Операторы вымогательского ПО Qilin начали активно использовать критические уязвимости в продуктах Fortinet
09/06/25
Новая кампания развивается с мая 2025 года и уже затронула инфраструктуру в испаноязычных странах, хотя по наблюдениям экспертов, злоумышленники не ограничиваются жёсткими рамками.
Впервые Qilin появился на киберпреступной арене в августе 2022 года под брендом Agenda. С тех пор группировка продвигает свою деятельность по модели RaaS — «вымогательство как услуга» — и публикует данные пострадавших компаний на собственном даркнет-портале. По состоянию на 2025 год список скомпрометированных организаций превышает 310 имён и включает заметные бренды и учреждения, пишет Securitylab.
Среди пострадавших — транснациональный автоконцерн Yangfeng, крупное американское издательство Lee Enterprises, судебная система штата Виктория в Австралии и медицинская лаборатория Synnovis. Последний инцидент особенно резонансен: заражение затронуло несколько ведущих больниц NHS в Лондоне и привело к отмене сотен операций и приёма пациентов.
По информации швейцарской компании PRODAFT, Qilin запустили новую серию атак, автоматизировав часть действий и сосредоточившись на эксплуатации слабых мест в решениях Fortinet. В частности, речь идёт о CVE-2024-21762 и CVE-2024-55591 — двух критических дырах в FortiOS и FortiProxy, позволяющих обойти аутентификацию и удалённо выполнять команды с системными привилегиями.
Одной из зацепок стало то, что CVE-2024-55591 уже ранее использовалась в атаках нулевого дня. Так, в ноябре 2024 года через неё был организован взлом FortiGate-файрволов. Впоследствии она стала точкой входа для распространения вредоноса SuperBlack, связанного с группировкой LockBit — тоже одним из наиболее заметных акторов в индустрии. Эту связь подтвердили специалисты компании Forescout.
CVE-2024-21762, в свою очередь, была закрыта Fortinet в феврале текущего года. Американское агентство CISA оперативно включило уязвимость в каталог активно эксплуатируемых и потребовало от всех федеральных ведомств немедленно обновить затронутые устройства до 16 февраля. Несмотря на это, через месяц Фонд Shadowserver обнаружил, что около 150 тысяч устройств по всему миру по-прежнему остаются незащищёнными.
Исследователи предполагают, что особая заинтересованность в испаноязычных регионах может быть связана как с удобством локализации, так и с уязвимыми конфигурациями в целевых сетях.