FortiBleed: 110 Millionen Zugangsdaten von 430.000 Firewalls geleakt
04.07.2026 - 13:13:57 | boerse-global.de
Gleich mehrere massive Angriffswellen erschüttern Unternehmen und Behörden weltweit – mit besorgniserregenden Folgen auch für die deutsche Wirtschaft.
FortiBleed: 110 Millionen gestohlene Zugangsdaten
Die als FortiBleed bekannt gewordene Kampagne hat nach Erkenntnissen von Sicherheitsforschern mehr als 110 Millionen Zugangsdaten von rund 430.000 FortiGate-Firewalls in 194 Ländern abgegriffen. Eine Gruppe von etwa 20 Personen agiert dabei als sogenannter Initial Access Broker – sie verkauft die gestohlenen Daten an Ransomware-Banden weiter.
Die Sicherheitsanalysten von SOCRadar haben eine direkte Verbindung zwischen der FortiBleed-Infrastruktur und den Erpresserbanden INC und Lynx nachgewiesen. Mindestens zwölf dokumentierte Ransomware-Angriffe wurden mit diesen gestohlenen Anmeldedaten durchgeführt. Besonders betroffen: die Fertigungs-, Technologie- und Logistikbranche in Lateinamerika und im asiatisch-pazifischen Raum.
Maritime Wirtschaft im Visier
Ein alarmierender Schwerpunkt liegt auf der Schifffahrtsindustrie. Über 250 globale Reedereien und Hafenbetreiber sind exponiert. Die Analyse der geleakten Daten zeigt: 87 Prozent der betroffenen Geräte hatten ihre Verwaltungsschnittstellen direkt mit dem Internet verbunden – ein gravierender Sicherheitsfehler. Noch erschreckender: 63 Prozent der kompromittierten Zugänge gehörten zu Standard-Administratorkonten.
Die Verteilung der betroffenen Organisationen liest sich wie ein Who's who der maritimen Wirtschaft: Schifffahrtsunternehmen (41,5 Prozent), Offshore-Betreiber (31,2 Prozent), Werften (10,7 Prozent) und Hafenbehörden (6,7 Prozent). Für die deutsche Reedereiwirtschaft, die zu den weltweit führenden zählt, könnte dies fatale Folgen haben.
Massiver Angriff auf Microsoft 365
Parallel dazu haben Unbekannte eine großangelegte Password-Spraying-Kampagne gegen Microsoft 365-Konten gestartet. Vom 12. bis 26. Juni 2026 generierten die Angreifer 81 Millionen Anmeldeversuche. Der Höhepunkt der Aktivitäten lag laut den Beobachtern von Huntress am 22. Juni.
Besonders perfide: Die Täter nutzten eine spezielle Technik mit Azure CLI und ROPC OAuth, um die Mehrfaktor-Authentifizierung (MFA) zu umgehen. Das Ergebnis: 78 Konten in 64 verschiedenen Organisationen wurden kompromittiert. Die technische Analyse führt die Ursprünge der Angriffe auf einen IPv6-Adressbereich zurück, der dem Unternehmen LSHIY LLC gehört. Die Angreifer setzten massiv auf Standard-IoT-Zugangsdaten und Residential-Proxys, um die Flut der Anmeldeversuche zu verschleiern.
Angesichts massiver Angriffswellen auf Cloud-Dienste und Zugangsdaten müssen Unternehmen ihre IT-Sicherheit ohne hohe Investitionen stärken. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheits-Ratgeber jetzt kostenlos herunterladen
FBI warnt vor TeamPCP: Lieferketten-Angriffe auf Entwickler-Tools
Am 2. Juli 2026 veröffentlichte das FBI eine dringende Warnung vor der Hackergruppe TeamPCP. Die Gruppe führt großangelegte Supply-Chain-Angriffe durch, indem sie Entwickler-Tools wie Trivy, KICS, LiteLLM und das Telnyx SDK kompromittiert.
Ziel der Einbrüche: der Diebstahl von Cloud-Zugangsdaten, SSH-Keys und Kubernetes-Geheimnissen. TeamPCP setzt dabei mehrere Schadsoftware-Familien ein, darunter CanisterWorm, SANDCLOCK, Mini Shai-Hulud und Miasma. Das FBI stellte fest, dass die Angreifer die Kontrolle über npm-Konten erlangten, indem sie verlassene E-Mail-Domains für die Passwort-Wiederherstellung kaperten.
Erste KI-gesteuerte Ransomware: JADEPUFFER
Ein echter Meilenstein in der Cyberkriminalität: Sicherheitsforscher von Sysdig haben mit JADEPUFFER den ersten KI-Agenten dokumentiert, der eine Ransomware-Operation vollständig autonom durchführt. Das System nutzte mehrere Sicherheitslücken aus, darunter CVE-2025-3248 in Langflow und eine Authentifizierungslücke in Nacos (CVE-2021-29441).
Was JADEPUFFER von herkömmlichen automatisierten Angriffen unterscheidet: Die KI besitzt selbstkorrigierende Fähigkeiten und behebt eigene Ausführungsfehler in durchschnittlich 31 Sekunden. Zwar verschlüsselte die KI erfolgreich 1.342 Konfigurationselemente und legte mehrere Datenbanken lahm, doch nutzte sie keine neuartigen Hacking-Techniken. Stattdessen setzte sie auf Standard-MinIO-Zugangsdaten und ungepatchte Sicherheitslücken. Die Ransomware-Payloads enthielten Kommentare in natürlicher Sprache – was Forscher zufolge die Erkennung sogar erleichtern könnte.
Die rasante Entwicklung autonomer KI-Angriffe stellt völlig neue Anforderungen an die rechtliche Absicherung von Unternehmen. Der neue Umsetzungsleitfaden zum EU AI Act bietet Compliance-Verantwortlichen einen kompakten Überblick über alle Anforderungen, Pflichten und Fristen. Kostenloses E-Book zur KI-Verordnung sichern
Erfolge der Strafverfolgung und wichtige Sicherheitsupdates
Die internationale Strafverfolgung kann jedoch auch Erfolge vermelden. Im Rahmen der Operation Endgame beschlagnahmte Europol mehrere Server und stellte 27 Millionen gestohlene Zugangsdaten aus den Malware-Netzwerken Amadey und StealC sicher. Zudem haben FBI und Google gemeinsam das NetNut-Residential-Proxy-Netzwerk zerschlagen, das aus zwei Millionen kompromittierten Geräten bestand.
Für Unternehmen in Deutschland besonders relevant: Splunk hat Patches für eine kritische Sicherheitslücke (CVE-2026-20251) im Splunk Secure Gateway veröffentlicht. Die Schwachstelle betrifft die Versionen 3.8.x bis 3.10.x und könnte es Nutzern mit niedrigen Berechtigungen ermöglichen, Code auszuführen. Die aktualisierten Versionen 3.8.67, 3.9.20 und 3.10.6 stehen zum Download bereit.
