Ben 498.908 account su 12.856 dispositivi sono stati hackerati, quasi cinquecentomila credenziali, username e password, di accesso alla VPN di Fortinet rubati questa estate.
Bleepingcomputer sostiene che la vulnerabilità di Fortinet sfruttata dagli hacker è stata successivamente corretta, ma al tempo stesso molte credenziali VPN sono ancora valide.
Insomma, un incidente molto grave, in quanto le credenziali VPN potrebbero consentire ad altri cybercriminali di accedere a una rete per eseguire l’esfiltrazione dei dati, installare malware ed eseguire attacchi ransomware.
Attacco alla VPN, c’è lo zampino di Groove
L’elenco delle credenziali di Fortinet è stato trapelato gratuitamente da un hacker noto come “Orange”, che è l‘amministratore del forum di hacking RAMP appena lanciato e un precedente operatore dell’operazione Babuk Ransomware. Dopo che si sono verificate controversie tra i membri della banda Babuk, Orange si è separata per avviare RAMP e ora si ritiene che sia un rappresentante della nuova operazione di ransomware Groove.
LEGGI ANCHE >>> Apple pensa già al futuro: iPhone 14 potrebbe avere una feature utilissima
Orange ha creato un post sul forum RAMP con un collegamento a un file che presumibilmente contiene migliaia di account VPN Fortinet. Allo stesso tempo, è apparso un post sul sito di perdita di dati del ransomware Groove che promuoveva anche la perdita di Fortinet VPN.
LEGGI ANCHE >>> Dal Covid al cancro: Astrazeneca potrebbe “rivoluzionare” la lotta ai tumori
Entrambi i post portano a un file ospitato su un server di archiviazione Tor, utilizzato dalla banda di Groove per ospitare file rubati trapelati e per fare pressione sulle vittime del ransomware affinché paghino. L’analisi di BleepingComputer di questo file mostra che contiene credenziali VPN per 498.908 utenti su 12.856 dispositivi.
Quelle in questione. Ancora non si sa con certezza se le credenziali trapelate siano effettivamente reali e valide, nel frattempo BleepingComputer asserisce e conferma che tutti gli indirizzi IP verificati effettivamente del server Fortinet VPN. Un’ulteriore analisi condotta da Advanced Intel mostra che gli indirizzi IP sono per i dispositivi in tutto il mondo, ben 2.959 dispositivi situati negli Stati Uniti.
Lo stesso Kremez ha spiegato a BleepingComputer che la vulnerabilità Fortinet CVE-2018-13379 ora patchata, è stata sfruttata per raccogliere queste credenziali. Una fonte nel settore della sicurezza informatica, sempre su BleepingComputer, ha dichiarato di essere in grado di verificare legalmente che almeno alcune delle credenziali trapelate fossero valide. Tuttavia, alcune fonti stanno dando troppe risposte contrastanti: alcune affermano che molte credenziali funzionano, viceversa per altre non è così.
Non è chiaro il motivo per cui l’hacker abbia rilasciato le credenziali invece di usarle per se stesso, ma si ritiene che sia stato fatto per promuovere il forum di hacking RAMP e l’operazione Groove ransomware-as-a-service. “Crediamo con quasi certezza che la fuga di VPN SSL sia stata probabilmente realizzata per promuovere il nuovo forum di ransomware RAMP, un omaggio agli aspiranti operatori di ransomware”. Parola di Vitali Kremez, CTO avanzato di Intel. Groove è un’operazione ransomware relativamente nuova che ha solo una vittima attualmente elencata. Tuttavia, offrendo omaggi alla comunità dei criminali informatici, potrebbero sperare di reclutare altri hacker.