[[423334]]

一名網(wǎng)絡(luò)攻擊者泄露了一份Fortinet 虛擬專用網(wǎng)絡(luò)帳戶和密碼的名單，包含近50萬用戶。據(jù)稱這些帳戶和密碼是從去年夏天的設(shè)備上竊取的。

雖然威脅行方聲稱被利用的Fortinet漏洞已經(jīng)被修補，但他們聲稱許多虛擬專用網(wǎng)絡(luò)憑證仍然有效。

這是一個嚴(yán)重的數(shù)據(jù)泄露事件，因為虛擬專用網(wǎng)絡(luò)憑據(jù)可能允許威脅行為者訪問網(wǎng)絡(luò)執(zhí)行數(shù)據(jù)外泄、安裝惡意軟件和執(zhí)行勒索軟件攻擊。

Fortinet 憑據(jù)在黑客論壇上泄露

Fortinet憑據(jù)列表由名為“Orange”的威脅行為者免費泄露，他是新成立的RAMP 黑客論壇的管理員，也是Babuk 勒索軟件的前運營商。

在Babuk團伙成員之間發(fā)生爭執(zhí)后，Orange分道揚鑣啟動RAMP，現(xiàn)在被認(rèn)為是新 Groove勒索軟件行動的代表。

9月8日，威脅行為者在RAMP論壇上創(chuàng)建了一個帖子，其中包含一個指向據(jù)稱包含數(shù)千個Fortinet 虛擬專用網(wǎng)絡(luò)帳戶的文件的鏈接。

與此同時，Groove勒索軟件的數(shù)據(jù)泄露站點上出現(xiàn)了一篇帖子，也宣傳Fortinet 虛擬專用網(wǎng)絡(luò)泄露事件。

這兩篇文章都指向了一個托管在Tor存儲服務(wù)器上的文件，Groove團伙使用該服務(wù)器托管被盜文件，迫使勒索軟件受害者支付贖金。

BleepingComputer對該文件的分析顯示，它包含了超過12,856臺設(shè)備的498,908名用戶的虛擬專用網(wǎng)絡(luò)憑據(jù)。

雖然我們沒有測試泄漏的任何憑據(jù)是否有效，但BleepingComputer可以確認(rèn)我們檢查的所有IP地址都是Fortinet 虛擬專用網(wǎng)絡(luò)服務(wù)器。

Advanced Intel進行的進一步分析表明，這些IP地址是用于全球設(shè)備的，其中2959個設(shè)備位于美國，還涉及大量中國用戶。

Kremez在采訪中表示，這些數(shù)據(jù)泄露由于Fortinet 存在的一個CVE-2018-13379 漏洞被利用導(dǎo)致。

一位網(wǎng)絡(luò)安全行業(yè)的消息人士稱，他們已經(jīng)完成了合法驗證，可以證明其中至少一部分泄露的憑證真實有效。

目前還不清楚攻擊者為什么要公開憑證、而不是自行使用，但據(jù)稱這么做是為了宣傳RAMP黑客論壇，并幫助Groove勒索軟件即服務(wù)打開市場。

Advanced Intel CTO Vitali Kremez表示，“我們非常有信心地相信虛擬專用網(wǎng)絡(luò)SSL泄漏很可能是為了推廣新的RAMP 勒索軟件論壇，為想要成為勒索軟件運營商的人提供“免費贈品”。

Groove是一個相對較新的勒索軟件操作，目前在其數(shù)據(jù)泄露網(wǎng)站上只有一名受害者。然而，通過向網(wǎng)絡(luò)犯罪社區(qū)提供免費贈品，他們可能希望招募其他威脅行為者加入他們的附屬系統(tǒng)。

Fortinet 虛擬專用網(wǎng)絡(luò)服務(wù)器管理員應(yīng)該怎么做?

雖然無法合法驗證憑據(jù)列表，但作為 Fortinet 虛擬專用網(wǎng)絡(luò)服務(wù)器的管理員，應(yīng)該假設(shè)列出的許多憑據(jù)都是有效的并積極采取預(yù)防措施。

這些預(yù)防措施包括強制重置所有用戶的密碼，以確保安全，并檢查您的日志，以防可能的入侵。如果有任何可疑的地方，應(yīng)該立即確保安裝了最新的補丁，進行更徹底的調(diào)查，并確保重置了用戶的密碼。

數(shù)據(jù)是網(wǎng)絡(luò)運營的核心，隨著大數(shù)據(jù)時代加快社會發(fā)展，數(shù)據(jù)企業(yè)及個人數(shù)據(jù)在生產(chǎn)生活中不斷傳輸運轉(zhuǎn)。數(shù)據(jù)也是網(wǎng)絡(luò)攻擊者用以勒索的”籌碼“，在多起重大勒索事件中，企業(yè)花費巨額贖金才確保數(shù)據(jù)安全。