A operação de ransomware Qilin entrou recentemente nos ataques explorando duas vulnerabilidades da Fortinet que permitem a violação de autenticação em dispositivos vulneráveis e a execução de código malicioso remotamente.
Qilin (também conhecido como Phantom Mantis) surgiu em agosto de 2022 como uma operação de Ransomware-as-a-Service (RaaS) sob o nome "Agenda" e, desde então, reivindicou responsabilidade por mais de 310 vítimas em seu site de vazamento na dark web.
A lista de vítimas também inclui organizações de alto perfil, como a gigante automotiva Yangfeng, a gigante de publicações Lee Enterprises, o Court Services Victoria da Austrália e o provedor de serviços de patologia Synnovis.
O incidente Synnovis impactou vários hospitais importantes do NHS em Londres, o que os obrigou a cancelar centenas de consultas e operações.
A empresa de inteligência de ameaças PRODAFT, que identificou esses novos ataques de ransomware Qilin parcialmente automatizados, visando várias falhas da Fortinet, também revelou que os atores da ameaça estão atualmente focando em organizações de países de língua espanhola, mas esperam que a campanha se expanda mundialmente.
"Phantom Mantis lançou recentemente uma campanha de intrusão coordenada visando múltiplas organizações entre maio e junho de 2025.
Avaliamos com moderada confiança que os acessos iniciais estão sendo alcançados explorando várias vulnerabilidades do FortiGate, incluindo
CVE-2024-21762
,
CVE-2024-55591
, entre outros," diz PRODAFT em um alerta flash privado compartilhado com a imprensa.
Uma das falhas exploradas nesta campanha, rastreada como
CVE-2024-55591
, também foi explorada como zero-day por outros grupos de ameaça para violar os firewalls FortiGate já em novembro de 2024.
O operador de ransomware Mora_001 também a utilizou para implantar a cepa de ransomware SuperBlack, ligada ao infame gangue de cibercrime LockBit por pesquisadores da Forescout.
A segunda vulnerabilidade da Fortinet explorada nos ataques de ransomware Qilin (
CVE-2024-21762
) foi corrigida em fevereiro, com a CISA adicionando-a ao seu catálogo de falhas de segurança ativamente exploradas e ordenando que as agências federais protegessem seus dispositivos FortiOS e FortiProxy até 16 de fevereiro.
Quase um mês depois, a Fundação Shadowserver anunciou que havia descoberto que quase 150.000 dispositivos ainda estavam vulneráveis a ataques
CVE-2024-21762
.
Vulnerabilidades de segurança da Fortinet são frequentemente exploradas (frequentemente como zero days) em campanhas de espionagem cibernética e para violar redes corporativas em ataques de ransomware.
Por exemplo, em fevereiro, a Fortinet divulgou que o grupo de hacking chinês Volt Typhoon usou duas falhas da FortiOS SSL VPN (
CVE-2022-42475
e
CVE-2023-27997
) para implantar o malware Coathanger, um trojan de acesso remoto (RAT) personalizado, que havia sido usado previamente para backdoor em uma rede militar do Ministério da Defesa Holandês.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...