Esposizione Massiva di Credenziali Aziendali Compromesse
09/08/2021
Proto: N020921.
Con la presente CERT-Yoroi desidera informarla riguardo alla recente pubblicazione di credenziali aziendali all'interno del circuito criminale Groove (TH-306). Groove è un gruppo cyber criminale specializzato in attacchi ransomware a doppia estorsione (double extortion) comparso nello scenario underground ad Agosto 2021.
Recentemente, il gruppo ha rilasciato una serie di dati relativi a credenziali aziendali potenzialmente utilizzabili per l'autenticazione a servizi SSL VPN esposti ad internet. Potenzialmente, le credenziali esposte potrebbero essere utilizzabili anche per ottenere accesso a servizi aziendali con autenticazioni basate su Active Directory come servizi di posta Exchange, servizi documentali Sharepoint, ed in generale applicazioni e servizi terzi che utilizzano autenticazioni di dominio.
Figura. Pubblicazione credenziali in portali ransomware Groove
In base ai rilievi, le credenziali sono state plausibilmente prelevate dagli attaccanti nel corso degli ultimi mesi attraverso lo sfruttamento della falla CVE-2018-13379 degli appliance Fortigate (rif. EW N021019). Parte delle credenziali sono potenzialmente riconducibili a oltre 1100 organizzazioni italiane.
Il rilascio di questo volume di credenziali negli ambienti cyber criminali affiliati a gruppi ransomware a doppia estorsione rappresenta un incremento sensibile del rischio frode e del rischio estorsione per le aziende coinvolte, pertanto CERT-Yoroi consiglia caldamente di appurare lo stato di aggiornamento dei propri appliance Fortigate, appurare l'abilitazione di autenticazioni a doppio fattore su servizi esposti e VPN, effettuare il reset delle credenziali di dominio e richiedere supporto investigativo specialistico in caso anomalie di rete e potenziali intrusioni di rete.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
