Redazione RHC : 9 Settembre 2021 08:54
Come avevamo riportato in precedenza, un nuovo forum denominato RAMP interamente dedicato al ransomware nelle dark net è nato, ed è stato inaugurato con l’esposizione gratuita da parte del suo amministratore di 500.000 account della VPN della nota società di prodotti di sicurezza Fortinet.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Il Threat Actors (TA), con lo pseudonimo di “Orange”, ha fatto trapelare 500.000 nomi di accesso e password di Fortinet VPN che sembrerebbe siano stati rimossi dai dispositivi sfruttabili la scorsa estate.
Mentre il TA afferma che la vulnerabilità di Fortinet sfruttata è stata successivamente corretta, afferma anche che molte di queste credenziali VPN sono ancora valide per l’accesso.
Fortinet, ha scritto alla redazione di RedHotCyber, facendo la seguente dichiarazione:
“La sicurezza dei nostri clienti è la nostra prima priorità. Fortinet è a conoscenza del fatto che un malintenzionato ha divulgato le credenziali SSL-VPN per accedere ai dispositivi FortiGate SSL-VPN. Le credenziali sono state ottenute da sistemi che non hanno ancora implementato l’aggiornamento della patch fornito a maggio 2019. Da maggio 2019, Fortinet ha continuamente comunicato con i clienti sollecitando l’implementazione di mitigazioni, inclusi post di blog aziendali in agosto 2019, luglio 2020, aprile 2021 e giugno 2021 Per ulteriori informazioni, fare riferimento al nostro ultimo blog. Pubblicheremo un altro avviso che raccomanderà vivamente ai clienti di implementare sia l’aggiornamento della patch che la reimpostazione della password il prima possibile”
Infatti, il problema del “patch management” è sempre una nota dolente in tutte le organizzazioni e come spesso riportiamo su Red Hot Cyber, la distanza tra disclosure pubblica di una vulnerabilità e databreach diventa sempre più vicina, pertanto occorre effettuare gli aggiornamenti software su superfici critiche nel minor tempo possibile per evitare che i black hat hacker possano sfruttare queste falle a loro vantaggio.
I prodotti come quelli di Fortinet rientrano in questa categoria, in quanto si trovano a protezione dello strato esterno delle organizzazioni (in questo caso sono presenti 87.000 credenziali di Fortigate) e quindi sono una merce ghiotta da parte dei criminali informatici.
Questa perdita è un incidente grave in quanto le credenziali VPN potrebbero consentire ad altri TA di accedere ad una rete per eseguire l’esfiltrazione di dati, installare malware ed eseguire attacchi ransomware.
Dopo che si sono verificate controversie tra i membri della banda Babuk, Orange si è separato per avviare RAMP e ora si ritiene che sia un rappresentante della nuova cyber gang ransomware denominata Groove.
Ieri, il TA ha creato un post sul forum RAMP contenente questi preziosi dati e allo stesso tempo, è apparso un altro post sul data-leak-site (DLS) del ransomware Groove che promuoveva anche questa nuova perdita di dati.
Entrambi i post portano a un file ospitato su un server di archiviazione nella rete onion, che ospita i file rubati per fare pressione sulle vittime del ransomware affinché paghino.
BleepingComputer ha analizzato questo file il quale mostra che contiene credenziali VPN per 498.908 utenti su 12.856 dispositivi.
Sebbene non abbiano testato se nessuna delle credenziali trapelate fosse valida, BleepingComputer può confermare che tutti gli indirizzi IP controllati sono relativi ai server Fortinet VPN.
Un’ulteriore analisi condotta da Advanced Intel, mostra che gli indirizzi IP sono di dispositivi distribuiti in tutto il mondo, con 2.959 dispositivi situati negli Stati Uniti.
Non è ad oggi chiaro il motivo per cui l’autore delle minacce abbia rilasciato le credenziali gratuitamente anziché usarle per se stesso.
Sicuramente si tratta di una operazione “pubblicitaria”, per dar modo agli affiliati di poter scegliere il ransomware Groove e il forum RAMP come base per le loro operazioni.
RedazioneMicrosoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...
Dopo una lunga pausa estiva, nella giornata di ieri il CERT-AgID ha pubblicato un nuovo avviso su una nuova campagna MintsLoader, la prima dopo quella registrata lo scorso giugno. Rispetto alle preced...
Un avanzato sistema di backdoor associato al noto gruppo di cyber spionaggio russo APT28 permette ai malintenzionati di scaricare dati, caricare file e impartire comandi su pc infettati. Questo sistem...
La Red Hot Cyber Conference è ormai un appuntamento fisso per la community di Red Hot Cyber e per tutti coloro che operano o nutrono interesse verso il mondo delle tecnologie digitali e della sicurez...
Il rilascio di Hexstrike-AI segna un punto di svolta nel panorama della sicurezza informatica. Il framework, presentato come uno strumento di nuova generazione per red team e ricercatori, è in grado ...
