Fallas críticas de Fortinet ahora explotadas en los ataques de ransomware Qilin

 Qilin

La operación de ransomware Qilin se ha unido recientemente a los ataques que explotan dos vulnerabilidades de Fortinet que permiten eludir la autenticación en dispositivos vulnerables y ejecutar código malicioso de forma remota.

Qilin (también rastreado como Phantom Mantis) surgió en agosto de 2022 como una operación de ransomware como servicio (RaaS) bajo el nombre de "Agenda" y desde entonces se ha atribuido la responsabilidad de más de 310 víctimas en su sitio de fugas de la web oscura.

Su lista de víctimas también incluye organizaciones de alto perfil, como el gigante automotriz Yangfeng, el gigante editorial Lee Enterprises, la australiana Court Services Victoria y el proveedor de servicios de patología Synnovis. El incidente de Synnovis afectó a varios de los principales hospitales del NHS en Londres, que les obligó a cancelar cientos de citas y operaciones.leer más

La empresa de inteligencia de amenazas PRODAFT, que detectó estos nuevos ataques de ransomware Qilin parcialmente automatizados dirigidos a varias fallas de Fortinet, también reveló que los actores de amenazas se están enfocando actualmente en organizaciones de países de habla hispana, pero esperan que la campaña se expanda a todo el mundo.

"Phantom Mantis lanzó recientemente una campaña de intrusión coordinada dirigida a múltiples organizaciones entre mayo y junio de 2025. Evaluamos con una confianza moderada que el acceso inicial se está logrando explotando varias vulnerabilidades de FortiGate, incluidas CVE-2024-21762, CVE-2024-55591 y otras", dice PRODAFT en una alerta flash privada compartida con BleepingComputer.

"Nuestras observaciones indican un interés particular en los países de habla hispana, como se refleja en los datos presentados en la tabla a continuación. Sin embargo, a pesar de este enfoque regional, evaluamos que el grupo continúa seleccionando sus objetivos de manera oportunista, en lugar de seguir un patrón estricto de orientación geográfica o sectorial".

Ataques de ransomware PRODAFT Fortinet Qilin 

Una de las fallas abusadas en esta campaña, rastreada como CVE-2024-55591, también fue explotada como día cero por otros grupos de amenazas para violar los firewalls de FortiGate ya en noviembre de 2024. El operador de ransomware Mora_001 también lo ha utilizado para desplegar la cepa de ransomware SuperBlack vinculada a la infame banda de ciberdelincuencia LockBit por los investigadores de Forescout.

La segunda vulnerabilidad de Fortinet explotada en estos ataques de ransomware Qilin (CVE-2024-21762) fue parcheada en febrero, y CISA la agregó a su catálogo de fallas de seguridad explotadas activamente y ordenó a las agencias federales que aseguraran sus dispositivos FortiOS y FortiProxy antes del 16 de febrero.

Casi un mes después, la Fundación Shadowserver anunció que había descubierto que casi 150.000 dispositivos seguían siendo vulnerables a los ataques CVE-2024-21762.

Las vulnerabilidades de seguridad de Fortinet a menudo se explotan (con frecuencia como días cero) en campañas de ciberespionaje y para violar redes corporativas en ataques de ransomware.

Por ejemplo, en febrero, Fortinet reveló que el grupo de hackers chino Volt Typhoon utilizó dos fallos de FortiOS SSL VPN (CVE-2022-42475 y CVE-2023-27997) para desplegar el malware troyano de acceso remoto personalizado (RAT) Coathanger, que se había utilizado anteriormente para abrir una puerta trasera a una red militar del Ministerio de Defensa holandés.

Fuente: BC 

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Imagen
En 2017 se registró un pico histórico de vulnerabilidades en Android, 2018 fue el año de los criptomineros móviles y el primer semestre de 2019 trajo graves vulnerabilidades en librerías y aplicaciones que posibilitaban la instalación de malware en teléfonos inteligentes. En esta publicación te acercamos la actualidad del estado de la seguridad móvil, repasando las novedades que acaecieron en la segunda mitad de 2019 y resumiendo las estadísticas finales de lo que dejó el año que se acaba de ir. 2019 y la seguridad en Android Es indudable que Android es el sistema operativo móvil más utilizado en el mundo , concentrando actualmente el  76%  del mercado. Aún hoy, la fragmentación debido a las diversas versiones activas del sistema continúa vigente: el  90%  de los dispositivos con Android usan versiones anteriores a Pie, mientras que el 61% no corre ni siquiera Oreo. Esta mayor cantidad de usuarios –o potenciales víctimas– y la variedad del ecosistema es, en ...
Leer más

Nueva advertencia crítica de Microsoft Windows mientras se producen 3 ataques de día cero

Imagen
  Actualización, 16 de enero de 2025: Esta historia, publicada originalmente el 15 de enero, ahora incluye una declaración de Microsoft sobre los exploits de día cero de Windows. Como si los usuarios de Windows no tuvieran suficiente de qué preocuparse cuando se trata de problemas de seguridad, desde el próximo fin del   soporte de seguridad para Windows 10   hasta un aumento en los   ciberataques rusos , ahora Microsoft ha confirmado que se están utilizando tres nuevos exploits de día cero en los ciberataques en curso. Esto es lo que necesitas saber. Todos los usuarios de Windows alertados de tres ataques de día cero que ya están en marcha Microsoft ha publicado el último resumen de parches de seguridad de Patch Tuesday, y este mes, es una maravilla:   159 vulnerabilidades,   12 de las cuales son críticas e incluyen no menos de ocho días cero; tres de los cuales ya se sabe que están bajo explotación activa según Microsoft. "Este es definitivamente uno de e...
Leer más

Vulnerabilidad de 0 días SMB del kernel de Linux descubierta con ChatGPT

Imagen
Se descubrió una vulnerabilidad de día cero en el kernel de Linux, utilizando el modelo o3 de OpenAI. Este hallazgo, asignado a CVE-2025-37899, marca un avance significativo en la investigación de vulnerabilidades asistidas por IA. La vulnerabilidad, confirmada oficialmente el 20 de mayo de 2025, afecta al componente ksmbd del kernel de Linux, un servidor en el kernel que implementa el protocolo SMB3 para compartir archivos a través de redes.  En concreto, se identificó una   vulnerabilidad use-after-free   en el controlador del comando 'logoff' de SMB que podría dar lugar a graves violaciones de seguridad. "Encontré la vulnerabilidad con nada más complicado que la API de o3: sin andamios, sin marcos agenticos, sin uso de herramientas", dijo Sean, quien descubrió la falla. "Esta es, hasta donde yo sé, la primera discusión pública de una vulnerabilidad de esa naturaleza encontrada por un gran modelo de lenguaje", dijo Sean. Los detalles técnicos revelan que c...
Leer más