Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

I black hacker regalano 500.000 account e password di VPN Fortinet.

Redazione RHC : 9 Settembre 2021 08:54

Come avevamo riportato in precedenza, un nuovo forum denominato RAMP interamente dedicato al ransomware nelle dark net è nato, ed è stato inaugurato con l’esposizione gratuita da parte del suo amministratore di 500.000 account della VPN della nota società di prodotti di sicurezza Fortinet.


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Il Threat Actors (TA), con lo pseudonimo di “Orange”, ha fatto trapelare 500.000 nomi di accesso e password di Fortinet VPN che sembrerebbe siano stati rimossi dai dispositivi sfruttabili la scorsa estate.

    Mentre il TA afferma che la vulnerabilità di Fortinet sfruttata è stata successivamente corretta, afferma anche che molte di queste credenziali VPN sono ancora valide per l’accesso.

    Fortinet, ha scritto alla redazione di RedHotCyber, facendo la seguente dichiarazione:

    “La sicurezza dei nostri clienti è la nostra prima priorità. Fortinet è a conoscenza del fatto che un malintenzionato ha divulgato le credenziali SSL-VPN per accedere ai dispositivi FortiGate SSL-VPN. Le credenziali sono state ottenute da sistemi che non hanno ancora implementato l’aggiornamento della patch fornito a maggio 2019. Da maggio 2019, Fortinet ha continuamente comunicato con i clienti sollecitando l’implementazione di mitigazioni, inclusi post di blog aziendali in agosto 2019, luglio 2020, aprile 2021 e giugno 2021 Per ulteriori informazioni, fare riferimento al nostro ultimo blog. Pubblicheremo un altro avviso che raccomanderà vivamente ai clienti di implementare sia l’aggiornamento della patch che la reimpostazione della password il prima possibile”

    Infatti, il problema del “patch management” è sempre una nota dolente in tutte le organizzazioni e come spesso riportiamo su Red Hot Cyber, la distanza tra disclosure pubblica di una vulnerabilità e databreach diventa sempre più vicina, pertanto occorre effettuare gli aggiornamenti software su superfici critiche nel minor tempo possibile per evitare che i black hat hacker possano sfruttare queste falle a loro vantaggio.

    I prodotti come quelli di Fortinet rientrano in questa categoria, in quanto si trovano a protezione dello strato esterno delle organizzazioni (in questo caso sono presenti 87.000 credenziali di Fortigate) e quindi sono una merce ghiotta da parte dei criminali informatici.

    Questa perdita è un incidente grave in quanto le credenziali VPN potrebbero consentire ad altri TA di accedere ad una rete per eseguire l’esfiltrazione di dati, installare malware ed eseguire attacchi ransomware.

    Dopo che si sono verificate controversie tra i membri della banda Babuk, Orange si è separato per avviare RAMP e ora si ritiene che sia un rappresentante della nuova cyber gang ransomware denominata Groove.

    Ieri, il TA ha creato un post sul forum RAMP contenente questi preziosi dati e allo stesso tempo, è apparso un altro post sul data-leak-site (DLS) del ransomware Groove che promuoveva anche questa nuova perdita di dati.

    Entrambi i post portano a un file ospitato su un server di archiviazione nella rete onion, che ospita i file rubati per fare pressione sulle vittime del ransomware affinché paghino.

    BleepingComputer ha analizzato questo file il quale mostra che contiene credenziali VPN per 498.908 utenti su 12.856 dispositivi.

    Sebbene non abbiano testato se nessuna delle credenziali trapelate fosse valida, BleepingComputer può confermare che tutti gli indirizzi IP controllati sono relativi ai server Fortinet VPN.

    Un’ulteriore analisi condotta da Advanced Intel, mostra che gli indirizzi IP sono di dispositivi distribuiti in ​​tutto il mondo, con 2.959 dispositivi situati negli Stati Uniti.

    Non è ad oggi chiaro il motivo per cui l’autore delle minacce abbia rilasciato le credenziali gratuitamente anziché usarle per se stesso.

    Sicuramente si tratta di una operazione “pubblicitaria”, per dar modo agli affiliati di poter scegliere il ransomware Groove e il forum RAMP come base per le loro operazioni.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Dal Commodore 64 a GitHub! Il BASIC di Gates e Allen diventa open source dopo 48 anni
    Di Redazione RHC - 04/09/2025

    Microsoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...

    Nuova Campagna MintsLoader: Buovi Attacchi di Phishing tramite PEC sono in corso
    Di Redazione RHC - 04/09/2025

    Dopo una lunga pausa estiva, nella giornata di ieri il CERT-AgID ha pubblicato un nuovo avviso su una nuova campagna MintsLoader, la prima dopo quella registrata lo scorso giugno. Rispetto alle preced...

    Arriva NotDoor : La Backdoor per Microsoft Outlook di APT28
    Di Redazione RHC - 04/09/2025

    Un avanzato sistema di backdoor associato al noto gruppo di cyber spionaggio russo APT28 permette ai malintenzionati di scaricare dati, caricare file e impartire comandi su pc infettati. Questo sistem...

    Red Hot Cyber Conference 2026: Aperte le Sponsorizzazioni per la Quinta Edizione a Roma
    Di Redazione RHC - 04/09/2025

    La Red Hot Cyber Conference è ormai un appuntamento fisso per la community di Red Hot Cyber e per tutti coloro che operano o nutrono interesse verso il mondo delle tecnologie digitali e della sicurez...

    Hexstrike-AI scatena il caos! Zero-day sfruttati in tempo record
    Di Redazione RHC - 04/09/2025

    Il rilascio di Hexstrike-AI segna un punto di svolta nel panorama della sicurezza informatica. Il framework, presentato come uno strumento di nuova generazione per red team e ricercatori, è in grado ...