Pulse Secure VPN: leak per 913 server enterprise

Il file è stato condiviso sulle pagine di un forum russo frequentato da alcune delle bande criminali più attive nel territorio ransomware.
Il file è stato condiviso sulle pagine di un forum russo frequentato da alcune delle bande criminali più attive nel territorio ransomware.

Online un file contenente username, password, indirizzi IP, chiavi SSH, dettagli degli account di amministrazione e dati sulle sessioni utente per un totale pari a 913 server enterprise Pulse Secure VPN. Vengono solitamente impiegati in ambito corporate per connettersi da remoto ai network aziendali effettuando così l’accesso agli strumenti e ai documenti di lavoro.

Leak per oltre 900 server VPN enterprise

È stato pubblicato su un forum in lingua russa che tratta di hacking. A renderlo noto il sito ZDNet che ha verificato l’autenticità delle informazioni insieme ai ricercatori esperti di sicurezza dei team KELA e Bank Security. Stando a quanto emerso da una prima analisi tutti i server presenti nell’elenco eseguivano un firmware esposto alla vulnerabilità CVE-2019-11510 nota fin dallo scorso anno.

Con tutta probabilità l’autore ha effettuato una scansione in Rete alla ricerca dei server provando poi a forzarli sfruttando un exploit noto, ottenendo in alcuni casi accesso ai sistemi e scaricando infine i dati. L’operazione sarebbe stata eseguita in un periodo compreso tra il 24 giugno e l’8 luglio 2020.

Un estratto dal leak

A rendere la situazione ancor più complessa e potenzialmente grave il fatto che la board scelta per condividere il file sia frequentata da alcune delle gang ritenute più attive nell’ambito dei ransomware: da REvil (Sodinokibi) a NetWalker, da Lockbit a Avaddon, fino a Makop ed Exorcist che spesso si rivolgono ai suoi membri per reclutare nuovi talenti o trovare a chi vendere quanto sottratto alle vittime.

Fonte: ZDNet
Link copiato negli appunti

Ti potrebbe interessare

Link copiato negli appunti