【安全资讯】前Babuk成员再次搞事，免费泄漏50万条Fortinet VPN凭证！

引言

2021年9月7日，前Babuk勒索团伙的成员Orange在黑客论坛上免费泄露了50万条Fortinet网络安全公司的VPN设备登录凭证清单，清单中数据包括 12,856 台设备上 498,908 名用户的 VPN 凭证，这些Fortinet VPN设备来自全球多达 74 个不同的国家。本次泄漏所带来的后果非常严重，这些VPN 凭据可能被用作其他恶意活动，例如允许攻击者访问网络窃取数据、安装恶意软件和执行勒索软件攻击。

简况

Orange是 Babuk 勒索团伙的前运营商，在2021年Babuk勒索华盛顿警察局一事与组织成员发生争执而离开团队，并成立了名为Groove的新型勒索组织，Orange被认为是Groove勒索团伙的行动代表。Groove组织最近推出了一个名为 RAMP 的新网络犯罪论坛，Orange是该论坛的管理员之一。研究人员推测该团伙可能泄露了 VPN 帐户，以吸引人们对其新业务的关注。

9月7日，Orange在RAMP论坛上发布新帖，内容中包含一条指向数千个Fortinet VPN账户文件的链接。

与此同时，Groove 勒索软件的数据泄露站点上出现了一篇宣传了 Fortinet VPN 泄露的帖子。

对Fortinet VPN 泄露文件的分析表明，这些Fortinet VPN设备的IP分布在全球范围，其中 2,959 台设备位于美国。泄露的 Fortinet 服务器的地理分布如下图：

黑客利用Fortinet的CVE-2018-13379漏洞来收集这些凭据。研究人员称，他们已经验证出部分泄露的凭据是有效的。目前尚不清楚Orange为何要将凭证公开而不是自己使用，但据信这样做是为了推广 RAMP 黑客论坛和 宣传Groove 勒索软件即服务。Groove 是一种相对较新的勒索软件操作，目前仅在其数据泄漏站点上列出了一个受害者。该组织可能是通过这种“免费送赠品”的方式吸引其他攻击者的加入。

总结

在9月3日名为“DY-2”的成员泄露Babuk组织的勒索软件源码后，又披露了成员Orange分道扬镳后成立了Groove 勒索组织，这表明Babuk勒索团伙的内部分裂比预想的更加严重，而Groove和Babuk也从曾经的盟友关系转变成现在的竞争关系，有了源码泄露事件的前车之鉴，未来这两个组织很可能会发生冲突。

建议

研究人员建议用户强制重置密码以确保安全，并检查日志以验证是否存在入侵。如果有任何可疑之处，请确保安装了最新补丁并进行进一步调查。