日前，有攻擊者在駭客論壇放出了一份近50萬條Fortinet VPN裝置登入憑證清單，據分析裡邊包含12856臺裝置上的498908名使用者的VPN登入憑證；安全研究人員發現，這些Fortinet VPN裝置的IP分佈在全球各地，其中位於中國（大陸+臺灣）的裝置佔比11。89%，臺灣佔比8。45%，大陸佔比3。44%；掌握VPN憑證的攻擊者很可能訪問目標網路，進而實施資料竊取、惡意軟體安裝與勒索軟體攻擊等活動。

日前，一名威脅行為者洩露了一份包含近50萬條Fortinet VPN登入名與密碼的龐大清單，據稱這些名稱與密碼竊取自去年夏天的一次網路入侵活動。

雖然威脅行為者宣稱，當時利用的Fortinet漏洞已被修復，但其中相當一部分VPN憑證仍然真實有效。

此次洩露後果嚴重，掌握VPN憑證的攻擊者很可能訪問目標網路，進而實施資料竊取、惡意軟體安裝與勒索軟體攻擊等活動。

Fortinet憑證被公佈在駭客論壇之上這次洩露的Fortinet憑證清單來自一名暱稱為“Orange”的攻擊者，他也是新近上線的RAMP駭客論壇的管理員以及Babuk勒索軟體團伙的前任成員。

在與Babuk團伙的其他成員發生爭執之後，Orange決定分道揚鑣併成立RAMP，如今已經成為新的Groove勒索軟體團伙的代表。

昨天，這名攻擊者在RAMP上發了個新帖，其中包含一條據稱指向數千個Fortinet VPN賬戶檔案的連結。

RAMP駭客論壇上的帖子與此同時，Groove勒索軟體的資料洩露站點上也出現了一篇帖子，宣稱已經有大批Fortiner VPN外洩。

在Groove資料洩露站點上釋出的Fortinet憑證相關資訊這兩篇帖子都指向Groove團伙用於託管被盜檔案的Tor儲存伺服器上的同一個檔案，目的自然是逼迫勒索攻擊受害者支付贖金。

根據對這個檔案的分析，我們發現其中包含12856臺裝置上的498908名使用者的VPN憑證。

雖然我們還沒有測試這些洩露憑證是否有效，但至少可以確定被抽樣的所有IP地址均來自Fortinet VPN伺服器。

安全廠商Advanced Intel的進一步分析表明，這些IP地址來自全球各地的多臺裝置，其中有2959臺位於美國。

洩露的Fortinet伺服器的地理分佈情況，中國臺灣和大陸的佔比較高Kremez在採訪中表示，這些憑證的外洩源自Fortinet曝出的CVE-2018-13379漏洞。

一位網路安全行業的訊息人士告訴我們，他們已經完成了合法驗證，可以證明其中至少一部分洩露的憑證真實有效。

目前還不清楚攻擊者為什麼要公開憑證、而不是自行使用，但據信這麼做是為了宣傳RAMP駭客論壇，並幫助Groove勒索軟體即服務開啟市場。

Advanced Intel CTO Vitali Kremez在採訪中表示，“我們有一定的信心認為，這一波資訊VPN SSL洩露很可能是為了宣傳新的RAMP勒索軟體論壇，這份清單就是給那些想搞勒索軟體攻擊的潛在使用者們的「免費贈品」。

”Groove是一股相對較新的勒索軟體勢力，此次洩露的資料中出現了他們的一位受害者。

但透過向網路犯罪社群提供免費贈品，他們可能希望能將其他攻擊者招募到自己的附屬體系當中。

Fortinet VPN伺服器管理員該如何應對？雖然無法合法驗證憑證清單，但作為Fortinet VPN伺服器管理員，大家應當假設此次洩露的憑證真實有效並及時採取預防措施。

具體預防措施包括強制重置所有使用者密碼以確保安全，並檢查日誌以驗證是否已經遭到入侵。

若有任何可疑之處，請保證安裝最新補丁並進一步徹底調查，同時立即對使用者密碼進行重置。

參考來源：bleepingcomputer。com