No encontramos lo que estás buscando.

Otros artículos que podrían interesarte

amp-web-push-widget button.amp-subscribe { display: inline-flex; align-items: center; border-radius: 5px; border: 0; box-sizing: border-box; margin: 0; padding: 10px 15px; cursor: pointer; outline: none; font-size: 15px; font-weight: 500; background: #4A90E2; margin-top: 7px; color: white; box-shadow: 0 1px 1px 0 rgba(0, 0, 0, 0.5); -webkit-tap-highlight-color: rgba(0, 0, 0, 0); } .amp-logo amp-img{width:190px} .amp-menu input{display:none;}.amp-menu li.menu-item-has-children ul{display:none;}.amp-menu li{position:relative;display:block;}.amp-menu > li a{display:block;} /* Inline styles */ p.acss2f015{text-align:center;}div.acss2f015{text-align:center;}figure.acss520cb{display:inline-block;}div.acss0f1bf{display:none;}div.acss2cf0e{height:24px;max-width:24px;}div.acss1fa05{max-width:0px;}

Los piratas informáticos filtran contraseñas de 500.000 cuentas VPN de Fortinet

Un actor de amenazas filtró una lista de casi 500.000 inicios de sesión y contraseñas VPN de Fortinet que se eliminarían de los dispositivos explotables el verano pasado.

Si bien el autor de la amenaza afirma que la vulnerabilidad explotada de Fortinet se solucionó más tarde, afirma que muchas credenciales de VPN siguen siendo válidas.

Esta filtración es un incidente grave, ya que las credenciales de VPN podrían permitir que los actores de amenazas accedan a una red para realizar la exfiltración de datos, instalar malware y realizar ataques de ransomware.

Índice de contenidos()

    Credenciales de Fortinet filtradas en un foro de piratería

    La lista de credenciales de Fortinet fue filtrada de forma gratuita por un actor de amenazas conocido como "Orange", que es el administrador del foro de piratería RAMP recién lanzado y un ex operador de la operación Babuk Ransomware.

    Después de que estallaran disputas entre miembros de la banda Babuk, Orange se separó para iniciar RAMP y ahora se cree que es un representante de la nueva operación de ransomware Groove.

    Ayer, el actor de amenazas creó una publicación en el foro RAMP con un enlace a un archivo que supuestamente contiene miles de cuentas VPN de Fortinet.

    Publicar en el foro de hack de RAMP

    Al mismo tiempo, apareció una publicación en el sitio de pérdida de datos del ransomware Groove que también promovía la pérdida de Fortinet VPN.

    Publicación sobre la fuga de Fortinet en el sitio de pérdida de datos de Groove

    Ambas publicaciones conducen a un archivo alojado en un servidor de almacenamiento Tor utilizado por la banda Groove para albergar archivos robados filtrados para presionar a las víctimas de ransomware a pagar.

    El análisis de BleepingComputer de este archivo muestra que contiene credenciales de VPN para 498,908 usuarios en 12,856 dispositivos.

    Si bien no verificamos si alguna de las credenciales filtradas era válida, BleepingComputer puede confirmar que todas las direcciones IP que verificamos son servidores VPN de Fortinet.

    Más lejos análisis realizado por Advanced Intel muestra que las direcciones IP son para dispositivos en todo el mundo, con 2.959 dispositivos ubicados en los Estados Unidos.

    Distribución geográfica de los servidores de Fortinet filtrados

    Kremez le dijo a BleepingComputer que se aprovechó la vulnerabilidad Fortinet CVE-2018-13379 para recopilar estas credenciales.

    Una fuente de la industria de la ciberseguridad le dijo a BleepingComputer que pudieron verificar legalmente que al menos algunas de las credenciales filtradas eran válidas.

    No está claro por qué el autor de la amenaza publicó las credenciales en lugar de usarlas para sí mismo, pero se cree que se hizo para promover el foro de piratería RAMP y la operación de ransomware como servicio Groove.

    "Creemos con gran confianza que la filtración de SSL VPN probablemente se realizó para promover el nuevo foro de ransomware RAMP que ofrece un" obsequio "para los aspirantes a operadores de ransomware". El CTO avanzado de Intel, Vitali Kremez, dijo a BleepingComputer.

    Groove es una operación de ransomware relativamente nueva que tiene solo una víctima actualmente incluida en la fuga de datos. Sin embargo, al ofrecer obsequios a la comunidad de delitos cibernéticos, pueden esperar reclutar más actores de amenazas en su sistema de afiliados.

    ¿Qué deben hacer los administradores del servidor VPN de Fortinet?

    Aunque BleepingComputer no puede verificar legalmente la lista de credenciales, si usted es un administrador de servidores VPN de Fortinet, debe asumir que muchas de las credenciales enumeradas son válidas y tomar precauciones.

    Estas precauciones incluyen realizar un restablecimiento completo de todas las contraseñas de los usuarios por seguridad y para verificar los registros en busca de posibles intrusiones.

    Si algo parece sospechoso, debe asegurarse de inmediato de tener instalados los últimos parches, realizar una investigación más exhaustiva y asegurarse de que se restablezcan las contraseñas del usuario.

    ¿Qué te ha parecido?
    Categorías: Noticias
    Diario Informe: