Innerhalb von nur 48 Stunden gelang es einer Ransomware-Gruppe ein Netzwerk vollständig zu verschlüsseln. Der Einstieg gelang über eine ungepatchte FortiGate-Firewall und Fehlkonfigurationen. Der Fall zeigt, wie schnell Edge‑Lücken eskalieren: Credential‑Diebstahl, Kerberoasting, laterale Bewegung. Wir nennen priorisierte Maßnahmen von Patchen bis AD‑Härtung.
Der Angriff startete über eine ungepatchte, aus dem Internet erreichbare FortiGate-Firewall. In 48 Stunden wurden Daten exfiltriert und Hyper‑V‑Server nach AD‑Kompromittierung und lateralem Zugriff verschlüsselt.
Attack Map eines INC-Ransom-Angriffs auf die Unternehmensumgebung.
(Bild: HvS Consulting)
Der Angriff der Gruppe „INC Ransom“ begann mit der Ausnutzung der Schwachstelle FG-IR-24-535 (FortiOS 7.0.15). Durch eine Fehlkonfiguration einige Wochen vor dem Angriff, war das Management-Interface der FortiGate-Firewall aus dem Internet erreichbar. So konnten die Angreifer Administratorrechte erlangen, ein SSL-VPN für den Fernzugriff einrichten und Zugangsdaten wie RADIUS-Benutzer, VPN-Pre-Shared-Keys und TLS-Zertifikate mit FG-IR-19-007 extrahieren.
Innerhalb von 48 Stunden waren nahezu alle Hyper-V-Server verschlüsselt - ein deutliches Beispiel dafür, wie schnell Ransomware bei vorhandenen Sicherheitslücken zuschlagen kann und wie kritisch Patching nach wie vor ist. Zusätzlich zur Verschlüsselung wurden ebenfalls Daten exfiltriert. Dies ist Teil der gängigen “Double Extortion” (Erpressung über Verschlüsselung und Erpressung über Datenklau) Praxis von heutigen Ransomware Gruppen.
Unsere Analyse zeigt ein wiederkehrendes Muster bei FortiGate-Angriffen:
Konfiguration eines maliziösen „super_admin“-Kontos für dauerhaften Zugriff
Extraktion von VPN-Pre-Shared-Keys, RADIUS-Usern und TLS-Zertifikaten aus der Firewall-Konfiguration
Manipulation der SSL-VPN-Einstellungen für Fernzugriff
Lateral Movement bis zu Domain-Admin-Rechten
Selbst bekannte Angriffstechniken wirken effektiv, wenn kritische Komponenten unzureichend gesichert sind.
Täuschung bei den Lösegeldverhandlungen
Während der Verhandlungen stellte INC Ransom falsche Informationen bereit. So behaupteten die Angreifer, ein FortiGate-Administratorkonto sei per Brute Force geknackt worden. Diese Behauptung konnten unsere forensischen Analysen jedoch widerlegen. Die Analysen haben gezeigt, dass Anmeldeversuche an Admin-Accounts nur von bestimmten vertrauenswürdigen IP-Adressen möglich war (Fortigate Trusted Hosts for Admin Accounts). Zusätzlich löschten sie Hyper-V-Volumes, sodass selbst eine Lösegeldzahlung keine schnelle Wiederherstellung ermöglicht hätte.
Angriffskette eines INC-Ransom-Angriffs entlang entlang der MITRE ATT&CK Matrix.
(Bild: HvS Consulting)
INC Ransom verschaffte sich initial Zugang zur Umgebung durch die Ausnutzung der Schwachstelle FG-IR-24-535 (FortiOS 7.0.15) in der FortiGate-Firewall. Das Management Interface der nicht gepatchten Firewall war versehentlich über das Internet erreichbar. Mit dem Exploit legten die Angreifer ein maliziöses „super_admin“-Konto an und richteten eine SSL-VPN-Konfiguration ein, um sich dauerhaft Fernzugriff auf das Netzwerk des Opfers zu sichern.
Die kompromittierte FortiGate-Firewall wurde außerdem genutzt, um Credentials eines für die RADIUS-Authentifizierung konfigurierten Active-Directory-Benutzers zu extrahieren (weitere Details siehe FG-IR-19-007). Mit diesen Zugangsdaten analysierten die Angreifer die Active-Directory-Domäne, identifizierten schwach konfigurierte Konten und führten anschließend einen Kerberoasting-Angriff durch. Dabei konnten sie das Passwort des built-in Domain-Admin-Kontos knacken, das zusätzlich als Service Principal für Single Service Installations konfiguriert war.
Mit den erlangten Domain-Admin-Rechten bewegte sich INC Ransom lateral durch das Netzwerk, hauptsächlich über Remote Desktop Protocol (RDP). Dabei wurden zentrale Server wie File-Server und Hyper-V-Hosts angegriffen. Über 10.000 Dateien wurden exfiltriert, bevor die Ransomware innerhalb von 48 Stunden nahezu alle Hyper-V-Server verschlüsselte. Die Angreifer setzten dabei eine Variante ihres Crypters namens win.exe ein.
Indicators of Compromise (IoCs) im untersuchten INC-Ransom-Fall.
(Bild: HvS Consulting)
In einigen Fällen mussten sie die Malware für die Verschlüsselung manuell in virtuellen Maschinen ausführen oder sogar ganze Hyper-V-Volumes löschen. Dies deutet darauf hin, dass sie Workarounds nutzten, wenn VMs nicht gestoppt werden konnten oder Dateisystem-Sperren die automatisierte Verschlüsselung verhinderten. Parallel dazu wurde ein Meterpreter-basierter Remote-Access-Trojaner auf einem Hypervisor eingesetzt, vermutlich als Fallback-Zugriffsmethode oder zur Überwachung der laufenden Verschlüsselung.
Unsere forensischen Analysen haben tiefe Einblicke in die Vorgehensweisen der INC Ransom-Angreifergruppe ermöglicht. Aus diesen Erkenntnissen konnten wir konkrete Handlungsempfehlungen ableiten, die Ihnen in Zukunft helfen, solche Angriffe zu verhindern und frühzeitig zu erkennen:
Schnelles Patchen: Kritische Schwachstellen in öffentlich erreichbaren Komponenten sofort schließen.
Konfigurationsüberprüfung: Regelmäßige Checks der Netzwerkgeräte helfen, Fehlkonfigurationen frühzeitig zu erkennen.
Principle of least privilege: Konten nur mit den unbedingt notwendigen Rechten ausstatten.
Active Directory-Härtung: PingCastle-Reviews, LAPS und AD-Tiering.
Monitoring: Canary-Konten und Alerts für ungewöhnliche Logins.
Defense-in-Depth: Kombination aus Prävention, Detection und Response als kontinuierlicher Prozess.
Die Analyse zeigt eindrücklich, wie eine Kombination aus ungepatchten Geräten, Fehlkonfigurationen und bekannten Angriffstechniken innerhalb kürzester Zeit zu einer vollständigen Kompromittierung führen kann.
Indicators of Compromise (IOCs)
Weitere Details und eine vollständige Liste der IOCs stellt HvS Consulting in ihrem IOC-Feed bereit.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Über die Autoren
Moritz Oettle ist Head of Incident Response bei HvS Consulting. Marc Ströbl ist Cyber Security Consultant, ebenfalls bei der HvS Consulting GmbH.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6c/dd/6cddbcf249f31748feae7096189632a2/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/11/63115ba1d37c1e9499d599c744c80ab4/0123849100v1.jpeg "Jörg Hollerith, Produktmanager bei Paessler, betont die Bedeutung klar definierter Schwellenwerte, um Warnmeldungen verlässlicher einzuordnen. (Bild: Paessler)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/c1/a0/c1a094f5250292391bb689c795c6858c/0123695347v2.jpeg "Cyberkriminellen kommen die zwei Zero-Day-Sicherheitslücken bei Fortinet gerade recht. Eine Ransomware-Bande nutzt sie bereits gezielt aus, um Daten zu verschlüsseln und Lösegelder zu erpressen. (Bild: arrow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/68/6968270f0a8cb0827bbb22e1046f3f2f/0122644286v2.jpeg "In jedem Unternehmen wird Ransomware vermutet. So hoch sind die Kosten eines tatsächlichen Datendiebstahls und so gehen die Betroffenen damit um. (Bild: jamdesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/4d/1d4d18230dd6ea00a5b56151d22e7c09/0124273433v2.jpeg "Same Mistake, Different Company; Ransomware-Opfer sind sich oft so ähnlich, weil die selben Fehler in vielen unternehmen begangen werden. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/2a/f52ae5932796c8711c2309a85a2710a3/0125772619v2.jpeg "Die Auswirkungen von Ransomware sind in vielen Fällen so massiv, dass sich Unternehmen oftmals genötigt fühlen, die Lösegelder zu bezahlen. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/09/1c095b379e2c236115873eabae6419d2/0128339645v1.jpeg "Synology-Apps erweitern ein Unternehmens-NAS um Sicherheit, Transparenz, Backup-Funktionen und Zugriffskontrolle und machen es so zu einer deutlich leistungsfähigeren und zuverlässigeren Plattform im täglichen Betrieb. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a0/00/a0002c2b83d7bf9b796778af2ab333f1/0126762718v2.jpeg "Sonicwall-Firewalls, deren SSL-VPN-Funktion aktiviert ist, könnten ins Visier von Cyberkriminellen geraten. (Bild: Dall-E / KI-generiert)")