0
0
Despejo aconteceu num fórum onde existe a troca de informações entre operadores de ransomware
Um cibercriminoso despejou num fórum na dark web um total de 498.908 credenciais supostamente de 12.856 dispositivos Fortinet VPN. De acordo com a empresa de segurança da informação Advanced Intel, que examinou o material, os dispositivos vulneráveis estão espalhados por todo o mundo, sendo a maioria deles na Índia, Taiwan, França, Itália, Israel, México, Brasil, Cingapura e China. De acordo com esses números, pouco mais de 23 mil credenciais seriam de usuários brasileiros.
O material está disponível gratuitamente no fórum RAMP, aberto em julho no mesmo endereço anteriormente utilizado pelo site de vazamentos do ransomware Babuk. O autor do vazamento é administrador do fórum e ex-membro do grupo Babuk. Ele se autodenomina ‘Orange’ e teria deixado o grupo após o surgimento de desentendimentos entre seus membros. Acredita-se agora que Orange está vinculado ao ransomware Groove.
A Fortinet publicou uma nota sobre esse assunto que diz:
“A segurança dos nossos clientes é a nossa prioridade. A Fortinet está ciente de que um agente malicioso divulgou credenciais SSL-VPN para acessar dispositivos FortiGate SSL-VPN. As credenciais foram obtidas de sistemas que ainda não implementaram a atualização do patch fornecida em maio de 2019. Desde maio de 2019, a Fortinet tem se comunicado continuamente com os clientes solicitando a implementação de mitigações, incluindo postagens em blogs corporativos em agosto de 2019, julho de 2020, abril de 2021 e junho 2021. Para obter mais informações, consulte nosso blog mais recente e a recomendação de PSIRT. Recomendamos fortemente que os clientes implementem a atualização do patch e a redefinição da senha o mais rápido possível.”
O material foi despejado na terça-feira 7 de setembro de 2021. A lista de credenciais está em 799 diretórios e 86.941 conexões VPN supostamente comprometidas. A razão por trás do vazamento não é clara.
O Groove é um novo grupo de ransomware que se tornou ativo a partir de agosto de 2021. Ele supostamente emprega ex-desenvolvedores do Babuk e possui táticas e ferramentas avançadas. Os especialistas acreditam que os invasores exploraram uma vulnerabilidade (já corrigida) de travessia de diretório (CVE-2018-13379) no FortiOS SSL VPN para coletar credenciais.
Não está claro neste ponto a que se relaciona a postagem de credenciais. De acordo com especialistas em segurança da informação, esta pode ser uma tentativa de divulgar a existência do RAMP e do ransomware as a service Groove, inclusive para atrair novos participantes. Até agora, apenas uma vítima está listada em seu site de vazamentos.
Num post publicado ontem a Fortinet repetiu as informações para os clientes que ainda precisam de patch, no seguinte endereço:
https://www.fortinet.com/blog/psirt-blogs/malicious-actor-discloses-fortigate-ssl-vpn-credentials
Com agências de notícias internacionais
FONTE: CISO ADVISOR