一份包含 50 萬名 Fortinet VPN 用戶的登錄憑證近日被黑客曝光,據稱這些憑證是去年夏天從被利用的設備上刮取的。該黑客表示,雖然被利用的 Fortinet 漏洞後來已經被修補,但他們聲稱許多 VPN 憑證仍然有效。
![[圖]黑客曝光50萬Fortinet VPN用戶的登錄憑證](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/09/20210909_6139d68dba008.jpg)
![[圖]黑客曝光50萬Fortinet VPN用戶的登錄憑證](https://dailyclipper.net/wp-content/themes/justnews/themer/assets/images/lazy.png)
這次泄漏是一個嚴重的事件,因為 VPN 憑證可以讓威脅者進入網絡進行數據滲透,安裝惡意軟件,並進行勒索軟件攻擊。Fortinet 憑證清單是由一個被稱為“Orange”的黑客免費泄露的,他是新發起的 RAMP 黑客論壇的管理員,也是 Babuk 勒索軟件行動的前操作者。
在 Babuk 團伙成員之間發生糾紛后,Orange 分裂出來創辦 RAMP,現在被認為是新的 Groove 勒索軟件行動的代表。昨天,該黑客在 RAMP 論壇上創建了一個帖子,其中有一個文件的鏈接,據稱該文件包含成千上萬的 Fortinet VPN 賬戶。同時,Groove 勒索軟件的數據泄漏網站上出現了一個帖子,也在宣傳 Fortinet VPN 的泄漏。
![[圖]黑客曝光50萬Fortinet VPN用戶的登錄憑證](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/09/20210909_6139d68eb0217.jpg)
這兩個帖子都指向一個文件,該文件託管在Groove團伙用來託管被盜文件的Tor存儲服務器上,以迫使勒索軟件受害者付款。外媒 BleepingComputer 對這個文件的分析顯示,它包含了 12856 台設備上 498,908 名用戶的 VPN 憑證。
外媒沒有測試任何泄露的憑證是否有效,但可以確認我們檢查的所有 IP 地址都是 Fortinet 的 VPN 服務器。Advanced Intel 進行的進一步分析顯示,這些 IP 地址是全球範圍內的設備,有 2959 個設備位於美國。
![[圖]黑客曝光50萬Fortinet VPN用戶的登錄憑證](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/09/20210909_6139d68fc97ed.jpg)
目前還不清楚為什麼威脅者發布了這些憑證,而不是為自己所用,但據信這樣做是為了推廣RAMP黑客論壇和Groove勒索軟件即服務行動。高級英特爾首席技術官 Vitali Kremez 告訴 BleepingComputer:“我們高度相信,VPN SSL的泄漏很可能是為了推廣新的RAMP勒索軟件論壇,為想做勒索軟件的人免費提供”。