Internet Sehat : Seorang hacker telah membocorkan daftar hampir 500.000 nama login dan kata sandi Fortinet VPN yang diduga diambil dari perangkat yang dapat dieksploitasi musim panas lalu. Meskipun hacker tersebut menyatakan bahwa kerentanan Fortinet yang dieksploitasi telah ditambal, mereka tetap mengklaim bahwa banyak kredensial VPN masih valid.
Kebocoran ini merupakan insiden serius karena kredensial VPN dapat memungkinkan pelaku ancaman atau hacker mengakses jaringan untuk melakukan eksfiltrasi data, menginstal malware, dan melakukan serangan ransomware.
Daftar kredensial Fortinet dibocorkan secara gratis oleh aktor ancaman yang dikenal sebagai Orange yang merupakan administrator forum peretasan RAMP yang baru diluncurkan dan operator sebelumnya dari operasi Babuk Ransomware.
Setelah perselisihan terjadi antara anggota geng Babuk, Orange berpisah untuk memulai RAMP dan sekarang diyakini sebagai perwakilan dari operasi ransomware Groove yang baru.
Pelaku membuat postingan di forum RAMP dengan tautan ke file yang diduga berisi ribuan akun VPN Fortinet. Pada saat yang sama, sebuah posting muncul di situs kebocoran data ransomware Groove yang juga mempromosikan kebocoran VPN Fortinet.
Kedua posting tersebut mengarah ke file yang di-hosting di server penyimpanan TOR yang digunakan oleh geng Groove untuk menampung file curian yang bocor untuk menekan korban ransomware untuk membayar.
Analisis BleepingComputer terhadap file ini menunjukkan bahwa file ini berisi kredensial VPN untuk 498.908 pengguna di lebih dari 12.856 perangkat. Meskipun apakah ada kredensial yang bocor itu valid tidak diuji, BleepingComputer dapat mengonfirmasi bahwa semua alamat IP yang diperiksa adalah server Fortinet VPN. Analisis lebih lanjut yang dilakukan oleh Advanced Intel menunjukkan bahwa alamat IP adalah untuk perangkat di seluruh dunia, dengan 2.959 perangkat berlokasi di AS.
Tidak jelas mengapa aktor ancaman merilis kredensial daripada menggunakannya untuk diri mereka sendiri, tetapi diyakini telah dilakukan untuk mempromosikan forum peretasan RAMP dan operasi ransomware-as-a-service Groove.
Groove adalah operasi ransomware yang relatif baru yang hanya memiliki satu korban yang saat ini terdaftar di situs kebocoran data mereka. Namun, dengan menawarkan gratis kepada komunitas penjahat dunia maya, mereka mungkin berharap untuk merekrut pelaku ancaman lain ke sistem afiliasi mereka.
Sumber : Bleeping Computer