Redazione RHC : 9 Settembre 2021 08:54
Come avevamo riportato in precedenza, un nuovo forum denominato RAMP interamente dedicato al ransomware nelle dark net è nato, ed è stato inaugurato con l’esposizione gratuita da parte del suo amministratore di 500.000 account della VPN della nota società di prodotti di sicurezza Fortinet.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Il Threat Actors (TA), con lo pseudonimo di “Orange”, ha fatto trapelare 500.000 nomi di accesso e password di Fortinet VPN che sembrerebbe siano stati rimossi dai dispositivi sfruttabili la scorsa estate.
Mentre il TA afferma che la vulnerabilità di Fortinet sfruttata è stata successivamente corretta, afferma anche che molte di queste credenziali VPN sono ancora valide per l’accesso.
Fortinet, ha scritto alla redazione di RedHotCyber, facendo la seguente dichiarazione:
“La sicurezza dei nostri clienti è la nostra prima priorità. Fortinet è a conoscenza del fatto che un malintenzionato ha divulgato le credenziali SSL-VPN per accedere ai dispositivi FortiGate SSL-VPN. Le credenziali sono state ottenute da sistemi che non hanno ancora implementato l’aggiornamento della patch fornito a maggio 2019. Da maggio 2019, Fortinet ha continuamente comunicato con i clienti sollecitando l’implementazione di mitigazioni, inclusi post di blog aziendali in agosto 2019, luglio 2020, aprile 2021 e giugno 2021 Per ulteriori informazioni, fare riferimento al nostro ultimo blog. Pubblicheremo un altro avviso che raccomanderà vivamente ai clienti di implementare sia l’aggiornamento della patch che la reimpostazione della password il prima possibile”
Infatti, il problema del “patch management” è sempre una nota dolente in tutte le organizzazioni e come spesso riportiamo su Red Hot Cyber, la distanza tra disclosure pubblica di una vulnerabilità e databreach diventa sempre più vicina, pertanto occorre effettuare gli aggiornamenti software su superfici critiche nel minor tempo possibile per evitare che i black hat hacker possano sfruttare queste falle a loro vantaggio.
I prodotti come quelli di Fortinet rientrano in questa categoria, in quanto si trovano a protezione dello strato esterno delle organizzazioni (in questo caso sono presenti 87.000 credenziali di Fortigate) e quindi sono una merce ghiotta da parte dei criminali informatici.
Questa perdita è un incidente grave in quanto le credenziali VPN potrebbero consentire ad altri TA di accedere ad una rete per eseguire l’esfiltrazione di dati, installare malware ed eseguire attacchi ransomware.
Dopo che si sono verificate controversie tra i membri della banda Babuk, Orange si è separato per avviare RAMP e ora si ritiene che sia un rappresentante della nuova cyber gang ransomware denominata Groove.
Ieri, il TA ha creato un post sul forum RAMP contenente questi preziosi dati e allo stesso tempo, è apparso un altro post sul data-leak-site (DLS) del ransomware Groove che promuoveva anche questa nuova perdita di dati.
Entrambi i post portano a un file ospitato su un server di archiviazione nella rete onion, che ospita i file rubati per fare pressione sulle vittime del ransomware affinché paghino.
BleepingComputer ha analizzato questo file il quale mostra che contiene credenziali VPN per 498.908 utenti su 12.856 dispositivi.
Sebbene non abbiano testato se nessuna delle credenziali trapelate fosse valida, BleepingComputer può confermare che tutti gli indirizzi IP controllati sono relativi ai server Fortinet VPN.
Un’ulteriore analisi condotta da Advanced Intel, mostra che gli indirizzi IP sono di dispositivi distribuiti in tutto il mondo, con 2.959 dispositivi situati negli Stati Uniti.
Non è ad oggi chiaro il motivo per cui l’autore delle minacce abbia rilasciato le credenziali gratuitamente anziché usarle per se stesso.
Sicuramente si tratta di una operazione “pubblicitaria”, per dar modo agli affiliati di poter scegliere il ransomware Groove e il forum RAMP come base per le loro operazioni.
RedazioneI ricercatori di Okta hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...
Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...
La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...
Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...
Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
