Cyberthreat.id – Sebanyak 498.908 kredensial login Fortinet VPN beredar di forum peretasan berbahas Rusia, RAMP.

Kumpulan data nama login dan kata sandi itu dibocorkan oleh akun “Orange” juga administrator forum itu, menurut BleepingComputer, portal berita keamanan siber, diakses Kamis (9 September 2021).

Orange, sebelumnya anggota bandit ransomware Babuk, mengklaim bahwa banyak kredensial VPN tersebut masih valid.

Sejak terjadi perselisihan dengan geng Babuk, Orange berpisah dan memulai mendirikan RAMP sejak Juli lalu. Ia kini disebut-sebut masuk geng ransomware Groove.

“Kebocoran ini insiden serius karena kredensial VPN dapat memungkinkan penjahat siber mengakses sebuah jaringan untuk mengekstrak data, menginstal malware, dan melakukan serangan ransomware,” tulis BleepingComputer.

Dalam unggahan per 7 September, Orange memberikan tautan ke file yang diduga berisi ribuan akun Fortinet VPN. Pada saat yang sama, situs web kebocoran data milik operator ransomware Groove juga mempromosikan data kredensial yang sama tersebut. Tautan keduanya sama-sama mengarah ke file yang ditaruh di server penyimpanan Tor yang digunakan oleh Groove untuk menampung data curiannya—biasa dipakai untuk mengintimidasi para korban agar membayar uang tebusan.

Meski tidak menguji kredensial yang bocor, BleepingComputer mengonfirmasi bahwa semua alamat protokol internet (IP) yang dicek adalah server Fortinet VPN.

Analisis serupa juga dilakukan oleh perusahaan keamanan siber, Advanced Intel. Menurut perusahaan, alamat IP yang tertera adalah perangkat-perangkat yang tersebar di seluruh dunia, di antaranya 2.959 perangkat berlokasi di Amerika Serikat.

CTO Advanced Intel Vitali Kremez mengatakan, kemungkinan kerentanan Fortinet (CVE-2018-13379) dieksploitasi oleh penjahat siber guna mengumpulkan data tersebut.

Tidak jelas mengapa Orange merilis kredensial tersebut daripada menggunakannya sendiri. Namun, patut diduga bahwa itu cara mereka mempromosikan forum peretasan dan layanan Ransomware-as-a-Service (RaaS) Groove.

"Kami dengan keyakinan tinggi percaya bahwa kebocoran SSL VPN kemungkinan untuk mempromosikan forum ransomware RAMP baru yang menawarkan "gratis" untuk yang ingin menjadi operator ransomware," ujar Kremez.

Groove adalah operasi ransomware yang relatif baru yang hanya memiliki satu korban yang saat ini terdaftar di situs kebocoran data mereka. Namun, dengan menawarkan gratis kepada komunitas penjahat dunia maya, mereka mungkin berharap untuk merekrut pelaku ancaman lain ke sistem afiliasi mereka.

Untuk mencegah penyalahgunaan kredensial login tersebut, pengguna Fortinet VPN diminta untuk mereset semua kata sandi agar aman dan memeriksa log Anda untuk kemungkinan penyusupan.

Selain itu, pengguna harus mengecek pembaruan. Jika terdapat pembaruan, disarankan untuk menginstalnya, serta melakukan penyelidikan yang lebih menyeluruh.[]