一名网络攻击者泄露了一份Fortinet 虚拟专用网络帐户和密码的名单，包含近50万用户。据称这些帐户和密码是从去年夏天的设备上窃取的。

虽然威胁行方声称被利用的Fortinet漏洞已经被修补，但他们声称许多虚拟专用网络凭证仍然有效。

这是一个严重的数据泄露事件，因为虚拟专用网络凭据可能允许威胁行为者访问网络执行数据外泄、安装恶意软件和执行勒索软件攻击。

Fortinet 凭据在黑客论坛上泄露

Fortinet凭据列表由名为“Orange”的威胁行为者免费泄露，他是新成立的RAMP 黑客论坛的管理员，也是Babuk 勒索软件的前运营商。

在Babuk团伙成员之间发生争执后，Orange分道扬镳启动RAMP，现在被认为是新 Groove勒索软件行动的代表。

9月8日，威胁行为者在RAMP论坛上创建了一个帖子，其中包含一个指向据称包含数千个Fortinet 虚拟专用网络帐户的文件的链接。

与此同时，Groove勒索软件的数据泄露站点上出现了一篇帖子，也宣传Fortinet 虚拟专用网络泄露事件。

这两篇文章都指向了一个托管在Tor存储服务器上的文件，Groove团伙使用该服务器托管被盗文件，迫使勒索软件受害者支付赎金。

BleepingComputer对该文件的分析显示，它包含了超过12,856台设备的498,908名用户的虚拟专用网络凭据。

虽然我们没有测试泄漏的任何凭据是否有效，但BleepingComputer可以确认我们检查的所有IP地址都是Fortinet 虚拟专用网络服务器。

Advanced Intel进行的进一步分析表明，这些IP地址是用于全球设备的，其中2959个设备位于美国，还涉及大量中国用户。

Kremez在采访中表示，这些数据泄露由于Fortinet 存在的一个CVE-2018-13379 漏洞被利用导致。

一位网络安全行业的消息人士称，他们已经完成了合法验证，可以证明其中至少一部分泄露的凭证真实有效。

目前还不清楚攻击者为什么要公开凭证、而不是自行使用，但据称这么做是为了宣传RAMP黑客论坛，并帮助Groove勒索软件即服务打开市场。

Advanced Intel CTO Vitali Kremez表示，“我们非常有信心地相信虚拟专用网络SSL泄漏很可能是为了推广新的RAMP 勒索软件论坛，为想要成为勒索软件运营商的人提供“免费赠品”。

Groove是一个相对较新的勒索软件操作，目前在其数据泄露网站上只有一名受害者。然而，通过向网络犯罪社区提供免费赠品，他们可能希望招募其他威胁行为者加入他们的附属系统。

Fortinet 虚拟专用网络服务器管理员应该怎么做?

虽然无法合法验证凭据列表，但作为 Fortinet 虚拟专用网络服务器的管理员，应该假设列出的许多凭据都是有效的并积极采取预防措施。

这些预防措施包括强制重置所有用户的密码，以确保安全，并检查您的日志，以防可能的入侵。如果有任何可疑的地方，应该立即确保安装了最新的补丁，进行更彻底的调查，并确保重置了用户的密码。

数据是网络运营的核心，随着大数据时代加快社会发展，数据企业及个人数据在生产生活中不断传输运转。数据也是网络攻击者用以勒索的”筹码“，在多起重大勒索事件中，企业花费巨额赎金才确保数据安全。

参读来源：

Bleeping Computer