Nel Forum RAMP, forum underground creato di recente, è stato pubblicato un post (probabilmente associato a Ransomware Babuk) contenente una lista di credenziali valide (username e password) per l’accesso alle VPN Fortinet di circa 13’000 aziende nel mondo.
L’elenco contiene 799 directory e 86.941 sessioni VPN presumibilmente compromesse. Il motivo dietro la condivisione del file non è chiaro.

Le utenze compromesse su Firewall in italia rappresentano circa l’8% del totale.

Nella seguente immagine viene rappresentata la composizione delle l’attacco a livello demografico. Come si può notare l’Italia è in terza posizione.

Maggiori dettagli: LINK

Dettagli Groove

Groove, piattaforma dove è effettivamente caricata la lista, è un nuovo gruppo di ransomware che è diventato particolarmente attivo tra agosto e settembre 2021. Si presume che Groove impieghi ex sviluppatori Babuk e utilizzi tattiche e strumenti avanzati.

Vulnerabilità sfruttate:

  • CVE-2019-0708 Bluekeep RDP vulnerability
  • CVE-2021-27065 Microsoft Exchange server RCE
  • CVE-2021-26857 Microsoft Exchange server RCE
  • CVE-2020-0796 – SMBGhost “Bluecorona” RCE vulnerability
  • CVE-2019-11510 Pulse VPN vulnerability
  • CVE-2020-0829 Citrix scan vulnerability
  • CVE-2021-21972 – vmware scan vulnerability
  • MS17-010 “Eternalblue” vulnerability
  • CVE-2019-19781 – Citrix netscaler vulnerability