Redactie - 02 juli 2026

Directe link tussen FortiBleed en ransomware ontdekt

Onderzoekers van het beveiligingsbedrijf SOCRadar hebben een directe, operationele link ontdekt tussen 'FortiBleed' – een gigantische, wereldwijde campagne voor het stelen van inloggegevens – en twee actieve ransomware-organisaties. Het blijkt dat gestolen inloggegevens van honderdzenden FortiGate-firewalls rechtstreeks worden doorgesluisd naar de beruchte gijzelsoftware-benden INC Ransom en Lynx.

Directe link tussen FortiBleed en ransomware ontdekt image

De ontdekking werd gedaan door de Threat Research Unit (STRU) van SOCRadar. Onderzoekers stuitten op een cruciale fout in de operationele beveiliging van de hackers. Hierdoor kregen de analisten zicht op de interne systemen van de aanvallers. Tot hun verrassing zagen zij dat een operator die toegang had tot de FortiBleed-infrastructuur, op datzelfde moment live aan het onderhandelen was op de losgeld-panels van zowel INC Ransom als Lynx. Het is voor het eerst dat de grootschalige diefstal van firewall-gegevens zo hard zwart-op-wit aan ransomware-aanvallen kan worden gekoppeld.

Ruim 430.000 firewalls in het vizier

De FortiBleed-campagne begon als een grootschalige operatie van een zogeheten Initial Access Broker (een criminele tussenpersoon die netwerktoegang verkoopt). Met behulp van een op maat gemaakte, in Golang geschreven tool genaamd FortigateSniffer, wisten de hackers het legitieme netwerkverkeer van FortiGate-firewalls te onderscheppen. Hierbij werden ongemerkt inloggegevens buitgemaakt. In totaal zijn er wereldwijd al meer dan 430.000 FortiGate-systemen doelwit geweest van deze sniffer-software.

Nieuw onderzoek van SOCRadar laat zien hoe diep de operatie inmiddels geworteld is:

Uitgebreid netwerk: Er zijn nog eens 200 operationele servers ontdekt die gelieerd zijn aan de campagne.

Wereldwijd bereik: De hackers hebben scanactiviteiten uitgevoerd tegen zeker 11.250 FortiGate-portalen in meer dan 150 landen.

Volledige overname: Bij 409 doelwitten werd beheerderstoegang (admin) verkregen. In 354 gevallen wist de groep de volledige controle over het bedrijfsdomein over te nemen.

Slachtoffers: Er zijn inmiddels ten minste 12 grootschalige ransomware-aanvallen direct herleid naar deze diefstal, waarbij honderden computers en servers zijn versleuteld.

Een strak georganiseerd bedrijf van 20 man

Uit buitgemaakte interne documenten van de hackers blijkt dat FortiBleed geen losvaste groep amateurs is, maar een strak georganiseerde cybercriminele onderneming van ongeveer 20 personen. Binnen de groep is er sprake van een duidelijke taakverdeling: een kleine kern van ervaren hoofd-operators voert de zwaarste netwerkinbraken uit, ondersteund door technische specialisten en een achterban van junior operators voor het routinematige werk.

De link met de gijzelsoftwarebenden wordt extra ondersteund door een overlap in slachtofferdata. Gevoelige gegevens van bedrijven die op de servers van FortiBleed werden aangetroffen, kwamen exact overeen met de slachtoffertracker van INC Ransom. Lynx, de andere ransomware-groep, wordt door experts gezien als een doorontwikkelde variant van diezelfde INC-groep.

De inzet wordt verhoogd

De ontdekking verandert de manier waarop beveiligingsteams naar firewall-waarschuwingen moeten kijken. "Credential stuffing (het testen van gestolen wachtwoorden) is slechts wat er aan de oppervlakte zichtbaar is," waarschuwt SOCRadar.

"Voor organisaties die FortiGate-infrastructuur gebruiken, verhoogt dit de inzet aanzienlijk. Blootstelling aan FortiBleed is niet langer alleen een risico op gelekte wachtwoorden; het is een directe voorbode van een ransomware-aanval."

SOCRadar is momenteel bezig met het opstellen van een uitgebreid technisch rapport (whitepaper) met daarin alle digitale sporen (Indicators of Compromise). Opmerkelijk is dat de onderzoekers ook aanwijzingen hebben gevonden dat de hackersgroep AI-gestuurde tools gebruikt om te zoeken naar nieuwe kwetsbaarheden in software. Hierbij is mogelijk een nog onbekend beveiligingslek (zero-day) ontdekt. SOCRadar is inmiddels een procedure gestart om de getroffen softwareleverancier hier discreet over te informeren.

Fundaments BW + BN Flex IT BN + BW
Data Expo 2026 BN