一名网络攻击者泄露了一份Fortinet虚拟专用网络账户和密码列表,其中包括近50万用户。帐户和密码据称于去年夏天从设备中被盗。虽然威胁行为者声称被利用的Fortinet漏洞已被修补,但他们声称许多VPN凭据仍然有效。这是一次严重的数据泄露,因为VPN凭据可能允许威胁行为者访问网络以执行数据泄露、安装恶意软件和执行勒索软件攻击。Fortinet凭据在黑客论坛上泄露一个名为“Orange”的威胁行为者免费泄露了Fortinet凭据列表,他是新成立的RAMP黑客论坛的管理员,也是Babuk勒索软件的前运营商。在Babuk帮派成员发生争执后,Orange分道扬镳,开始了RAMP,现在被认为是新Groove勒索软件行动的代言人。9月8日,威胁行为者在RAMP论坛上创建了一个帖子,其中包含一个指向据称包含数千个Fortinet虚拟专用网络帐户的文件的链接。与此同时,Groove勒索软件数据泄露网站上出现了一篇帖子,也宣传了Fortinet虚拟专用网络漏洞。这两篇文章都指向托管在Tor存储服务器上的文件,Groove团伙使用该文件托管被盗文件并迫使勒索软件受害者支付赎金。BleepingComputer对该文件的分析显示,它包含超过12,856台设备的498,908名用户的虚拟专用网络凭据。虽然我们还没有测试任何泄露的凭据是否有效,但BleepingComputer可以确认我们检查的所有IP地址都是FortinetVPN服务器。AdvancedIntel进一步分析显示,这些IP地址是针对全球范围内的设备,其中2959个位于美国,同时还涉及大量中国用户。Kremez在采访中表示,这些数据泄露是由于利用Fortinet中的CVE-2018-13379漏洞造成的。网络安全行业的一位消息人士表示,他们已经完成了法律验证,证明至少部分泄露的凭证是真实有效的。目前尚不清楚为什么攻击者公开凭据而不是自己使用它们,但据说他们这样做是为了推广RAMP黑客论坛并帮助推销Groove勒索软件即服务。AdvancedIntelCTOVitaliKremez说:“我们非常有信心地相信,VPNSSL泄漏很可能是为了推广一个新的RAMP勒索软件论坛,为潜在的勒索软件运营商提供‘免费赠品’。”Groove是一种相对较新的勒索软件操作,目前在其数据泄露站点上只有一名受害者。然而,通过向网络犯罪社区提供免费赠品,他们可能希望招募其他威胁行为者加入他们的附属系统。Fortinet虚拟专用网络服务器管理员应该做什么?虽然无法合法地验证凭据列表,但FortinetVPN服务器的管理员应该假设列出的许多凭据有效并采取主动预防措施。这些预防措施包括强制重置所有用户的密码以确保安全,并检查您的日志以了解可能的入侵。如果有任何可疑之处,您应该立即确保安装了最新补丁,进行更彻底的调查,并确保重置用户密码。数据是网络运营的核心。随着大数据时代社会发展的加速,数据企业和个人数据在生产和生活中不断传输和运行。数据也是网络攻击者用来敲诈勒索的“筹码”。在多起重大勒索事件中,企业不惜花费巨额赎金来保障数据安全。
