一名网络攻击者泄露了一份Fortinet 虚拟专用网络帐户和密码的名单,包含近50万用户。据称这些帐户和密码是从去年夏天的设备上窃取的。
虽然威胁行方声称被利用的Fortinet漏洞已经被修补,但他们声称许多虚拟专用网络凭证仍然有效。
这是一个严重的数据泄露事件,因为虚拟专用网络凭据可能允许威胁行为者访问网络执行数据外泄、安装恶意软件和执行勒索软件攻击。
Fortinet凭据列表由名为“Orange”的威胁行为者免费泄露,他是新成立的RAMP 黑客论坛的管理员,也是Babuk 勒索软件的前运营商。
在Babuk团伙成员之间发生争执后,Orange分道扬镳启动RAMP,现在被认为是新 Groove勒索软件行动的代表。
9月8日,威胁行为者在RAMP论坛上创建了一个帖子,其中包含一个指向据称包含数千个Fortinet 虚拟专用网络帐户的文件的链接。
与此同时,Groove勒索软件的数据泄露站点上出现了一篇帖子,也宣传Fortinet 虚拟专用网络泄露事件。
这两篇文章都指向了一个托管在Tor存储服务器上的文件,Groove团伙使用该服务器托管被盗文件,迫使勒索软件受害者支付赎金。
BleepingComputer对该文件的分析显示,它包含了超过12,856台设备的498,908名用户的虚拟专用网络凭据。
虽然我们没有测试泄漏的任何凭据是否有效,但BleepingComputer可以确认我们检查的所有IP地址都是Fortinet 虚拟专用网络服务器。
Advanced Intel进行的进一步分析表明,这些IP地址是用于全球设备的,其中2959个设备位于美国,还涉及大量中国用户。
Kremez在采访中表示,这些数据泄露由于Fortinet 存在的一个CVE-2018-13379 漏洞被利用导致。
一位网络安全行业的消息人士称,他们已经完成了合法验证,可以证明其中至少一部分泄露的凭证真实有效。
目前还不清楚攻击者为什么要公开凭证、而不是自行使用,但据称这么做是为了宣传RAMP黑客论坛,并帮助Groove勒索软件即服务打开市场。
Advanced Intel CTO Vitali Kremez表示,“我们非常有信心地相信虚拟专用网络SSL泄漏很可能是为了推广新的RAMP 勒索软件论坛,为想要成为勒索软件运营商的人提供“免费赠品”。
Groove是一个相对较新的勒索软件操作,目前在其数据泄露网站上只有一名受害者。然而,通过向网络犯罪社区提供免费赠品,他们可能希望招募其他威胁行为者加入他们的附属系统。
虽然无法合法验证凭据列表,但作为 Fortinet 虚拟专用网络服务器的管理员,应该假设列出的许多凭据都是有效的并积极采取预防措施。
这些预防措施包括强制重置所有用户的密码,以确保安全,并检查您的日志,以防可能的入侵。如果有任何可疑的地方,应该立即确保安装了最新的补丁,进行更彻底的调查,并确保重置了用户的密码。
数据是网络运营的核心,随着大数据时代加快社会发展,数据企业及个人数据在生产生活中不断传输运转。数据也是网络攻击者用以勒索的”筹码“,在多起重大勒索事件中,企业花费巨额赎金才确保数据安全。
参读来源:
Bleeping Computer