Massenangriff auf SonicWall-Firewalls: 4.300 IP-Adressen scannen gezielt VPN-Infrastrukturen

Zwischen dem 22. und 25. Februar 2026 registrierten Analysten von GreyNoise mehr als 84.000 Scan-Sitzungen gegen SonicWall-Firewalls – verteilt auf vier koordinierte Angriffswellen. Die Kampagne folgt einem bekannten Muster: Vor eigentlichen Einbruchsversuchen kartieren Angreifer systematisch exponierte VPN-Zugangspunkte. Angesichts der Ransomware-Gruppen, die erfahrungsgemäß auf solche Vorbereitungsphasen folgen, raten Sicherheitsforscher zu umgehenden Schutzmaßnahmen.

Koordinierte Aufklärung gegen SonicWall-VPNs

Sicherheitsforscher des Unternehmens GreyNoise haben zwischen dem 22. und 25. Februar 2026 eine umfangreiche Scan-Kampagne gegen SonicWall-Firewalls dokumentiert. Innerhalb von vier Tagen wurden 84.142 Sitzungen von 4.305 eindeutigen IP-Adressen in 20 autonomen Systemen erfasst. Drei operativ voneinander getrennte Infrastrukturcluster führten dabei eine koordinierte Enumeration von SSL-VPN-Zugangspunkten durch – also eine systematische Bestandsaufnahme, welche Geräte über aktive VPN-Zugänge verfügen.

Auffällig ist die inhaltliche Konzentration der Aktivität: 92 Prozent aller Sitzungen richteten sich gegen einen einzigen API-Endpunkt – jenen, der Auskunft darüber gibt, ob SSL-VPN auf einem Gerät aktiviert ist. Diese Vorabprüfung bildet den ersten Schritt einer mehrstufigen Angriffsvorbereitung: Angreifer erstellen zunächst eine strukturierte Zielliste, bevor sie teurere Ressourcen für eigentliche Zugangsdaten-Tests einsetzen. Eine direkte Ausnutzung bekannter Sicherheitslücken war hingegen kaum nachweisbar – was die Einschätzung stützt, dass es sich um eine reine Kartierungsoperation handelt.

Vier Burst-Phasen mit operativer Pause

Die Kampagne verlief nicht gleichmäßig, sondern in vier klar abgrenzbaren Schüben, die durch eine rund 31-stündige Phase deutlich reduzierter Aktivität voneinander getrennt waren. Der erste Burst begann am 22. Februar um Mitternacht UTC und dauerte 19 Stunden, mit einem Spitzenwert von 3.272 Sitzungen pro Stunde. Am ersten Tag wurden insgesamt 30.952 Sitzungen registriert. Danach fiel das Volumen bis zum 24. Februar auf eine Basislinie von 54 bis 90 Sitzungen pro Stunde – ausschließlich getragen von einem Cluster, der dauerhaft Zugangsdaten am NetExtender-Endpunkt testete.

Am 24. Februar reaktivierte sich die Proxy-Infrastruktur für ein konzentriertes Acht-Stunden-Fenster und lieferte knapp 18.000 weitere Sitzungen. Am selben Nachmittag folgte der volumenstärkste Einzelburst der gesamten Kampagne: Allein zwischen 15 und 17 Uhr UTC wurden über 12.800 Sitzungen verzeichnet. Ein letzter Anstieg am 25. Februar erreichte seinen Höhepunkt mit knapp 5.900 Sitzungen um 11 Uhr UTC.

Die ausgeprägte Ruhephase am 23. Februar – ein Rückgang von rund 95 Prozent gegenüber dem Vortag – ist dabei operativ bemerkenswert. Die Infrastruktur fiel nicht aus, wie der weiterhin aktive NetExtender-Cluster belegt. Analysten werten die Pause als Hinweis auf eine bewusste operative Steuerung der Kampagne.

Vier Infrastrukturcluster mit unterschiedlichen Rollen

Die Kampagne lässt sich in vier klar abgrenzbare Cluster unterteilen, die unterschiedliche technische Rollen übernehmen.

Ein niederländischer Scan-Cluster aus sechs IP-Adressen innerhalb eines ukrainisch registrierten autonomen Systems lieferte 23.794 Sitzungen und stellte damit 28 Prozent des Gesamtvolumens. Bemerkenswert: Dieser Cluster führte parallel Aufklärung gegen Cisco-ASA-Geräte durch – ein Hinweis auf eine anbieterübergreifende VPN-Kartierungsoperation. Alle sechs Knoten weisen identische Software-Stacks und einen gemeinsamen HASSH-Fingerabdruck auf, was auf eine einheitliche Bereitstellungsvorlage aus einer zentralen Quelle schließen lässt. Vier der sechs Adressen exponieren zudem HTTP-Dienste auf den Ports 7001 bis 7003 mit identischen minimalen Fehlerantworten – ein Merkmal, das mit einem maßgeschneiderten Scan-Framework übereinstimmt, das parallele Worker-Threads erzeugt.

Rund 32 Prozent des Scan-Volumens – insgesamt 27.119 Sitzungen – stammten von 4.102 rotierenden IP-Adressen, die über den kommerziellen Proxy-Dienst ByteZero (bytezero[.]io) bezogen wurden. Der Anbieter vermarktet sich als Dienstleister für Web-Scraping und Datenerfassung und wirbt mit Zugang zu über 100 Millionen IP-Adressen in mehr als 150 Ländern. Die Scan-Aktivität stammt dabei nicht von ByteZero selbst, sondern von zahlenden Kunden, die den Dienst als Anonymisierungsschicht nutzen. Ein wesentliches Detail: Die Kundenverwaltungsplattform von ByteZero ging Anfang Dezember 2025 offline. Seitdem arbeiten die Proxy-Knoten ohne aktive Missbrauchsüberwachung – was das ungebremste Scan-Volumen unmittelbar erklärt.

Das niedrige Sitzungsvolumen je IP-Adresse – im Durchschnitt 6,6 Sitzungen, maximal 13 pro Exit-Knoten – ist keine technische Schwäche, sondern eine gezielte Kalibrierung: Die Verteilung ist so ausgelegt, dass Ratenbegrenzungen und reputationsbasierte Sperrsysteme nicht ausgelöst werden. Statische Blocklisten stoßen bei einer Infrastruktur, die innerhalb eines einzigen Scan-Fensters Tausende von Adressen rotiert, an ihre praktischen Grenzen.

Ein weiterer Cluster – eine einzelne IP-Adresse auf einem seychellisch registrierten autonomen System, mit Geolokalisierung in Deutschland – generierte allein 18.763 Sitzungen und war damit für 22 Prozent des Gesamtvolumens verantwortlich. Diese Adresse scannte über 20 Zielports, darunter auch nicht standardmäßige wie 6666, 7777 oder 9443, und wechselte dabei durch 26 verschiedene Browser-User-Agents, um einfache Fingerabdruck-Erkennungen zu erschweren.

Der vierte Cluster aus 156 IP-Adressen in vier dedizierten Adressbereichen führt dauerhaft Zugangsdaten-Tests am NetExtender-VPN-Endpunkt durch. Dieser Cluster war während der gesamten vier Tage ununterbrochen aktiv – auch in der Ruhephase am 23. Februar – und akkumulierte insgesamt 6.629 Sitzungen.

Ein verräterischer Fingerabdruck

Ein technisches Detail erlaubt eine besonders präzise Einordnung der Kampagne: Ein einziger HTTP-Fingerabdruck war in 58.510 Sitzungen nachweisbar – rund 70 Prozent aller registrierten Verbindungen. Der zugehörige User-Agent gibt vor, ein aktueller Chrome-Browser unter Linux zu sein, ist jedoch mit dem veralteten Protokoll HTTP/1.0 kombiniert. Legitime Chrome-Browser verwenden HTTP/1.0 unter keinen Umständen. Diese Diskrepanz gilt als zuverlässiger Indikator für automatisierte Scan-Werkzeuge und ermöglicht es Verteidigern, entsprechende Anfragen mit hoher Treffsicherheit zu identifizieren und zu blockieren.

Ransomware-Gruppen im Hintergrund

SonicWall SSL VPN gilt als einer der am häufigsten genutzten initialen Zugriffsvektoren bei Ransomware-Angriffen. Die Gruppen Akira und Fog haben in der Vergangenheit wiederholt gezeigt, dass kompromittierte VPN-Zugangsdaten binnen weniger Stunden zu einer vollständigen Verschlüsselung von Unternehmensnetzwerken führen können – mit dokumentierten Verweildauern von teils nur 55 Minuten zwischen erstem Zugriff und Beginn der Verschlüsselung.

Seit März 2023 hat allein Akira mindestens 250 Organisationen kompromittiert und dabei schätzungsweise 244 Millionen US-Dollar an Lösegeld eingenommen. 75 Prozent der dokumentierten SonicWall-VPN-Einbrüche werden Akira zugerechnet, 25 Prozent der Gruppe Fog. Fünf von sieben relevanten SonicWall-Sicherheitslücken sind im KEV-Katalog der US-Behörde CISA verzeichnet, vier davon mit dokumentierten Ransomware-Einsätzen. SonicWall selbst hat bestätigt, dass jüngste Angriffe auf die Kombination aus Passwort-Wiederverwendung und der Ausnutzung bekannter Schwachstellen zurückzuführen sind.

Mehr als 430.000 SonicWall-Firewalls sind laut GreyNoise öffentlich erreichbar. Über 25.000 SSL-VPN-Geräte sind anfällig für schwerwiegende Sicherheitslücken, weitere 20.000 betreiben eine Firmware, für die keine Sicherheitsupdates mehr bereitgestellt werden.

Einordnung: Teil einer anhaltenden Entwicklung

Die aktuelle Kampagne steht nicht isoliert. Bereits im Dezember 2025 dokumentierte GreyNoise eine koordinierte Kampagne gegen VPN-Infrastrukturen von Palo Alto und SonicWall, bei der identische Client-Fingerabdrücke für beide Anbieter verwendet wurden und neun Millionen Sitzungen von über 7.000 IP-Adressen ausgingen. Die Februarkampagne stellt nach Einschätzung der Analysten eine Fortsetzung und Intensivierung dieser Aktivitäten dar.

Parallel dazu zeigt das breitere Proxy-Ökosystem eine strukturelle Verschiebung: Im Januar 2026 unterband Google den Betrieb von IPIDEA – einem Residential-Proxy-Netzwerk, das von über 550 Bedrohungsgruppen, darunter staatlich unterstützte Akteure, für Zugangsdaten-Angriffe und die Verschleierung von Command-and-Control-Infrastrukturen genutzt wurde. Die Shadowserver Foundation verfolgt zudem eine separate Kampagne, bei der täglich 2,8 Millionen IP-Adressen für Brute-Force-Angriffe auf VPN-Anmeldeportale eingesetzt werden. Proxy-Dienste haben sich damit zu einem zentralen Wegbereiter für credential-basierte Erstzugriffe entwickelt – mit zunehmend professionalisierter Infrastruktur und sinkenden Hemmschwellen für deren Missbrauch.

Wenn Proxy-Anbieter die Fähigkeit oder den Anreiz verlieren, den Datenverkehr ihrer Kunden zu überwachen, wird ihre Infrastruktur funktional mit unkontrolliertem Hosting gleichgesetzt – ein strukturelles Problem, das weit über einzelne Kampagnen hinausweist.

Handlungsbedarf für Administratoren

Analysten bewerten die beobachtete Aktivität als vorbereitende Phase, der Ausnutzungsversuche in den kommenden Tagen und Wochen folgen dürften. Die Zeitspanne zwischen der von GreyNoise dokumentierten Aufklärung und nachfolgenden Einbruchsversuchen ist dabei möglicherweise kürzer als die Patch-Zyklen vieler Organisationen.

Für SonicWall-Administratoren empfiehlt GreyNoise folgende Maßnahmen: Der Zugriff auf Verwaltungsschnittstellen sollte auf vertrauenswürdige IP-Adressen beschränkt werden; für alle SSL-VPN-Nutzer ist Multi-Faktor-Authentifizierung durchzusetzen. Das Einspielen des Patches für CVE-2024-53704 (CVSS-Wert 9.8, im CISA-KEV-Katalog gelistet) sollte prioritär behandelt werden – betroffen sind SonicOS-Versionen bis einschließlich 7.1.1-7058, 7.1.2-7019 und 8.0.0-8035. Alle lokalen Benutzerkontopasswörter sollten zurückgesetzt werden, insbesondere solche, die bei einer Migration von Generation 6 auf Generation 7 unverändert übernommen wurden.

Geräte am Ende ihres Supportzyklus sollten unverzüglich vom Netzwerk getrennt werden, da für ältere Schwachstellen wie CVE-2021-20028 und CVE-2019-7481 keine Patches mehr verfügbar sind. Ergänzend empfehlen sich die Aktivierung von Kontosperrungen bei wiederholten Fehlanmeldungen, die Durchsetzung von Passwortkomplexitätsvorgaben ab SonicOS 7.3 sowie die Aktivierung von Geo-IP-Filterung und Botnet-Schutz auf der Firewall.

Auf Erkennungsebene gilt die Überwachung von HTTP/1.0-Anfragen in Verbindung mit modernen Browser-User-Agents als besonders effektiv: Diese Kombination war in rund 70 Prozent aller Sitzungen dieser Kampagne nachweisbar und stellt einen zuverlässigen Indikator für automatisierte Scan-Aktivitäten dar. Zudem sollten die folgenden IP-Bereiche am Perimeter blockiert werden: 154[.]208[.]64[.]0/21 (Proxy-Exit-Knoten), 185[.]177[.]72[.]0/24 (Bulletproof-Hosting), 185[.]156[.]73[.]0/24 und 88[.]210[.]63[.]0/24 (Scannerflotte) sowie 204[.]76[.]203[.]0/24 (mit Indikatoren für Zugangsdaten-Erfassung).

„Die in diesem Beitrag veröffentlichten Informationen wurden sorgfältig recherchiert. Dennoch übernehmen wir keine Gewähr für Vollständigkeit oder absolute Richtigkeit. Die Inhalte dienen der allgemeinen Orientierung und ersetzen keine fachkundige Beratung. Für etwaige Fehler, Auslassungen oder Folgen aus der Nutzung der Informationen übernimmt die Redaktion keine Haftung. Trotz sorgfältiger Prüfung können vereinzelt unbeabsichtigte Fehler oder Ungenauigkeiten, etwa bei Übersetzungen, auftreten.“

Entdecke mehr

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk