Bir tehdit aktör, geçen yazın sömürülebilir cihazlardan kazındığı iddia edilen neredeyse 500.000 Fortinet VPN giriş adının ve şifrelerin bir listesini sızdırdı.
Tehdit oyuncusu, sömürülen fortinet güvenlik açığının o zamandan beri yamalandığını belirtirken, birçok VPN kimlik bilgilerinin hala geçerli olduğunu iddia ediyorlar.
Bu sızıntı, VPN kimlik bilgilerinin, tehdit aktörlerinin veri exfiltration'ı gerçekleştirmek, kötü amaçlı yazılım yüklemek ve fidye yazılımı saldırıları gerçekleştirmek için bir ağa erişmelerine izin verebileceği için ciddi bir olaydır.
Fortinet kimlik bilgilerinin listesi, yeni başlatılan Rampa Hacking Forum'un yöneticisi olan 'Turuncu' olarak bilinen bir tehdit aktörüyle serbest bırakıldı ve Babuk Ransomware operasyonunun önceki bir operatörü.
Babuk çetesinin üyeleri arasında anlaşmazlıklar meydana geldikten sonra, turuncu rampaya başlamak için ayrıldı ve şimdi yeni Groove Ransomware operasyonunun bir temsilcisi olduğuna inanılıyor.
Dün, tehdit aktör, rampa forumunda, binlerce Fortinet VPN hesabı içeren bir dosyaya bağlantılı bir yazı yarattı.
Aynı zamanda, Groove Ransomware'in veri sızıntısı sitesinde ayrıca Fortinet VPN sızıntısını tanıtmak için bir yazı da ortaya çıktı.
Her iki gönderi, Groove Gang tarafından çalınan fidye yazılımı kurbanlarını ödemek için sızdırılmış çalınan dosyaları barındırmak için kullanılan bir Tor Depolama sunucusunda barındırılan bir dosyaya yol açar.
BleepingComputer'ın bu dosyanın analizi, 12.856'dan fazla cihazın üzerinde 498.908 kullanıcı için VPN kimlik bilgilerini içerdiğini göstermektedir.
Sızdıran kimlik bilgilerinin herhangi birinin geçerli olup olmadığını test etmedikçe, BleepingComputer, kontrol ettiğimiz tüm IP adreslerinin Fortinet VPN sunucuları olduğunu onaylayabilir.
Gelişmiş Intel tarafından yapılan diğer analiz, IP adreslerinin, ABD'de 2.959 cihazla dünya çapındaki cihazlar için olduğunu göstermektedir.
Kremez, BleepingComputer'a, bu kimlik bilgilerini toplamak için şimdi yamalı Fortinet CVE-2018-13379 güvenlik açığının kullanıldığını söyledi.
Siber güvenlik endüstrisindeki bir kaynak, BleepingBomputer'a yasal olarak, en azından sızan kimlik bilgilerinin bir kısmının geçerli olduğunu doğrulayabildiklerini söyledi.
Bununla birlikte, bazı kaynaklar karışık cevaplar veriyor, bazıları birçok kimlik bilgilerinin çalışmasıyla, diğerleri en çok kimin belirttiği durumlarda.
Tehdit oyuncusu neden kendileri için kullanmak yerine kimlik bilgilerini serbest bırakmanın nedeni belirsizdir, ancak rampa hack forumunu ve Groove Ransomware-AS-A-servis işlemini tanıtmak için yapıldığına inanılmaktadır.
"Yüksek güvenlere inanıyoruz VPN SSL sızıntısının, Wannabe Ransomware operatörleri için bir" Freebie "sunan yeni rampa Ransomware forumunu tanıtmak için muhtemeldi." Gelişmiş Intel CTO Vitali Kremez, BleepingComputer'a anlattı.
Groove, şu anda veri sızıntısı sitelerinde listelenen bir kurbanı olan nispeten yeni bir Ransomware işlemidir. Bununla birlikte, cybercriminal topluluğa freebies sunarak, diğer tehdit aktörlerini ortak sistemlerine almayı umuyor olabilirler.
BleepingComputer, kimlik bilgilerinin listesini yasal olarak doğrulayamazken, Fortinet VPN sunucularının bir yöneticisiyseniz, listelenen kimlik bilgilerinin birçoğunun geçerli olduğunu ve önlem alındığını varsaymalısınız.
Bu önlemler arasında, tüm kullanıcı şifrelerinin güvenli bir şekilde sıfırlanması ve olası izinsiz girişler için günlüklerinizi kontrol etmek içindir.
Fortinet VPN'iniz varsa, lütfen tüm kullanıcınızın şifrelerini sıfırla. Ayrıca, günlükleri kontrol etmek ve potansiyel olarak bir veya iki kişiyi kontrol etmek muhtemelen kötü bir fikir değildir.
Bir şey şüpheli görünüyorsa, yüklü olan en son yamaları yaptığınızdan, daha ayrıntılı bir soruşturma yaptığınızdan hemen emin olmalısınız ve kullanıcınızın şifrelerinin sıfırlandığından emin olmalısınız.
Bir cihazın sızıntının bir parçası olup olmadığını kontrol etmek için, Güvenlik Araştırmacısı Cypher, sızdıran cihazın IP addresseses listesinin bir listesini oluşturdu.
Fortinet, sızıntı hakkında hiçbir zaman e-postalarımıza cevap vermiyorken, onlara olayı e-postayla gönderdikten sonra, kaçakın CVE-2018-13379 güvenlik açığı ile ilgili olduğunu bildiren bir danışma yayınladıkları bir danışma.
"Bu olay Mayıs 2019'da çözülen eski bir güvenlik açığı ile ilgilidir. O sırada Fortinet, PSTTS danışmanını verdi ve doğrudan müşterilerle iletildi.
Ve müşteri güvenliği bizim için önceliğimiz olduğundan, Fortinet daha sonra bu sorunu ayrıntılandıran birden fazla kurumsal blog yazısı yayınladı, müşterileri etkilenen cihazları yükseltmeye kuvvetle teşvik ediyor. Tavsiye, bültenler ve doğrudan iletişime ek olarak, bu bloglar Ağustos 2019, Temmuz 2020, Nisan 2021 ve yine Haziran 2021'de yayınlandı. "- Fortinet.
Güncelleme 9/9/21: Fortinet'in ifadesi, kimlik bilgilerinin geçerliliği hakkında karışık bilgi ve sızdıran cihaz IP adreslerinin listesine bağlantı ekledi.
Ransomware'deki hafta - 10 Eylül 2021 - Revil Dönen
Revil Ransomware'in sunucuları gizemli bir şekilde çevrimiçi geri döndü
Ransomware Gang, kurban FBI, polisin temasları varsa, verileri sızdırmayı tehdit ediyor.
Accenture, Hackbit Ransomware Veri Kayak Tehditlerinden Sonra Hack'i Onaylar
Windows 365, Microsoft Azure kimlik bilgilerini düz metin olarak gösteriyor
Kaynak: Bleeping Computer