Nel Forum RAMP, forum underground creato di recente, è stato pubblicato un post (probabilmente associato a Ransomware Babuk) contenente una lista di credenziali valide (username e password) per l’accesso alle VPN Fortinet di circa 13’000 aziende nel mondo.
L’elenco contiene 799 directory e 86.941 sessioni VPN presumibilmente compromesse. Il motivo dietro la condivisione del file non è chiaro.
Le utenze compromesse su Firewall in italia rappresentano circa l’8% del totale.
Nella seguente immagine viene rappresentata la composizione delle l’attacco a livello demografico. Come si può notare l’Italia è in terza posizione.
Dettagli Groove
Groove, piattaforma dove è effettivamente caricata la lista, è un nuovo gruppo di ransomware che è diventato particolarmente attivo tra agosto e settembre 2021. Si presume che Groove impieghi ex sviluppatori Babuk e utilizzi tattiche e strumenti avanzati.
Vulnerabilità sfruttate:
- CVE-2019-0708 Bluekeep RDP vulnerability
- CVE-2021-27065 Microsoft Exchange server RCE
- CVE-2021-26857 Microsoft Exchange server RCE
- CVE-2020-0796 – SMBGhost “Bluecorona” RCE vulnerability
- CVE-2019-11510 Pulse VPN vulnerability
- CVE-2020-0829 Citrix scan vulnerability
- CVE-2021-21972 – vmware scan vulnerability
- MS17-010 “Eternalblue” vulnerability
- CVE-2019-19781 – Citrix netscaler vulnerability