駭客曝光50萬Fortinet VPN用戶的登錄憑證
一份包含 50 萬名 Fortinet VPN 使用者的登錄憑證近日被駭客曝光,據稱這些憑證是去年夏天從被利用的設備上刮取的。 該駭客表示,雖然被利用的 Fortinet 漏洞後來已經被修補,但他們聲稱許多 VPN 憑證仍然有效。
這次洩漏是一個嚴重的事件,因為 VPN 憑證可以讓威脅者進入網路進行數據滲透,安裝惡意軟體,並進行勒索軟體攻擊。 Fortinet 憑證清單是由一個被稱為”Orange”的駭客免費洩露的,他是新發起的RAMP 駭客論壇的管理員,也是Babuk勒索軟體行動的前操作者。
在Babuk團夥成員之間發生糾紛后,Orange分裂出來創辦RAMP,現在被認為是新的 Groove 勒索軟體行動的代表。 昨天,該駭客在RAMP論壇上創建了一個帖子,其中有一個文件的連結,據稱該檔包含成千上萬的 Fortinet VPN 帳戶。 同時,Groove 勒索軟體的數據洩漏網站上出現了一個帖子,也在宣傳 Fortinet VPN 的洩漏。
這兩個帖子都指向一個檔,該檔託管在Groove團夥用來託管被盜檔的Tor存儲伺服器上,以迫使勒索軟體受害者付款。 外媒 BleepingComputer 對這個檔的分析顯示,它包含了 12856 台設備上 498,908 名使用者的 VPN 憑證。
外媒沒有測試任何洩露的憑證是否有效,但可以確認我們檢查的所有IP位址都是 Fortinet 的 VPN 伺服器。 Advanced Intel 進行的進一步分析顯示,這些 IP 位址是全球範圍內的設備,有 2959 個設備位於美國。
目前還不清楚為什麼威脅者發佈了這些憑證,而不是為自己所用,但據信這樣做是為了推廣RAMP駭客論壇和Groove勒索軟體即服務行動。 高級英特爾首席技術官 Vitali Kremez 告訴 BleepingComputer:”我們高度相信,VPN SSL的洩漏很可能是為了推廣新的RAMP勒索軟體論壇,為想做勒索軟體的人免費提供”