【安全资讯】前Babuk成员再次搞事,免费泄漏50万条Fortinet VPN凭证!

猎影实验室 2021-09-09 07:20:50 2900人浏览

引言

2021年9月7日,前Babuk勒索团伙的成员Orange在黑客论坛上免费泄露了50万条Fortinet网络安全公司的VPN设备登录凭证清单,清单中数据包括 12,856 台设备上 498,908 名用户的 VPN 凭证,这些Fortinet VPN设备来自全球多达 74 个不同的国家。本次泄漏所带来的后果非常严重,这些VPN 凭据可能被用作其他恶意活动,例如允许攻击者访问网络窃取数据、安装恶意软件和执行勒索软件攻击。

 

简况

Orange是 Babuk 勒索团伙的前运营商,在2021年Babuk勒索华盛顿警察局一事与组织成员发生争执而离开团队,并成立了名为Groove的新型勒索组织,Orange被认为是Groove勒索团伙的行动代表。Groove组织最近推出了一个名为 RAMP 的新网络犯罪论坛,Orange是该论坛的管理员之一。研究人员推测该团伙可能泄露了 VPN 帐户,以吸引人们对其新业务的关注。

 

9月7日,Orange在RAMP论坛上发布新帖,内容中包含一条指向数千个Fortinet VPN账户文件的链接。

 

与此同时,Groove 勒索软件的数据泄露站点上出现了一篇宣传了 Fortinet VPN 泄露的帖子。

 

对Fortinet VPN 泄露文件的分析表明,这些Fortinet VPN设备的IP分布在全球范围,其中 2,959 台设备位于美国。泄露的 Fortinet 服务器的地理分布如下图:

黑客利用Fortinet的CVE-2018-13379漏洞来收集这些凭据。研究人员称,他们已经验证出部分泄露的凭据是有效的。目前尚不清楚Orange为何要将凭证公开而不是自己使用,但据信这样做是为了推广 RAMP 黑客论坛和 宣传Groove 勒索软件即服务。Groove 是一种相对较新的勒索软件操作,目前仅在其数据泄漏站点上列出了一个受害者。该组织可能是通过这种“免费送赠品”的方式吸引其他攻击者的加入。

 

总结

在9月3日名为“DY-2”的成员泄露Babuk组织的勒索软件源码后,又披露了成员Orange分道扬镳后成立了Groove 勒索组织,这表明Babuk勒索团伙的内部分裂比预想的更加严重,而Groove和Babuk也从曾经的盟友关系转变成现在的竞争关系,有了源码泄露事件的前车之鉴,未来这两个组织很可能会发生冲突。

 

建议

研究人员建议用户强制重置密码以确保安全,并检查日志以验证是否存在入侵。如果有任何可疑之处,请确保安装了最新补丁并进行进一步调查。

数据泄露 RAMP Groove CVE-2018-13379 其他
    2条评论
    西兰花真好吃
    评论内容已被删除
    2年前
    西兰花真好吃
    都是狠人
    2年前
    0
    2
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。