I black hacker regalano 500.000 account e password di VPN Fortinet.

Redazione RHC : 9 Settembre 2021 08:54

Come avevamo riportato in precedenza, un nuovo forum denominato RAMP interamente dedicato al ransomware nelle dark net è nato, ed è stato inaugurato con l’esposizione gratuita da parte del suo amministratore di 500.000 account della VPN della nota società di prodotti di sicurezza Fortinet.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Il Threat Actors (TA), con lo pseudonimo di “Orange”, ha fatto trapelare 500.000 nomi di accesso e password di Fortinet VPN che sembrerebbe siano stati rimossi dai dispositivi sfruttabili la scorsa estate.

Mentre il TA afferma che la vulnerabilità di Fortinet sfruttata è stata successivamente corretta, afferma anche che molte di queste credenziali VPN sono ancora valide per l’accesso.

Fortinet, ha scritto alla redazione di RedHotCyber, facendo la seguente dichiarazione:

“La sicurezza dei nostri clienti è la nostra prima priorità. Fortinet è a conoscenza del fatto che un malintenzionato ha divulgato le credenziali SSL-VPN per accedere ai dispositivi FortiGate SSL-VPN. Le credenziali sono state ottenute da sistemi che non hanno ancora implementato l’aggiornamento della patch fornito a maggio 2019. Da maggio 2019, Fortinet ha continuamente comunicato con i clienti sollecitando l’implementazione di mitigazioni, inclusi post di blog aziendali in agosto 2019, luglio 2020, aprile 2021 e giugno 2021 Per ulteriori informazioni, fare riferimento al nostro ultimo blog. Pubblicheremo un altro avviso che raccomanderà vivamente ai clienti di implementare sia l’aggiornamento della patch che la reimpostazione della password il prima possibile”

Infatti, il problema del “patch management” è sempre una nota dolente in tutte le organizzazioni e come spesso riportiamo su Red Hot Cyber, la distanza tra disclosure pubblica di una vulnerabilità e databreach diventa sempre più vicina, pertanto occorre effettuare gli aggiornamenti software su superfici critiche nel minor tempo possibile per evitare che i black hat hacker possano sfruttare queste falle a loro vantaggio.

I prodotti come quelli di Fortinet rientrano in questa categoria, in quanto si trovano a protezione dello strato esterno delle organizzazioni (in questo caso sono presenti 87.000 credenziali di Fortigate) e quindi sono una merce ghiotta da parte dei criminali informatici.

Questa perdita è un incidente grave in quanto le credenziali VPN potrebbero consentire ad altri TA di accedere ad una rete per eseguire l’esfiltrazione di dati, installare malware ed eseguire attacchi ransomware.

Dopo che si sono verificate controversie tra i membri della banda Babuk, Orange si è separato per avviare RAMP e ora si ritiene che sia un rappresentante della nuova cyber gang ransomware denominata Groove.

Ieri, il TA ha creato un post sul forum RAMP contenente questi preziosi dati e allo stesso tempo, è apparso un altro post sul data-leak-site (DLS) del ransomware Groove che promuoveva anche questa nuova perdita di dati.

Entrambi i post portano a un file ospitato su un server di archiviazione nella rete onion, che ospita i file rubati per fare pressione sulle vittime del ransomware affinché paghino.

BleepingComputer ha analizzato questo file il quale mostra che contiene credenziali VPN per 498.908 utenti su 12.856 dispositivi.

Sebbene non abbiano testato se nessuna delle credenziali trapelate fosse valida, BleepingComputer può confermare che tutti gli indirizzi IP controllati sono relativi ai server Fortinet VPN.

Un’ulteriore analisi condotta da Advanced Intel, mostra che gli indirizzi IP sono di dispositivi distribuiti in ​​tutto il mondo, con 2.959 dispositivi situati negli Stati Uniti.

Non è ad oggi chiaro il motivo per cui l’autore delle minacce abbia rilasciato le credenziali gratuitamente anziché usarle per se stesso.

Sicuramente si tratta di una operazione “pubblicitaria”, per dar modo agli affiliati di poter scegliere il ransomware Groove e il forum RAMP come base per le loro operazioni.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.