La operación de
ransomware Qilin / Agenda se ha unido recientemente a ataques que explotan dos vulnerabilidades de
Fortinet
que permiten eludir la autenticación en dispositivos vulnerables y ejecutar
código malicioso de forma remota.
Las vulnerabilidades de seguridad de Fortinet se explotan con frecuencia como
vulnerabilidades de día cero en campañas de ciberespionaje y para vulnerar las
redes corporativas mediante ataques de ransomware.
Qilin (también conocido como Phantom Mantis) surgió en agosto de 2022 como una
operación de ransomware como servicio (RaaS) bajo el nombre «Agenda» y desde
entonces se ha atribuido la responsabilidad de más de 310 víctimas en su sitio
de filtraciones de la dark web.
Su lista de víctimas también incluye organizaciones de alto perfil, como el
gigante automotriz
Yangfeng, el gigante editorial
Lee Enterprises,
Australia’s Court Services Victoria
, y el servicio de patología
Synnovis. El incidente de Synnovis afectó a varios hospitales importantes del NHS en
Londres, lo que los obligó a cancelar cientos de citas y operaciones.
La empresa de inteligencia de amenazas Prodaft, que detectó estos nuevos
ataques de ransomware Qilin, parcialmente automatizados y dirigidos a varias
vulnerabilidades de Fortinet, también reveló que los actores de amenazas se
están centrando actualmente en organizaciones de países hispanohablantes, pero
prevén que la campaña se expanda a nivel mundial.
«Phantom Mantis lanzó recientemente una campaña de intrusión coordinada
dirigida a múltiples organizaciones entre mayo y junio de 2025. Evaluamos
con un nivel de confianza moderado que el acceso inicial se está logrando
mediante la explotación de varias vulnerabilidades de FortiGate, incluyendo
CVE-2024-21762,
CVE-2024-55591
y otras»,
afirma Prodaft
en una
alerta privada compartida con BleepingComputer.
«Nuestras observaciones indican un interés particular en los países
hispanohablantes, como se refleja en los datos presentados en la tabla a
continuación. Sin embargo, a pesar de este enfoque regional, evaluamos que
el grupo continúa seleccionando sus objetivos de forma oportunista, en lugar
de seguir un patrón de ataque estrictamente geográfico o sectorial».
Una de las vulnerabilidades explotadas en esta campaña, identificada como
CVE-2024-55591, también fue explotada como vulnerabilidad Zero-Day
por otros grupos de amenazas para
vulnerar los firewalls de FortiGate
desde noviembre de 2024. El operador del ransomware Mora_001 también la
utilizó para
implementar la variante de ransomware SuperBlack, vinculada a la infame banda de ciberdelincuentes LockBit, según
investigadores de Forescout.
La segunda vulnerabilidad de Fortinet explotada en estos ataques de ransomware
Qilin (CVE-2024-21762) fue parcheada en febrero. La CISA la añadió a su
catálogo de vulnerabilidades de seguridad explotadas activamente y
ordenó a las agencias federales
que protegieran sus dispositivos FortiOS y FortiProxy antes del 16 de febrero.
Casi un mes después, la Fundación Shadowserver anunció que
había descubierto que casi 150.000 dispositivos
seguían siendo vulnerables a los ataques CVE-2024-21762.
En febrero,
Fortinet reveló
que el
grupo chino Volt Typhoon utilizó dos vulnerabilidades
de VPN SSL de FortiOS (CVE-2022-42475 y CVE-2023-27997) para implementar el
malware troyano de acceso remoto (RAT) personalizado Coathanger, que
previamente se había utilizado para
crear una puerta trasera en una red militar del Ministerio de Defensa
neerlandés.
Fuente:
BC