黑客曝光 50 万 Fortinet VPN 用户的登录凭证

一份包含 50 万名 Fortinet VPN 用户的登录凭证近日被黑客曝光，据称这些凭证是去年夏天从被利用的设备上刮取的。该黑客表示，虽然被利用的 Fortinet 漏洞后来已经被修补，但他们声称许多 VPN 凭证仍然有效。

http://hackernews.cc/wp-content/uploads/2021/09/9ff9ade94748ee9-600x446.jpeg

这次泄漏是一个严重的事件，因为 VPN 凭证可以让威胁者进入网络进行数据渗透，安装恶意软件，并进行勒索软件攻击。Fortinet 凭证清单是由一个被称为“Orange”的黑客免费泄露的，他是新发起的 RAMP 黑客论坛的管理员，也是 Babuk 勒索软件行动的前操作者。

在 Babuk 团伙成员之间发生纠纷后，Orange 分裂出来创办 RAMP，现在被认为是新的 Groove 勒索软件行动的代表。昨天，该黑客在 RAMP 论坛上创建了一个帖子，其中有一个文件的链接，据称该文件包含成千上万的 Fortinet VPN 账户。同时，Groove 勒索软件的数据泄漏网站上出现了一个帖子，也在宣传 Fortinet VPN 的泄漏。

http://hackernews.cc/wp-content/uploads/2021/09/1b328b30f7f351b-600x485.jpeg

这两个帖子都指向一个文件，该文件托管在Groove团伙用来托管被盗文件的Tor存储服务器上，以迫使勒索软件受害者付款。外媒 BleepingComputer 对这个文件的分析显示，它包含了 12856 台设备上 498,908 名用户的 VPN 凭证。

外媒没有测试任何泄露的凭证是否有效，但可以确认我们检查的所有 IP 地址都是 Fortinet 的 VPN 服务器。Advanced Intel 进行的进一步分析显示，这些 IP 地址是全球范围内的设备，有 2959 个设备位于美国。

http://hackernews.cc/wp-content/uploads/2021/09/4b606463ff2a892-600x412.jpeg

目前还不清楚为什么威胁者发布了这些凭证，而不是为自己所用，但据信这样做是为了推广RAMP黑客论坛和Groove勒索软件即服务行动。高级英特尔首席技术官 Vitali Kremez 告诉 BleepingComputer：“我们高度相信，VPN SSL的泄漏很可能是为了推广新的RAMP勒索软件论坛，为想做勒索软件的人免费提供”。

（消息及封面来源：cnBeta）