Hackers filtran las contraseñas de 500.000 cuentas VPN de Fortinet [ENG]

Traducción automática:

Un actor de la amenaza ha filtrado una lista de casi 500.000 nombres de usuario y contraseñas de VPN de Fortinet que supuestamente fueron extraídos de dispositivos explotables el verano pasado.

Aunque el actor de la amenaza afirma que la vulnerabilidad explotada de Fortinet ha sido parcheada desde entonces, afirma que muchas credenciales de VPN siguen siendo válidas.

Esta filtración es un incidente grave, ya que las credenciales de VPN podrían permitir a los actores de la amenaza acceder a una red para realizar la exfiltración de datos, instalar malware y realizar ataques de ransomware.


Credenciales de Fortinet filtradas en un foro de hacking

La lista de credenciales de Fortinet fue filtrada gratuitamente por un actor de amenazas conocido como "Orange", que es el administrador del recién lanzado foro de hacking RAMP y un operador anterior de la operación de ransomware Babuk.

Después de que se produjeran disputas entre los miembros de la banda Babuk, Orange se separó para iniciar RAMP y ahora se cree que es un representante de la nueva operación de ransomware Groove.

Ayer, el actor de la amenaza creó un post en el foro de RAMP con un enlace a un archivo que supuestamente contiene miles de cuentas VPN de Fortinet.

Al mismo tiempo, apareció un post en el sitio de fuga de datos del ransomware Groove que también promocionaba la fuga de VPN de Fortinet.

Ambos posts conducen a un archivo alojado en un servidor de almacenamiento Tor utilizado por la banda Groove para alojar archivos robados filtrados para presionar a las víctimas del ransomware a pagar.

El análisis de BleepingComputer de este archivo muestra que contiene credenciales VPN para 498.908 usuarios en 12.856 dispositivos.

Aunque no comprobamos si alguna de las credenciales filtradas era válida, BleepingComputer puede confirmar que todas las direcciones IP que comprobamos son servidores VPN de Fortinet.

Un análisis posterior realizado por Advanced Intel muestra que las direcciones IP corresponden a dispositivos de todo el mundo, con 2.959 dispositivos ubicados en los Estados Unidos.

Kremez dijo a BleepingComputer que la vulnerabilidad CVE-2018-13379 de Fortinet fue explotada para reunir estas credenciales.

Una fuente del sector de la ciberseguridad dijo a BleepingComputer que pudieron verificar legalmente que al menos algunas de las credenciales filtradas eran válidas.

No está claro por qué el actor de la amenaza liberó las credenciales en lugar de utilizarlas para sí mismo, pero se cree que lo hizo para promover el foro de hacking RAMP y la operación de ransomware como servicio Groove.

"Creemos con alta confianza que la filtración de VPN SSL fue probablemente realizada para promover el nuevo foro de ransomware RAMP que ofrece un "freebie" para los aspirantes a operadores de ransomware". dijo a BleepingComputer el CTO de Advanced Intel, Vitali Kremez.

Groove es una operación de ransomware relativamente nueva que sólo tiene una víctima actualmente en su sitio de fuga de datos. Sin embargo, al ofrecer obsequios a la comunidad de ciberdelincuentes, pueden estar esperando reclutar a otros actores de amenazas para su sistema de afiliados.


¿Qué deben hacer los administradores de servidores VPN de Fortinet?

Aunque BleepingComputer no puede verificar legalmente la lista de credenciales, si usted es un administrador de servidores VPN de Fortinet, debería asumir que muchas de las credenciales listadas son válidas y tomar precauciones.

Estas precauciones incluyen realizar un restablecimiento forzado de todas las contraseñas de los usuarios para estar seguro y comprobar sus registros en busca de posibles intrusiones.

Si algo parece sospechoso, deberías asegurarte inmediatamente de que tienes los últimos parches instalados, realizar una investigación más exhaustiva y asegurarte de que las contraseñas de tus usuarios están restablecidas.

BleepingComputer se puso en contacto con Fortinet sobre esta filtración antes de publicarla, pero no ha recibido respuesta.