„Qilin Ransomware“ operacija neseniai prisijungė prie atakų, išnaudojančių du „Fortinet“ pažeidžiamumus, leidžiančius apeiti autentifikavimą pažeidžiamuose įrenginiuose ir nuotoliniu būdu vykdyti kenksmingą kodą.
„Qilin“ (taip pat stebimas kaip „Phantom Mantis“) pasirodė 2022 m. Rugpjūčio mėn. Kaip „Ransomware-A-A-Service“ (RAAS) operacija „Darbotvarkės“ pavadinimu ir nuo to laiko reikalavo atsakomybės už daugiau nei 310 aukų savo tamsioje žiniatinklio nutekėjimo vietoje.
Jos aukų sąraše taip pat yra aukšto rango organizacijų, tokių kaip automobilių milžinė „Yangfeng“, leidybos milžinės „Lee Enterprises“, Australijos teismo tarnybos „Victoria“ ir patologijos paslaugų teikėjas „Synnovis“. „Synnovis“ incidentas paveikė keletą pagrindinių NHS ligoninių Londone, todėl privertė juos atšaukti šimtus paskyrimų ir operacijų.
Grėsmės žvalgybos bendrovė „Prodaft“, pastebėjusi šias naujas ir iš dalies automatizuotas „Qilin Ransomware“ išpuolius, nukreiptas į keletą „Fortinet“ trūkumų, taip pat atskleidė, kad grėsmės veikėjai šiuo metu daugiausia dėmesio skiria ispaniškai kalbančių šalių organizacijoms, tačiau jie tikisi, kad kampanija išplės visame pasaulyje.
„„ Phantom Mantis “neseniai pradėjo koordinuotą įsibrovimo kampaniją, skirtą kelioms organizacijoms nuo 2025 m. Gegužės iki birželio mėn.
„Mūsų pastebėjimai rodo ypatingą susidomėjimą ispaniškai kalbančiomis šalimis, kaip atsispindi žemiau esančioje lentelėje pateiktuose duomenyse. Tačiau, nepaisant šio regioninio dėmesio, mes vertiname, kad grupė ir toliau renka savo tikslus oportunistiškai, o ne laikosi griežto geografinio ar sektoriaus taikymo modelio.”
Vienas iš trūkumų, piktnaudžiaujamų šioje kampanijoje, stebėta kaip CVE-2024-55591, taip pat buvo išnaudota kaip nulinė diena, kurią kitos grėsmės grupės pažeidė ugniasienes iki 2024 m. Lapkričio mėn.
Antrasis „Fortinet“ pažeidžiamumas, išnaudotas šiuose „Qilin Ransomware“ išpuoliuose (CVE-2024-21762), buvo pataisytas vasario mėn.
Beveik po mėnesio „Shadowserver“ fondas paskelbė, kad nustatė, kad beveik 150 000 prietaisų vis dar yra pažeidžiami CVE-2024-21762 išpuolių.
„Fortinet Security“ pažeidžiamumas dažnai naudojamas (dažnai kaip nulinės dienos) kibernetinio šnipinėjimo kampanijose ir už įmonių tinklų pažeidimą per išpirkos programų išpuolius.
Pavyzdžiui, vasario mėn. „Fortinet“ atskleidė, kad Kinijos Volt Typhoon Hacking Group panaudojo du „Fortios SSL VPN“ trūkumus (CVE-2022-42475 ir CVE-2023-27997), kad būtų galima panaudoti „Coattanger“ pritaikytą nuotolinio prieigos trojaną (žiurkės) kenkėjišką programą, kuri anksčiau buvo naudojama „Coather“ karinės atokios prieigos „Trujan“ (RAT) kenkėjiškoms programoms, kurios anksčiau buvo naudojamos prie „Coather Geefice Geefice“ tinklo.
Rankinis pataisymas yra pasenęs. Tai lėtas, klaidų linkęs ir sunku išplėsti.
Prisijunkite prie „Kandji + Tines“ birželio 4 d., Kad pamatytumėte, kodėl seni metodai trūksta. Žr. Realaus pasaulio pavyzdžius, kaip šiuolaikinės komandos naudoja automatizavimą, kad greičiau pataisytų, sumažintų riziką, išliks suderinami ir praleistų sudėtingus scenarijus.
