一份包含 50 万名 Fortinet VPN 用户的登录凭证近日被黑客曝光,据称这些凭证是去年夏天从被利用的设备上刮取的。该黑客表示,虽然被利用的 Fortinet 漏洞后来已经被修补,但他们声称许多 VPN 凭证仍然有效。
这次泄漏是一个严重的事件,因为 VPN 凭证可以让威胁者进入网络进行数据渗透,安装恶意软件,并进行勒索软件攻击。Fortinet 凭证清单是由一个被称为“Orange”的黑客免费泄露的,他是新发起的 RAMP 黑客论坛的管理员,也是 Babuk 勒索软件行动的前操作者。
在 Babuk 团伙成员之间发生纠纷后,Orange 分裂出来创办 RAMP,现在被认为是新的 Groove 勒索软件行动的代表。昨天,该黑客在 RAMP 论坛上创建了一个帖子,其中有一个文件的链接,据称该文件包含成千上万的 Fortinet VPN 账户。同时,Groove 勒索软件的数据泄漏网站上出现了一个帖子,也在宣传 Fortinet VPN 的泄漏。
这两个帖子都指向一个文件,该文件托管在Groove团伙用来托管被盗文件的Tor存储服务器上,以迫使勒索软件受害者付款。外媒 BleepingComputer 对这个文件的分析显示,它包含了 12856 台设备上 498,908 名用户的 VPN 凭证。
外媒没有测试任何泄露的凭证是否有效,但可以确认我们检查的所有 IP 地址都是 Fortinet 的 VPN 服务器。Advanced Intel 进行的进一步分析显示,这些 IP 地址是全球范围内的设备,有 2959 个设备位于美国。
目前还不清楚为什么威胁者发布了这些凭证,而不是为自己所用,但据信这样做是为了推广RAMP黑客论坛和Groove勒索软件即服务行动。高级英特尔首席技术官 Vitali Kremez 告诉 BleepingComputer:“我们高度相信,VPN SSL的泄漏很可能是为了推广新的RAMP勒索软件论坛,为想做勒索软件的人免费提供”。
(举报)
