suche nach neuen ‚Einnahmequellen‘. Und die Fortinet-Sicherheitslücken sind ein Beispiel dafür, welche Risiken für Unternehmen durch ungepatchte Schwachstellen bestehen. Im Fall Fortinet gibt es eine gute Nachricht: Der vom Unternehmen veröffentlichte Patch sollte beide Schwachstellen abdecken. Neueste Berichte deuten jedoch darauf hin, dass Bedrohungsakteure es nun auf die Unternehmen abgesehen haben, die den Patch nicht angewendet oder ihre Firewall-Konfigurationen angepasst haben, als die Schwachstelle ursprünglich bekannt wurde.
Wie bei anderen bekannten Schwachstellen, die noch nicht behoben wurden, machen sich Cyberkriminelle dieses Versäumnis schnell zunutze. Der Bedrohungsakteur, der für die im Forescout Report beschriebene Ransomware-Kampagne verantwortlich ist, scheint eine Reihe bekannter Tools zu nutzen, die bereits bei früheren Ransomware-Aktivitäten zum Einsatz kamen. Allerdings passte er seine anfänglichen Zugriffstechniken an. Als der LockBit 3.0 Builder im Jahr 2022 durchsickerte, begannen zahlreiche Gruppen, ihn für ihre eigenen unabhängigen Kampagnen zu verwenden. Dieser Bedrohungsakteur scheint dasselbe zu tun. Darüber hinaus weist das Vorgehen bei der Lösegeldforderung Ähnlichkeiten mit dem anderer Gruppen auf, wie z. B. der inzwischen nicht mehr existenten Ransomware-Variante BlackCat/ALPHV. Dies veranschaulicht, wie die Bedrohungsakteure, die sich hinter den Namen von Ransomware-Gruppen verstecken, ihren Namen ändern und sich anpassen, wenn sich ihre Anreize und Allianzen im Laufe der Zeit weiterentwickeln.
Unternehmen, die diese Sicherheitslücke noch nicht geschlossen haben, empfehlen wir, dies so bald wie möglich nachzuholen und die Sicherheitskonfiguration ihrer Firewall zu überprüfen. Nur so können sie ausschließen, dass sie Opfer dieser oder ähnlicher Kampagnen werden.“
