Groove 그룹, 해킹된 Fortinet 어플라이언스 크리덴셜 50만 건 유출해

 

 

Groove gang leaks list of 500k credentials of compromised Fortinet appliances

 

금전적 이득을 노리는 공격자 그룹인 Groove가 다수의 조직의 온라인 크리덴셜을 유출했습니다.

 

해당 랜섬웨어 그룹은 2021년 8월부터 활동을 시작했으며, 다른 조직과 마찬가지로 이중 갈취 전략을 사용합니다.

 

공격자는 Fortinet VPN 크리덴셜 약 50만 건을 포함한 목록을 유출해 공격자가 해킹된 VPN 어플라이언스를 사용하는 조직의 네트워크에 침투해 랜섬웨어를 드롭하거나 민감한 데이터를 훔치는 등 악성 공격을 실행할 수 있도록 했습니다.

 

해당 크리덴셜은 공격자가 지난 몇 개월 동안 Fortigate 어플라이언스에서 실행되는 Fortinet FortiOS의 CVE-2018-13379 디렉터리 접근 취약점을 악용해 수집한 것으로 추측됩니다.

 

 

<이미지 출처 : https://www.advintel.io/post/groove-vs-babuk-groove-ransom-manifesto-ramp-underground-platform-secret-inner-workings>

 

 

<이미지 출처: https://securityaffairs.co/wordpress/121985/cyber-crime/groove-gang-fortinet-leaks.html>

 

 

Groove의 대변인은 온라인명 'SongBird'를 사용하는 전직 Babuk 랜섬웨어 그룹의 멤버인 것으로 추측됩니다. 또한 그는 랜섬웨어 작업에 중점을 둔 최근 출시된 언더그라운드 서비스인 ‘RAMP’의 관리자이기도 합니다.

 

또한 SongBird는 RAMP 포럼에 Fortinet VPN 계정이 포함된 파일의 링크를 게시했습니다.

 

조직에서 해킹된 Fortinet 어플라이언스를 사용 중인지 확인하기 위해서는 해당 국가의 CERT에 문의할 것을 권장합니다.

 

해당 유출된 데이터를 분석한 위협 인텔리전스 회사인 Advanced Intel의 연구원들은 Fortinet VPN SSL의 지리적 분포도를 공개했습니다. 74개국의 피해 기업 22,500곳 중 2,959곳이 미국 법인으로 나타났습니다.

 

 

<이미지 출처 : https://www.advintel.io/post/groove-vs-babuk-groove-ransom-manifesto-ramp-underground-platform-secret-inner-workings>

 

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/121985/cyber-crime/groove-gang-fortinet-leaks.html

https://www.advintel.io/post/groove-vs-babuk-groove-ransom-manifesto-ramp-underground-platform-secret-inner-workings