23 mil credenciais de VPN do Brasil na dark web

23 mil credenciais de VPN do Brasil na dark web

maior provedor de backup vaza dados

Despejo aconteceu num fórum onde existe a troca de informações entre operadores de ransomware

Um cibercriminoso despejou num fórum na dark web um total de 498.908 credenciais supostamente de 12.856 dispositivos Fortinet VPN. De acordo com a empresa de segurança da informação Advanced Intel, que examinou o material, os dispositivos vulneráveis ​​estão espalhados por todo o mundo, sendo a maioria deles na Índia, Taiwan, França, Itália, Israel, México, Brasil, Cingapura e China. De acordo com esses números, pouco mais de 23 mil credenciais seriam de usuários brasileiros.

O material está disponível gratuitamente no fórum RAMP, aberto em julho no mesmo endereço anteriormente utilizado pelo site de vazamentos do ransomware Babuk. O autor do vazamento é administrador do fórum e ex-membro do grupo Babuk. Ele se autodenomina ‘Orange’ e teria deixado o grupo após o surgimento de desentendimentos entre seus membros. Acredita-se agora que Orange está vinculado ao ransomware Groove.

A Fortinet publicou uma nota sobre esse assunto que diz:

“A segurança dos nossos clientes é a nossa prioridade. A Fortinet está ciente de que um agente malicioso divulgou credenciais SSL-VPN para acessar dispositivos FortiGate SSL-VPN. As credenciais foram obtidas de sistemas que ainda não implementaram a atualização do patch fornecida em maio de 2019. Desde maio de 2019, a Fortinet tem se comunicado continuamente com os clientes solicitando a implementação de mitigações, incluindo postagens em blogs corporativos em agosto de 2019, julho de 2020, abril de 2021 e junho 2021. Para obter mais informações, consulte nosso blog mais recente e a recomendação de PSIRT. Recomendamos fortemente que os clientes implementem a atualização do patch e a redefinição da senha o mais rápido possível.”

O material foi despejado na terça-feira 7 de setembro de 2021. A lista de credenciais está em 799 diretórios e 86.941 conexões VPN supostamente comprometidas. A razão por trás do vazamento não é clara.

O Groove é um novo grupo de ransomware que se tornou ativo a partir de agosto de 2021. Ele supostamente emprega ex-desenvolvedores do Babuk e possui táticas e ferramentas avançadas. Os especialistas acreditam que os invasores exploraram uma vulnerabilidade (já corrigida) de travessia de diretório (CVE-2018-13379) no FortiOS SSL VPN para coletar credenciais.

Não está claro neste ponto a que se relaciona a postagem de credenciais. De acordo com especialistas em segurança da informação, esta pode ser uma tentativa de divulgar a existência do RAMP e do ransomware as a service Groove, inclusive para atrair novos participantes. Até agora, apenas uma vítima está listada em seu site de vazamentos.

Num post publicado ontem a Fortinet repetiu as informações para os clientes que ainda precisam de patch, no seguinte endereço:
https://www.fortinet.com/blog/psirt-blogs/malicious-actor-discloses-fortigate-ssl-vpn-credentials

Fonte: https://www.cisoadvisor.com.br/23-mil-credenciais-de-vpn-do-brasil-na-dark-web/