黑客泄露了50万个Fortinet VPN账户的密码 涉及大量中国用户

共 1667字,需浏览 4分钟

 ·

2021-09-10 10:16

一名网络威胁参与者泄露了一份近50万Fortinet VPN登录名和密码的名单,据称这些名字和密码是去年夏天从可用设备上窃取的。

虽然威胁行方声称被利用的Fortinet漏洞已经被修补,但他们声称许多VPN凭证仍然有效。

这是一个严重的数据泄露事件,因为VPN凭据可能允许威胁行为者访问网络执行数据外泄、安装恶意软件和执行勒索软件攻击。


Fortinet 凭据在黑客论坛上泄露


Fortinet凭据列表由名为“Orange”的威胁行为者免费泄露,他是新成立的RAMP 黑客论坛的管理员,也是Babuk 勒索软件的前运营商。

在Babuk团伙成员之间发生争执后,Orange分道扬镳启动RAMP,现在被认为是新 Groove勒索软件行动的代表。

9月8日,威胁行为者在RAMP论坛上创建了一个帖子,其中包含一个指向据称包含数千个Fortinet VPN帐户的文件的链接。

GWR8zcYwrQ.jpg

与此同时,Groove勒索软件的数据泄露站点上出现了一篇帖子,也宣传Fortinet VPN 泄露事件 。

JoMMrqG3ZK.jpg

这两篇文章都指向了一个托管在Tor存储服务器上的文件,Groove团伙使用该服务器托管被盗文件,迫使勒索软件受害者支付赎金。

BleepingComputer对该文件的分析显示,它包含了超过12,856台设备的498,908名用户的VPN凭据。

虽然我们没有测试泄漏的任何凭据是否有效,但BleepingComputer可以确认我们检查的所有IP地址都是Fortinet VPN服务器。

Advanced Intel进行的进一步分析表明,这些IP地址是用于全球设备的,其中2959个设备位于美国,还涉及大量中国用户。

PdJWqcp3lv.jpg

Kremez在采访中表示,这些数据泄露由于Fortinet 存在的一个CVE-2018-13379 漏洞被利用导致。一位网络安全行业的消息人士称,他们已经完成了合法验证,可以证明其中至少一部分泄露的凭证真实有效。

目前还不清楚攻击者为什么要公开凭证、而不是自行使用,但据称这么做是为了宣传RAMP黑客论坛,并帮助Groove勒索软件即服务打开市场。

Advanced Intel CTO Vitali Kremez表示,“我们非常有信心地相信VPN SSL泄漏很可能是为了推广新的RAMP 勒索软件论坛,为想要成为勒索软件运营商的人提供“免费赠品”。

Groove是一个相对较新的勒索软件操作,目前在其数据泄露网站上只有一名受害者。然而,通过向网络犯罪社区提供免费赠品,他们可能希望招募其他威胁行为者加入他们的附属系统。


Fortinet VPN服务器管理员应该怎么做?


虽然无法合法验证凭据列表,但作为 Fortinet VPN 服务器的管理员,应该假设列出的许多凭据都是有效的并积极采取预防措施。

这些预防措施包括强制重置所有用户的密码,以确保安全,并检查您的日志,以防可能的入侵。如果有任何可疑的地方,应该立即确保安装了最新的补丁,进行更彻底的调查,并确保重置了用户的密码。

数据是网络运营的核心,随着大数据时代加快社会发展,数据企业及个人数据在生产生活中不断传输运转。数据也是网络攻击者用以勒索的”筹码“,在多起重大勒索事件中,企业花费巨额赎金才确保数据安全。


在勒索事件中,数据是怎么被”偷走“的?


随着恶意软件的不断更新优化,传统安全防护设备难以应对多变的逃脱机制,犯罪分子逃过查杀检测和防护设备后,利用软件安全漏洞对数据进行盗取或篡改、锁定。由此可见,软件自身安全的提升是现有网络防护手段的重要补充。尤其在软件开发期间通过静态代码检测工具不断检测并修改由代码缺陷引起的问题或漏洞,可以大大提高软件安全性减少数据丢失。


参读链接:

https://www.bleepingcomputer.com/news/security/hackers-leak-passwords-for-500-000-fortinet-vpn-accounts/

浏览 39
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报