Redazione RHC : 9 Settembre 2021 08:54
Come avevamo riportato in precedenza, un nuovo forum denominato RAMP interamente dedicato al ransomware nelle dark net è nato, ed è stato inaugurato con l’esposizione gratuita da parte del suo amministratore di 500.000 account della VPN della nota società di prodotti di sicurezza Fortinet.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Il Threat Actors (TA), con lo pseudonimo di “Orange”, ha fatto trapelare 500.000 nomi di accesso e password di Fortinet VPN che sembrerebbe siano stati rimossi dai dispositivi sfruttabili la scorsa estate.
Mentre il TA afferma che la vulnerabilità di Fortinet sfruttata è stata successivamente corretta, afferma anche che molte di queste credenziali VPN sono ancora valide per l’accesso.
Fortinet, ha scritto alla redazione di RedHotCyber, facendo la seguente dichiarazione:
“La sicurezza dei nostri clienti è la nostra prima priorità. Fortinet è a conoscenza del fatto che un malintenzionato ha divulgato le credenziali SSL-VPN per accedere ai dispositivi FortiGate SSL-VPN. Le credenziali sono state ottenute da sistemi che non hanno ancora implementato l’aggiornamento della patch fornito a maggio 2019. Da maggio 2019, Fortinet ha continuamente comunicato con i clienti sollecitando l’implementazione di mitigazioni, inclusi post di blog aziendali in agosto 2019, luglio 2020, aprile 2021 e giugno 2021 Per ulteriori informazioni, fare riferimento al nostro ultimo blog. Pubblicheremo un altro avviso che raccomanderà vivamente ai clienti di implementare sia l’aggiornamento della patch che la reimpostazione della password il prima possibile”
Infatti, il problema del “patch management” è sempre una nota dolente in tutte le organizzazioni e come spesso riportiamo su Red Hot Cyber, la distanza tra disclosure pubblica di una vulnerabilità e databreach diventa sempre più vicina, pertanto occorre effettuare gli aggiornamenti software su superfici critiche nel minor tempo possibile per evitare che i black hat hacker possano sfruttare queste falle a loro vantaggio.
I prodotti come quelli di Fortinet rientrano in questa categoria, in quanto si trovano a protezione dello strato esterno delle organizzazioni (in questo caso sono presenti 87.000 credenziali di Fortigate) e quindi sono una merce ghiotta da parte dei criminali informatici.
Questa perdita è un incidente grave in quanto le credenziali VPN potrebbero consentire ad altri TA di accedere ad una rete per eseguire l’esfiltrazione di dati, installare malware ed eseguire attacchi ransomware.
Dopo che si sono verificate controversie tra i membri della banda Babuk, Orange si è separato per avviare RAMP e ora si ritiene che sia un rappresentante della nuova cyber gang ransomware denominata Groove.
Ieri, il TA ha creato un post sul forum RAMP contenente questi preziosi dati e allo stesso tempo, è apparso un altro post sul data-leak-site (DLS) del ransomware Groove che promuoveva anche questa nuova perdita di dati.
Entrambi i post portano a un file ospitato su un server di archiviazione nella rete onion, che ospita i file rubati per fare pressione sulle vittime del ransomware affinché paghino.
BleepingComputer ha analizzato questo file il quale mostra che contiene credenziali VPN per 498.908 utenti su 12.856 dispositivi.
Sebbene non abbiano testato se nessuna delle credenziali trapelate fosse valida, BleepingComputer può confermare che tutti gli indirizzi IP controllati sono relativi ai server Fortinet VPN.
Un’ulteriore analisi condotta da Advanced Intel, mostra che gli indirizzi IP sono di dispositivi distribuiti in tutto il mondo, con 2.959 dispositivi situati negli Stati Uniti.
Non è ad oggi chiaro il motivo per cui l’autore delle minacce abbia rilasciato le credenziali gratuitamente anziché usarle per se stesso.
Sicuramente si tratta di una operazione “pubblicitaria”, per dar modo agli affiliati di poter scegliere il ransomware Groove e il forum RAMP come base per le loro operazioni.
Redazione“Il sistema di difesa militare Skynet entrerà in funzione il 4 agosto 1997. Comincerà ad autoistruirsi imparando a ritmo esponenziale e diverrà autocosciente alle 2:14 del giorno...
Un nuovo strumento per disabilitare i sistemi EDR è apparso nell’ambiente dei criminali informatici , che gli esperti di Sophos ritengono essere un’estensione dell’utility ED...
Una vulnerabilità di WinRAR recentemente chiusa monitorata con il codice CVE-2025-8088 è stata sfruttata in attacchi di phishing mirati prima del rilascio della patch. Il problema era un Dir...
Alla conferenza Black Hat di Las Vegas, VisionSpace Technologies ha dimostrato che è molto più facile ed economico disattivare un satellite o modificarne la traiettoria rispetto all’u...
Una falla di sicurezza cruciale nell’HTTP/1.1 è stata resa pubblica dagli esperti di sicurezza, mettendo in luce una minaccia che continua ad impattare sull’infrastruttura web da pi...
