Cyberthreat.id - Seorang hacker telah membocorkan daftar hampir 500 ribu nama login dan kata sandi Fortinet VPN yang diduga diambil dari perangkat yang dieksploitasi pada musim panas lalu.

Meskipun penyebar data menyatakan kerentanan Fortinet telah ditambal, mereka mengklaim banyak kredensial VPN masih valid dan dapat digunakan oleh orang lain.

Kebocoran ini merupakan insiden serius karena kredensial VPN dapat memungkinkan pelaku ancaman mengakses jaringan untuk melakukan eksfiltrasi data, menginstal malware, dan melakukan serangan ransomware.

Daftar kredensial Fortinet dibocorkan secara gratis oleh aktor ancaman yang dikenal sebagai 'Orange,' yang merupakan administrator forum peretasan RAMP yang baru diluncurkan dan operator sebelumnya dari Babuk Ransomware.

Setelah perselisihan terjadi antara anggota geng Babuk, Orange berpisah untuk memulai RAMP dan sekarang diyakini sebagai perwakilan dari operasi ransomware Groove yang baru.

Kemarin, pelaku membuat postingan di forum RAMP dengan tautan ke file yang diduga berisi ribuan akun VPN Fortinet.

Pada saat yang sama, sebuah posting muncul di situs kebocoran data ransomware Groove yang juga mempromosikan kebocoran VPN Fortinet.

Kedua posting mengarah ke file yang dihosting di server penyimpanan Tor yang digunakan oleh geng Groove untuk menampung file curian yang bocor untuk menekan korban ransomware untuk membayar.

Analisis BleepingComputer terhadap file ini menunjukkan bahwa file ini berisi kredensial VPN untuk 498.908 pengguna di lebih dari 12.856 perangkat.

Meskipuntidak menguji apakah ada kredensial yang bocor itu valid, BleepingComputer dapat mengonfirmasi bahwa semua alamat IP yang diperiksa adalah server VPN Fortinet.

Analisis lebih lanjut yang dilakukan oleh Advanced Intel menunjukkan bahwa alamat IP adalah untuk perangkat di seluruh dunia, di mana 2.959 perangkat berlokasi di AS.

Kremez mengatakan kepada BleepingComputer bahwa kerentanan Fortinet CVE-2018-13379 dieksploitasi untuk mengumpulkan kredensial ini.

Sebuah sumber di industri keamanan siber mengatakan kepada BleepingComputer bahwa mereka dapat memverifikasi secara legal bahwa beberapa kredensial yang bocor itu valid.

Tidak jelas mengapa aktor ancaman merilis kredensial daripada menggunakannya untuk diri mereka sendiri, tetapi diyakini telah dilakukan untuk mempromosikan forum peretasan RAMP dan operasi ransomware-as-a-service Groove.

"Kami percaya dengan keyakinan tinggi bahwa kebocoran SSL VPN kemungkinan berhasil dilakukan untuk mempromosikan forum ransomware RAMP baru yang menawarkan "gratis" untuk operator ransomware wannabe," kata Advanced Intel CTO Vitali Kremez kepada BleepingComputer.

Groove adalah operasi ransomware yang relatif baru yang hanya memiliki satu korban yang saat ini terdaftar di situs kebocoran data mereka. Namun, dengan menawarkan gratis kepada komunitas penjahat dunia maya, mereka mungkin berharap untuk merekrut pelaku ancaman lain ke sistem afiliasi mereka. []