Fortinet 发生数据泄露近50万网络帐户密码遭泄露

2024-10-31

近日，一名网络黑客攻击者泄露了一份Fortinet虚拟专用网账户和密码列表，其中包括近50万用户数据信息。据了解，这些账户和密码是从2020年的一台设备上被盗的。

尽管威胁方声称被利用的Fortinet漏洞已被修复，但他们声称许多虚拟专用网证书仍然有效。

这是一个严重的数据泄漏事件，因为虚拟专用网络凭据可能允许威胁行为者访问网络来执行数据泄漏、安装恶意软件和执行勒索软件攻击。

Fortinet用户数据在黑客论坛泄露

Fortinet凭据列表是由一个名为“Orange”的威胁角色免费泄露的，他是新成立的RAMP黑客论坛的管理员，也是Babuk ransomware的前运营商。

经过巴布克帮派成员的争执，Orange分道扬镳，开始了RAMP，现在被认为是新Groove ransomware运营的代表。

9月8日，这位威胁行动者在RAMP论坛上创建了一个帖子，其中包含一个文件的链接，据称该文件包含数千个Fortinet虚拟专用网账户。

与此同时，Groove ransomware的数据泄露网站上出现了一篇帖子，也宣传了Fortinet虚拟专网的泄露。

两篇文章都指向Tor存储服务器上托管的一个文件，Groove团伙使用该文件托管被盗文件，迫使勒索软件受害者支付赎金。

BleepingComputer对该文件的分析显示，它包含超过12，856个设备的498，908个用户的虚拟专用网络凭据。

虽然我们没有测试任何泄露的凭据是否有效，但BleepingComputer可以确认我们检查的所有IP地址都是Fortinet虚拟专用网服务器。

高级英特尔的进一步分析显示，这些IP地址用于全球设备，其中2，959台设备位于美国，涉及中国的大量用户

克雷默兹在接受采访时表示，这些数据泄露是由利用富通网的CVE-2018-13379漏洞造成的。

一位网络安全行业人士表示，他们已经完成了法律验证，可以证明至少部分泄露的凭证是真实有效的。

目前还不清楚攻击者为什么要公开证书而不是自己使用，但据说这样做的目的是为了宣传RAMP黑客论坛，帮助Groove ransomware作为服务打开市场。

英特尔Vitali Kremez表示，“我们非常有信心，虚拟专用网络的SSL泄露很可能会推动新的RAMP ransomware论坛，并为那些想成为ransomware运营商的人提供“免费礼物”。Groove是一个相对较新的ransomware操作。目前，其数据泄露网站上只有一名受害者。然而，通过向网络犯罪社区提供免费礼物，他们可能希望招募其他威胁行为者加入其附属系统。

富通网虚拟专网服务器的管理员应该怎么做？

虽然凭据列表无法合法验证，但作为Fortinet虚拟专用网服务器的管理员，应该假设列出的很多凭据都是有效的，并采取积极的防范措施。

这些预防措施包括强制重置所有用户的密码以确保安全，以及检查您的日志以防止可能的入侵。如果有任何可疑之处，您应该立即确保安装了最新的补丁，进行更彻底的调查，并确保用户的密码被重置。

数据是网络运行的核心。随着大数据时代社会发展的加速，数据企业和个人数据在生产生活中不断传输和运营。数据也是网络攻击者用来敲诈的“筹码”。在许多重大勒索事件中，企业花费巨额赎金来确保数据安全。