310 компаний сдались без боя. Дыры в Fortinet открыли Qilin все двери — даже запасные
NewsMakerОдин эксплойт — сотни отменённых операций в Лондоне. И это только начало.
Операторы вымогательского ПО Qilin — также известные под именем Phantom Mantis — начали активно использовать критические уязвимости в продуктах Fortinet, чтобы проникать во внутренние сети организаций и запускать вредоносный код. Новая кампания развивается с мая 2025 года и уже затронула инфраструктуру в испаноязычных странах, хотя по наблюдениям экспертов, выбор жертв остаётся скорее оппортунистическим, чем географически строго очерченным.
Qilin появился на киберпреступной арене в августе 2022 года под брендом Agenda. С тех пор группировка продвигает свою деятельность как RaaS — «вымогательство как услуга» — и публикует данные пострадавших компаний на собственном даркнет-портале. По состоянию на 2025 год список скомпрометированных организаций превышает 310 имён и включает заметные бренды и учреждения.
Среди пострадавших — транснациональный автоконцерн Yangfeng, крупное американское издательство Lee Enterprises, судебная система штата Виктория в Австралии и медицинская лаборатория Synnovis. Последний инцидент особенно резонансен: заражение затронуло несколько ведущих больниц NHS в Лондоне и привело к отмене сотен операций и приёма пациентов.
По информации швейцарской компании PRODAFT, Qilin запустили новую серию атак, автоматизировав часть действий и сосредоточившись на эксплуатации слабых мест в решениях Fortinet. В частности, речь идёт о CVE-2024-21762 и CVE-2024-55591 — двух критических дырах в FortiOS и FortiProxy, позволяющих обойти аутентификацию и удалённо выполнять команды с системными привилегиями.
Одной из зацепок стало то, что CVE-2024-55591 уже ранее использовалась в атаках нулевого дня. Так, в ноябре 2024 года через неё был организован взлом FortiGate-файрволов. Впоследствии она стала точкой входа для распространения вредоноса SuperBlack, связанного с группировкой LockBit — одним из наиболее заметных акторов на рынке киберпреступности. Эту связь подтвердили специалисты компании Forescout.
CVE-2024-21762, в свою очередь, была закрыта Fortinet в феврале текущего года. Американское агентство CISA оперативно включило уязвимость в каталог активно эксплуатируемых и потребовало от всех федеральных ведомств немедленно обновить затронутые устройства до 16 февраля. Несмотря на это, через месяц Фонд Shadowserver обнаружил, что около 150 тысяч устройств по всему миру по-прежнему остаются незащищёнными.
PRODAFT подчёркивает, что Qilin не ограничивается какой-либо конкретной отраслью или страной, хотя в данный момент наиболее активно атакуются организации из испаноязычного региона. Исследователи предполагают, что это может быть связано как с удобством локализации, так и с уязвимыми конфигурациями в целевых сетях.
Именно Fortinet в последние годы стал одной из самых уязвимых точек в корпоративной ИТ-инфраструктуре. Продукты компании часто используются для построения внешнего периметра — и при этом регулярно становятся целью кибершпионских кампаний. Причём довольно часто речь идёт об атаках с использованием ранее неизвестных (0-day) уязвимостей, что особенно опасно.
Так, в феврале Fortinet официально признала, что китайская хак-группа Volt Typhoon использовала две другие уязвимости в FortiOS SSL VPN — CVE-2022-42475 и CVE-2023-27997 — для доставки собственного удалённого трояна Coathanger. Этот малварь позднее был обнаружен в сети Министерства обороны Нидерландов, где работал как бэкдор и обеспечивал устойчивый несанкционированный доступ.
Сложность заключается в том, что уязвимости Fortinet позволяют не просто проникнуть внутрь сети, но и обойти все стандартные механизмы авторизации, замаскировавшись под легитимного пользователя. Это создаёт идеальные условия для запуска шифровальщиков, особенно если атака происходит в выходные дни или ночью, когда контроль со стороны SOC минимален.
Новая активность Qilin демонстрирует усиление интеграции между различными группировками и растущую зрелость их подходов. Использование ранее эксплуатированных 0-day, автоматизация начальных этапов проникновения и фокус на быстрое развертывание вредоносного ПО говорит о высокой степени профессионализма.
Пока неясно, будет ли кампания по Fortinet-уязвимостям продолжаться в других странах, но PRODAFT предупреждает: если уязвимые устройства не будут закрыты в ближайшее время, география атак может резко расшириться. Организациям рекомендуется немедленно установить обновления, а также проверить журналы активности на предмет подозрительных попыток доступа, особенно в обход аутентификации.
Для тех, кто всё ещё недооценивает риск: сегодня группировки вроде Qilin — это не любители, а слаженные, техничные и очень мотивированные акторы. Их атаки — это не случайность, а хладнокровный расчёт, опирающийся на системные дыры и халатность при их устранении.
Операторы вымогательского ПО Qilin — также известные под именем Phantom Mantis — начали активно использовать критические уязвимости в продуктах Fortinet, чтобы проникать во внутренние сети организаций и запускать вредоносный код. Новая кампания развивается с мая 2025 года и уже затронула инфраструктуру в испаноязычных странах, хотя по наблюдениям экспертов, выбор жертв остаётся скорее оппортунистическим, чем географически строго очерченным.
Qilin появился на киберпреступной арене в августе 2022 года под брендом Agenda. С тех пор группировка продвигает свою деятельность как RaaS — «вымогательство как услуга» — и публикует данные пострадавших компаний на собственном даркнет-портале. По состоянию на 2025 год список скомпрометированных организаций превышает 310 имён и включает заметные бренды и учреждения.
Среди пострадавших — транснациональный автоконцерн Yangfeng, крупное американское издательство Lee Enterprises, судебная система штата Виктория в Австралии и медицинская лаборатория Synnovis. Последний инцидент особенно резонансен: заражение затронуло несколько ведущих больниц NHS в Лондоне и привело к отмене сотен операций и приёма пациентов.
По информации швейцарской компании PRODAFT, Qilin запустили новую серию атак, автоматизировав часть действий и сосредоточившись на эксплуатации слабых мест в решениях Fortinet. В частности, речь идёт о CVE-2024-21762 и CVE-2024-55591 — двух критических дырах в FortiOS и FortiProxy, позволяющих обойти аутентификацию и удалённо выполнять команды с системными привилегиями.
Одной из зацепок стало то, что CVE-2024-55591 уже ранее использовалась в атаках нулевого дня. Так, в ноябре 2024 года через неё был организован взлом FortiGate-файрволов. Впоследствии она стала точкой входа для распространения вредоноса SuperBlack, связанного с группировкой LockBit — одним из наиболее заметных акторов на рынке киберпреступности. Эту связь подтвердили специалисты компании Forescout.
CVE-2024-21762, в свою очередь, была закрыта Fortinet в феврале текущего года. Американское агентство CISA оперативно включило уязвимость в каталог активно эксплуатируемых и потребовало от всех федеральных ведомств немедленно обновить затронутые устройства до 16 февраля. Несмотря на это, через месяц Фонд Shadowserver обнаружил, что около 150 тысяч устройств по всему миру по-прежнему остаются незащищёнными.
PRODAFT подчёркивает, что Qilin не ограничивается какой-либо конкретной отраслью или страной, хотя в данный момент наиболее активно атакуются организации из испаноязычного региона. Исследователи предполагают, что это может быть связано как с удобством локализации, так и с уязвимыми конфигурациями в целевых сетях.
Именно Fortinet в последние годы стал одной из самых уязвимых точек в корпоративной ИТ-инфраструктуре. Продукты компании часто используются для построения внешнего периметра — и при этом регулярно становятся целью кибершпионских кампаний. Причём довольно часто речь идёт об атаках с использованием ранее неизвестных (0-day) уязвимостей, что особенно опасно.
Так, в феврале Fortinet официально признала, что китайская хак-группа Volt Typhoon использовала две другие уязвимости в FortiOS SSL VPN — CVE-2022-42475 и CVE-2023-27997 — для доставки собственного удалённого трояна Coathanger. Этот малварь позднее был обнаружен в сети Министерства обороны Нидерландов, где работал как бэкдор и обеспечивал устойчивый несанкционированный доступ.
Сложность заключается в том, что уязвимости Fortinet позволяют не просто проникнуть внутрь сети, но и обойти все стандартные механизмы авторизации, замаскировавшись под легитимного пользователя. Это создаёт идеальные условия для запуска шифровальщиков, особенно если атака происходит в выходные дни или ночью, когда контроль со стороны SOC минимален.
Новая активность Qilin демонстрирует усиление интеграции между различными группировками и растущую зрелость их подходов. Использование ранее эксплуатированных 0-day, автоматизация начальных этапов проникновения и фокус на быстрое развертывание вредоносного ПО говорит о высокой степени профессионализма.
Пока неясно, будет ли кампания по Fortinet-уязвимостям продолжаться в других странах, но PRODAFT предупреждает: если уязвимые устройства не будут закрыты в ближайшее время, география атак может резко расшириться. Организациям рекомендуется немедленно установить обновления, а также проверить журналы активности на предмет подозрительных попыток доступа, особенно в обход аутентификации.
Для тех, кто всё ещё недооценивает риск: сегодня группировки вроде Qilin — это не любители, а слаженные, техничные и очень мотивированные акторы. Их атаки — это не случайность, а хладнокровный расчёт, опирающийся на системные дыры и халатность при их устранении.