Qilin主导利用未修复的Fortinet漏洞进行攻击

Qilin组织通过积极利用Fortinet设备中的关键漏洞迅速崭露头角，突显了针对数据依赖行业的复杂网络勒索策略的广泛趋势。全球勒索软件受害者数量降至463起，较5月的545起下降了15%，但攻击强度仍然很高，Qilin通过利用未修复的FortiGate和FortiProxy系统进行机会性入侵，声称已攻击81名受害者。

具体来说，Qilin武器化了CVE-2024-21762和CVE-2024-55591，用于身份验证绕过和远程代码执行，实现了部分自动化的有效载荷部署。这个自出现以来已攻击超过310名受害者的勒索软件即服务（RaaS）操作，已将零日漏洞利用纳入其武器库，专注于边界设备以 compromise 西班牙语地区及其他地区的企业。

该组织的演变包括通过其附属面板中的“Call Lawyer”功能进行心理胁迫，模拟法律威胁以加速赎金支付，同时还具备Rust和C-based有效载荷、安全模式执行和网络传播等高级功能。

引入隐秘和破坏性战术

新进入者如Fog和Anubis正在通过模块化工具包和增强的破坏性重塑勒索软件方法。Fog采用以隐秘为导向的方法，利用合法工具如Syteca进行击键记录和监视，通过Stowaway代理交付，同时利用Impacket的SMBExec进行横向移动和GC2通过Google Sheets或SharePoint进行命令和控制。数据外泄依赖于7-Zip、MegaSync和FreeFileSync，通过将开源实用程序与Veeam和SonicWall漏洞中的利用混合，以规避端点检测和响应（EDR）系统。

与此同时，自2024年12月以来的RaaS变种Anubis添加了一个由/WIPEMODE参数激活的文件擦除模块，该模块擦除数据内容但保留文件结构，使恢复不可能并增加勒索压力。根据Cyfirma报告，这种ECIES加密的恶意软件终止进程、删除卷影副本并排除系统目录以保持主机可用性，标志着向不可逆损害转变以迫使快速让步。

基于Chaos框架构建的Warlock等新兴团体具有随机扩展和比特币需求，以及kawa4096（KaWaLocker）具有快速多文件加密功能，进一步多样化威胁生态系统，分别声称攻击了19名和9名受害者，通常通过RDP暴力破解或钓鱼向量。

全球分布

勒索软件行为者优先针对停机容忍度最低的行业，包括专业商品与服务（60名受害者）、医疗保健（52名）和信息技术（50名），利用敏感数据和供应链复杂性以获得最大杠杆。美国承受了最多攻击，有235起事件，其次是加拿大和英国各24起， driven by 经济富裕和赎金支付潜力。

值得注意的违规行为包括Qilin对Lee Enterprises的攻击，外泄了350 GB的个人身份信息（PII），如社会安全号码和财务记录，以及Interlock从Kettering Health窃取941 GB数据，通过自定义RAT如NodeSnake disrupt 电子健康记录。前Black Basta附属机构转向Microsoft Teams钓鱼和基于Python的RAT进行凭据盗窃和通过云平台进行C2。

应对措施

为应对这些威胁，组织应采取主动措施：实施严格的补丁管理以处理Fortinet和SimpleHelp RMM（CVE-2024-57726等）中的漏洞，强制执行网络分段以遏制横向移动，并在特权账户上启用多因素身份验证（MFA）。对员工培训、事件响应计划和网络保险的战略投资，结合定期安全审计，对于减轻平均20万美元的恢复成本并防止影响31%受害者的运营停止至关重要，确保对这个成熟的勒索软件生态系统的韧性。

保持更新每日网络安全新闻。关注我们的Google News、LinkedIn和X。