Hakerzy ujawnili listę prawie 500 000 loginów i haseł do sieci VPN firmy Fortinet. Dane skradziono z urządzeń, w których latem ubiegłego roku wystąpił exploit.
Haker twierdzi, że luka wykorzystana w zabezpieczeniach Fortinet została już załatana. Jednak wiele danych uwierzytelniających VPN jest nadal w użytku.
Wyciek ten jest poważnym incydentem. Dane uwierzytelniające VPN mogą umożliwić cyberprzestępcom, dostęp do sieci w celu przeprowadzenia eksfiltracji danych, zainstalowania złośliwego oprogramowania i przeprowadzenia ataków typu ransomware.
Dane uwierzytelniające Fortinet wyciekły na forum hakerskim.
Haker o pseudonimie “Orange” udostępnił za darmo dane uwierzytelniające Fortinet’a. Jest on administratorem nowo uruchomionego forum hakerskiego RAMP i poprzednim operatorem operacji Babuk Ransomware.
Po sporach między członkami gangu Babuk. Orange odłączył się, aby założyć RAMP, a obecnie uważa się, że jest przedstawicielem nowej operacji Groove ransomware.
07 września Orange opublikował post na forum RAMP z linkiem do pliku, który rzekomo zawiera tysiące kont Fortinet VPN.
W tym samym czasie pojawił się post na stronie Groove udostępniający dane uwierzytelniające Fortinet’a
Oba posty prowadzą do pliku umieszczonego na serwerze Tor. Gang Groove wykorzystuje server do przechowywania skradzionych plików. Groove przechowuje dane na tym serwerze, żeby wywrzeć presje na ofiarach ransomware, aby zapłaciły okup.
Analiza tego pliku przeprowadzona przez BleepingComputer wykazała, że zawiera on dane uwierzytelniające VPN dla 498 908 użytkowników na 12 856 urządzeniach.
Chociaż nie sprawdziliśmy, czy którekolwiek z tych danych są prawdziwe. BleepingComputer może potwierdzić, że wszystkie sprawdzone przez nas adresy IP to serwery VPN firmy Fortinet.
Dalsza analiza przeprowadzona przez Advanced Intel pokazuje, że adresy IP należą do urządzeń z całego świata, z czego 2,959 urządzeń znajduje się w USA.
Kremez powiedział BleepingComputer, że luka Fortinet CVE-2018-13379 została wykorzystana do zebrania tych danych uwierzytelniających.
Źródło w branży cyberbezpieczeństwa powiedziało BleepingComputer, że byli oni w stanie legalnie zweryfikować, że przynajmniej niektóre z wyciekłych danych uwierzytelniających były prawidłowe.
Nie jest jasne, dlaczego sprawca zagrożenia udostępnił dane uwierzytelniające, zamiast wykorzystać je dla siebie. Uważamy, że zrobiono to w celu promowania forum hakerskiego RAMP oraz operacji Groove ransomware-as-a-service.
“Wierzymy z dużą pewnością, że wyciek SSL VPN został prawdopodobnie zrealizowany w celu promowania nowego forum ransomware RAMP oferującego “freebie” dla niedoszłych operatorów ransomware”. Advanced Intel CTO Vitali Kremez powiedział BleepingComputer.
Groove jest stosunkowo nową operacją ransomware, która ma obecnie tylko jedną ofiarę, wymienioną na swojej stronie. Jednak, oferując cyberprzestępcom darmowe prezenty, Groove ma nadzieję na zwerbowanie do swojego systemu partnerskiego nowych użytkowników.
Co powinien zrobić admin serwera VPN Fortinet?
Chociaż BleepingComputer nie może legalnie zweryfikować listy danych uwierzytelniających. Jeśli jesteś administratorem serwerów Fortinet VPN, powinieneś założyć, że wiele z wymienionych danych uwierzytelniających jest ważnych i podjąć środki ostrożności.
Te środki ostrożności obejmują wykonanie wymuszonego resetu wszystkich haseł użytkowników, aby zachować bezpieczeństwo i sprawdzić logi pod kątem możliwych włamań.
Jeśli cokolwiek wygląda Ci na podejrzanie, powinieneś natychmiast upewnić się, że zainstalowałeś najnowsze poprawki. Powinieneś także przeprowadzić dokładniejsze dochodzenie i sprawdzić, czy użytkownicy zresetowali swoje hasła.
Źródło: https://thehackernews.com/2021/09/hackers-leak-vpn-account-passwords-from.html
