Хакеры крадут пароли для 500000 учетных записей Fortinet VPN

26
Маркетинговые службы Marketron пострадали от вируса-вымогателя Blackmatter

Злоумышленник просочился список из почти 500 000 имен и паролей для входа в Fortinet VPN, которые якобы были скопированы с уязвимых устройств прошлым летом.

Хотя злоумышленник заявляет, что использованная уязвимость Fortinet была исправлена, они утверждают, что многие учетные данные VPN все еще действительны.

Эта утечка является серьезным инцидентом, поскольку учетные данные VPN могут позволить злоумышленникам получить доступ к сети для кражи данных, установки вредоносного ПО и выполнения атак программ-вымогателей.

Учетные данные Fortinet просочились на хакерский форум

Список учетных данных Fortinet был бесплатно передан злоумышленником, известным как Orange, который является администратором недавно запущенного хакерского форума RAMP и предыдущим оператором операции Babuk Ransomware.

После разногласий между членами банды Бабука Orange отделилась, чтобы основать RAMP, и теперь считается, что она является представителем новой операции вымогателей Groove.

Вчера злоумышленник создал сообщение на форуме RAMP со ссылкой на файл, который якобы содержит тысячи учетных записей Fortinet VPN.

В то же время на сайте утечки данных программы-вымогателя Groove появилось сообщение, в котором также рекламировалась утечка данных Fortinet VPN.

Оба сообщения ведут к файлу, размещенному на сервере хранения Tor, который банда Groove использует для размещения украденных файлов, которые просочились, чтобы заставить жертв вымогателей заплатить.

Анализ этого файла, проведенный BleepingComputer, показывает, что он содержит учетные данные VPN для 498 908 пользователей на 12 856 устройствах.

Хотя мы не проверяли, действительны ли какие-либо из просочившихся учетных данных, BleepingComputer может подтвердить, что все проверенные нами IP-адреса являются серверами Fortinet VPN.

Дальнейший анализ, проведенный Advanced Intel, показывает, что IP-адреса предназначены для устройств по всему миру, а 2959 устройств расположены в США.

Непонятно, почему злоумышленник выпустил учетные данные вместо того, чтобы использовать их для себя, но считается, что это было сделано для продвижения форума хакеров RAMP и операции «программа-вымогатель как услуга» Groove.

«Мы с большой уверенностью полагаем, что утечка SSL через VPN, вероятно, была совершена для продвижения нового форума по программам-вымогателям RAMP, предлагающего« халяву »для операторов программ-вымогателей». Об этом BleepingComputer сообщил продвинутый технический директор Intel Виталий Кремез.

Groove – это относительно новая операция по работе с программами-вымогателями, у которой в настоящее время указана только одна жертва на их сайте утечки данных. Однако, предлагая бесплатные услуги сообществу киберпреступников, они могут надеяться привлечь других злоумышленников в свою партнерскую систему.

Что должны делать администраторы VPN-серверов Fortinet?

Хотя BleepingComputer не может юридически проверить список учетных данных, если вы являетесь администратором VPN-серверов Fortinet, вы должны предполагать, что многие из перечисленных учетных данных действительны, и принимать меры предосторожности.

Эти меры предосторожности включают выполнение принудительного сброса всех паролей пользователей для обеспечения безопасности и проверку ваших журналов на предмет возможных вторжений.

Если что-то выглядит подозрительно, вы должны немедленно убедиться, что у вас установлены последние исправления, провести более тщательное расследование и убедиться, что пароли ваших пользователей сброшены.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here