Nel Forum RAMP, forum underground creato di recente, è stato pubblicato un post (probabilmente associato a Ransomware Babuk) contenente una lista di credenziali valide (username e password) per l’accesso alle VPN Fortinet di circa 13’000 aziende nel mondo.
L’elenco contiene 799 directory e 86.941 sessioni VPN presumibilmente compromesse. Il motivo dietro la condivisione del file non è chiaro.

Le utenze compromesse su Firewall in italia rappresentano circa l’8% del totale.

Nella seguente immagine viene rappresentata la composizione delle l’attacco a livello demografico. Come si può notare l’Italia è in terza posizione.

Maggiori dettagli: LINK

Dettagli Groove

Groove, piattaforma dove è effettivamente caricata la lista, è un nuovo gruppo di ransomware che è diventato particolarmente attivo tra agosto e settembre 2021. Si presume che Groove impieghi ex sviluppatori Babuk e utilizzi tattiche e strumenti avanzati.

Vulnerabilità sfruttate:

  • CVE-2019-0708 Bluekeep RDP vulnerability
  • CVE-2021-27065 Microsoft Exchange server RCE
  • CVE-2021-26857 Microsoft Exchange server RCE
  • CVE-2020-0796 – SMBGhost “Bluecorona” RCE vulnerability
  • CVE-2019-11510 Pulse VPN vulnerability
  • CVE-2020-0829 Citrix scan vulnerability
  • CVE-2021-21972 – vmware scan vulnerability
  • MS17-010 “Eternalblue” vulnerability
  • CVE-2019-19781 – Citrix netscaler vulnerability

Take your cyber- defence to a new level!

Cybersecurity is of vital importance in today's digital landscape. Our innovative and tailored solutions provide impenetrable defense for businesses of all sizes.

More info here

Related articles

qr code phishing
In the ever-evolving landscape of cyber threats, threat actors are constantly seeking […]
Risks and Solutions How to protect and how to react The identification […]
fickerstealer
Over the last week (26th of July 2021), CERT-AGID observed a malspam […]