Hackers hebben in een jaar tijd een half miljoen gebruikersnaam-en-wachtwoord combinaties van zakelijke cyber security provider Fortinet buitgemaakt.Volgens BleepingComputer zijn de gegevens nu gratis beschikbaar gesteld ter promotie van het nieuwe hackersforum RAMP.
De VPN-dienst van Fortinet wordt door bedrijven gebruikt om bijvoorbeeld medewerkers die thuiswerken veilig met het betreffende bedrijfsnetwerk te verbinden. Het lek is dan ook zeer ernstig, want het biedt kwaadwillenden toegang tot de netwerken van een groot aantal Fortinet klanten. Hierdoor zijn de cybercriminelen in staat om data te stelen, malware te installeren of ransomware aanvallen uit te voeren.
De hack is volgens Bleepingcomputer uitgevoerd door de administrator van het nieuwe hackersforum, onder de naam ‘Orange’. Orange is vermoedelijk een voormalig lid van de bende die de beruchte Babuk-ransomware heeft ontwikkeld. Met deze zelf ontwikkelde malware kunnen de criminelen na het inbreken op een netwerk alle gevonden gegevens versleutelen om vervolgens geld te eisen voor de ontsleuteling. Na het uiteenvallen van de Babuk-bende runt Orange nu het nieuwe hackersforum RAMP. Ook lijken er banden te zijn met de nieuwe ransomware-as-a-service (RaaS) groep Groove.
Bij ransomeware as a service kunnen andere criminelen ransomware pakketten kopen, zodat zij deze zelf tegen bedrijven in kunnen zetten. De groepen vragen hiervoor een bedrag in crypto currency en in sommige gevallen een deel van het losgepeuterde losgeld. Deze actie is waarschijnlijk bedoeld om leden naar het nieuwe hackersforum te lokken en om mogelijke Groove RaaS klanten te laten zien dat ze weten waar ze mee bezig zijn.
De 498.908 accounts komen van 12.856 devices van over de hele wereld. De gegevens zijn gestolen door het uitbuiten van een inmiddels gedichte kwetsbaarheid, blijkt uit een analyse van Advanced Intel. De gebruikte kwetsbaarheid is dus al gedicht, maar veel van de inloggegevens zijn vermoedelijk nog wel geldig. Administrators van bedrijven die de Fortinet VPN-dienst gebruiken wordt aangeraden om alle wachtwoorden van gebruikers te resetten en hun logs te analyseren. Zo kunnen verdachte inlogpogingen en andere dreigingen als ransomware-aanvallen in een vroeg stadium worden herkend en voorkomen.
