На подпольном форуме RAMP бесплатно доступен массив, содержащий почти 500 тыс. учетных данных для устройств Fortinet VPN. Автором утечки является некто 'Orange' – администратор форума и бывший участник вымогательской группировки Babuk, покинувший группу после того, как между ее членами возникли разногласия. Предположительно, теперь Orange связан с новой вымогательской схемой Groove.
В общей сложности опубликованный файл содержит учетные данные VPN для 498 908 пользователей 12 856 устройств. Согласно информации ИБ-компании Advanced Intel, уязвимые устройства располагаются по всему миру, большая часть из них в Индии, Тайване, Франции, Италии, Израиле, Мексике, Бразилии, Сингапуре и Китае.
Как полагают специалисты, для сбора учетных данных злоумышленники эксплуатировали уязвимость обхода каталога ( CVE-2018-13379 ) в FortiOS SSL VPN.
На данный момент неясно, с чем связана публикация учетных данных. Как полагают ИБ-эксперты, это может быть попыткой прорекламировать RAMP и Groove RaaS, а также привлечь новых участников.
Groove – сравнительно новая вымогательская группировка. Пока на ее сайте утечек указана только одна жертва.