Ciberdelincuentes filtran miles de contraseñas de cuentas VPN de Fortinet
Un ciberdelincuente ha filtrado una lista de casi 500,000 nombres de inicio de sesión y contraseñas de VPN de Fortinet. Estas credenciales supuestamente fueron extraídas de dispositivos hackeados recientemente.
Si bien el ciberdelincuente afirma que la vulnerabilidad explotada de Fortinet ha sido parcheada desde entonces, afirma que muchas credenciales de VPN siguen siendo válidas.
Esta filtración es un incidente grave, ya que las credenciales de VPN podrían permitir que los atacantes accedan a una red para realizar la exfiltración de datos, instalar malware y realizar ataques de ransomware.
Credenciales de Fortinet filtradas en un foro de hacking
La lista de credenciales de Fortinet fue filtrada de forma gratuita por un ciberdelincuente conocido como ‘Orange’. Él es el administrador del foro de hacking recién lanzado RAMP y un antiguo operador de la banda de ransomware Babuk.
Después de que ocurrieran disputas entre miembros de la banda Babuk, Orange se separó para iniciar RAMP. Asimismo, se cree que es un representante de la nueva operación de ransomware Groove.
Ayer, el ciberdelincuente creó una publicación en el foro RAMP con un enlace a un archivo que supuestamente contiene miles de cuentas VPN de Fortinet.
Al mismo tiempo, apareció una publicación en el sitio de filtración de datos del ransomware Groove que también promocionaba la filtración de VPN de Fortinet.
Ambas publicaciones conducen a un archivo alojado en un servidor de almacenamiento Tor utilizado por la banda Groove para albergar archivos robados filtrados para presionar a las víctimas de ransomware a pagar.
El análisis de este archivo muestra que contiene credenciales de VPN para 498,908 usuarios en 12,856 dispositivos.
Si bien no se ha comprobado si algunas de las credenciales son válidas, sí se ha confirmado que todas las direcciones IP son servidores VPN de Fortinet.
Un análisis más detallado realizado por Advanced Intel muestra que las direcciones IP son para dispositivos en todo el mundo. Específicamente, 2959 dispositivos están ubicados en los Estados Unidos.
Una fuente de la industria de la ciberseguridad dijo que pudieron verificar legalmente que al menos algunas de las credenciales filtradas eran válidas.
No está claro por qué el actor de amenazas publicó las credenciales en lugar de usarlas para sí mismos. Sin embargo, se cree que se hizo para promover el foro RAMP y la operación de ransomware como servicio Groove.
¿Qué deben hacer los administradores del servidor VPN de Fortinet?
Si bien no hemos podido verificar legalmente la lista de credenciales, si eres un administrador de servidores VPN de Fortinet, debes asumir que muchas de las credenciales filtradas son válidas y debes tomar precauciones.
Estas precauciones incluyen realizar un restablecimiento forzado de todas las contraseñas de los usuarios para estar seguro. Y, debes verificar tus registros en busca de posibles intrusiones.
Si algo parece sospechoso, debes asegurarte de inmediato de tener instalados los últimos parches. Asimismo, tienes que realizar una investigación más exhaustiva y asegurarte de que se restablezcan las contraseñas de usuario.
Para verificar si un dispositivo es parte de la filtración, el investigador de seguridad Cypher ha creado una lista de las direcciones IP de los dispositivos filtrados.