Inloggningsuppgifter stulna från FortiGate-brandväggar matas direkt in i ransomware-driftsättningar. Kampanjen, som nu spåras under namnet FortiBleed, har komprometterat över 430 000 FortiGate-enheter och skördat mer än 110 miljoner inloggningsuppgifter. Säkerhetsforskare på SOCRadar har kopplat de stulna uppgifterna till minst 12 bekräftade ransomware-driftsättningar av INC och Lynx, med 354 fullständiga FortiGate-attackkedjor identifierade hittills.
Det här är ingen teoretisk eskaleringsväg. Samma angripare som skördar inloggningsuppgifterna verkar också använda dem för ransomware-driftsättning, enligt SecurityWeeks Ionut Arghire, som granskat SOCRadars analys. Den modellen, där en enskild aktör hanterar allt från initial stöld till ransomware-exekvering, krymper tiden mellan intrång och skada påtagligt.
Hur FortiBleed fungerar i praktiken
FortiBleed är en kampanj som i stor skala skördar inloggningsuppgifter från FortiGate-brandväggar. Inga specifika CVE:er har offentliggjorts av forskarna i samband med kampanjen vid publiceringstillfället, vilket försvårar oberoende teknisk validering. The Hacker News rapporterade om kampanjen den 7 juli 2026, och SOCRadar publicerade en separat analys som kopplar samman flödet av inloggningsuppgifter med INC och Lynx ransomware-infrastruktur.
Avsaknaden av namngivna CVE:er är ett problem för dem som försvarar systemen. Utan en specifik sårbarhetsidentifierare kan organisationer inte avgöra om deras patchade system fortfarande är exponerade, eller om mekanismen bygger på konfigurationssvagheter, credential stuffing mot hanteringsgränssnitt eller en opatchad brist som ännu inte tilldelats ett CVE. SOCRadar och SecurityWeek har inte klargjort detta offentligt. Behandla alla FortiGate-enheter med internetexponerade hanteringsgränssnitt som prioritet oavsett.
INC ransomware har varit aktivt sedan mitten av 2023 och har gjort anspråk på angrepp mot sjukvårds- och tillverkningssektorn i Europa. Lynx uppstod 2024 som en omprofilering av INC:s infrastruktur, enligt BleepingComputers rapportering. Den operativa överlappningen mellan de två grupperna gör attribution svårfångad, men den gemensamma pipeline för inloggningsuppgifter som SOCRadar beskriver pekar på samordnad infrastruktur snarare än en tillfällighet.
110 miljoner uppgifter är en leveranskedja, inte ett engångsintrång
Skalan spelar roll. Med 110 miljoner skördade inloggningsuppgifter från 430 000 enheter fungerar FortiBleed som en leveransoperation för inloggningsuppgifter, inte som en riktad intrångskampanj. Ransomware-grupper som köper eller får tillgång till den poolen kan välja mål selektivt och prioritera organisationer där de stulna uppgifterna fortfarande fungerar mot aktiva system.
Siffran 110 miljoner kommer från SOCRadars analys, inte från en myndighetsadvisory. Betrakta den som en storleksordning tills CISA, ENISA eller ett nationellt CERT publicerar oberoende verifiering. Även en bråkdel av den volymen, om uppgifterna är giltiga och inte har roterats, utgör en allvarlig exponering för organisationer som kör FortiGate-hårdvara utan att ha bytt inloggningsuppgifter sedan kampanjen inleddes.
FortiGate-brandväggar är brett driftsatta i enterprise- och mellansegmentsmiljöer i Norden. Fortinets hårdvara är standardinfrastruktur hos många svenska och finska tillverkare, logistikoperatörer och offentliga verksamheter. Ingen av dessa organisationer har namngetts i samband med bekräftade FortiBleed-kompromisser, och inga nordiska incidenter har offentliggjorts. Att inget har offentliggjorts är inte detsamma som att exponeringen saknas.
Rotera inloggningsuppgifterna först, uppdatera firmware sedan
Uppdatera FortiGate-firmware till aktuell version. Fortinet publicerar sina firmware-versionsnoteringar på support.fortinet.com, och alla enheter som kör en version utgiven före 2025 ska behandlas som prioriterade uppgraderingar.
Rotera omedelbart alla inloggningsuppgifter kopplade till FortiGate-hanteringskonton, inklusive tjänstekonton och API-token som kommunicerar med brandväggen. Om dessa uppgifter delas med andra system eller återanvänds på andra ställen i miljön, rotera dem även där. Återanvändning av inloggningsuppgifter är det som förvandlar ett brandväggsintrång till en domänövergripande incident.
Aktivera MFA på FortiGate-hanteringsgränssnitt. Fortinet har stött MFA på FortiGate via FortiAuthenticator och SAML-integrationer i flera år. Om din driftsättning saknar det är det den högst prioriterade konfigurationsändringen du kan göra just nu.
Begränsa åtkomsten till hanteringsgränssnittet till kända IP-intervall via brandväggspolicy. Internetexponerade FortiGate-adminpaneler är den uppenbara attackytan. Om ditt hanteringsgränssnitt är nåbart från det öppna internet utan IP-begränsningar, stäng den exponeringen före allt annat.
Granska dina FortiGate-loggar efter autentiseringsförsök från okända IP-adresser, särskilt mot hanteringsgränssnittet och VPN-endpoints. SOCRadars analys kopplar skördandet av inloggningsuppgifter till efterföljande lateral förflyttning, vilket innebär att lyckad autentisering från oväntade källor ska behandlas som IOC, inte som bakgrundsbrus.
Referenser
- FortiBleed Campaign Linked to INC, Lynx Ransomware Attacks
- FortiBleed Campaign Linked to INC and Lynx Ransomware
- FortiBleed Credential Theft Linked to INC and Lynx Ransomware
- Firmware and Security Updates
This post is also available in: