黑客曝光50萬Fortinet VPN用戶的登錄憑證

這次泄漏是一個嚴重的事件，因為 VPN 憑證可以讓威脅者進入網絡進行數據滲透，安裝惡意軟件，并進行勒索軟件攻擊。Fortinet 憑證清單是由一個被稱為“Orange”的黑客免費泄露的，他是新發起的 RAMP 黑客論壇的管理員，也是 Babuk 勒索軟件行動的前操作者。

在 Babuk 團伙成員之間發生糾紛后，Orange 分裂出來創辦 RAMP，現在被認為是新的 Groove 勒索軟件行動的代表。昨天，該黑客在 RAMP 論壇上創建了一個帖子，其中有一個文件的鏈接，據稱該文件包含成千上萬的 Fortinet VPN 賬戶。同時，Groove 勒索軟件的數據泄漏網站上出現了一個帖子，也在宣傳 Fortinet VPN 的泄漏。

這兩個帖子都指向一個文件，該文件托管在Groove團伙用來托管被盜文件的Tor存儲服務器上，以迫使勒索軟件受害者付款。外媒 BleepingComputer 對這個文件的分析顯示，它包含了 12856 臺設備上 498,908 名用戶的 VPN 憑證。

外媒沒有測試任何泄露的憑證是否有效，但可以確認我們檢查的所有 IP 地址都是 Fortinet 的 VPN 服務器。Advanced Intel 進行的進一步分析顯示，這些 IP 地址是全球范圍內的設備，有 2959 個設備位于美國。

目前還不清楚為什么威脅者發布了這些憑證，而不是為自己所用，但據信這樣做是為了推廣RAMP黑客論壇和Groove勒索軟件即服務行動。高級英特爾首席技術官 Vitali Kremez 告訴 BleepingComputer：“我們高度相信，VPN SSL的泄漏很可能是為了推廣新的RAMP勒索軟件論壇，為想做勒索軟件的人免費提供”。