Alerta de Seguridad: Ransomware Qilin explota vulnerabilidades críticas en dispositivos Fortinet

InfraestructuraRedesFortigate

Published:

Reading time: 2 min.

El grupo de ransomware Qilin (también conocido como Agenda/Phantom Mantis) está explotando activamente vulnerabilidades en dispositivos Fortinet para comprometer redes corporativas, con un enfoque particular en organizaciones de habla hispana. Según la firma de inteligencia de amenazas Prodaft, los ataques se han intensificado entre mayo y junio de 2025.

🔴 Vulnerabilidades explotadas

  1. CVE-2024-55591 (Zero-Day desde noviembre 2024):

    • Permite bypass de autenticación y ejecución remota de código (RCE) en firewalls FortiGate.

    • Previamente usada por el ransomware SuperBlack (vinculado a LockBit).

  2. CVE-2024-21762 (parcheada en febrero 2024):

    • Vulnerabilidad crítica en FortiOS y FortiProxy.

    • Añadida al catálogo de vulnerabilidades explotadas activamente por CISA.

    • 150,000 dispositivos aún vulnerables (según Shadowserver).

  3. Otras vulnerabilidades de VPN SSL (CVE-2022-42475 y CVE-2023-27997):

    • Usadas anteriormente por el grupo chino Volt Typhoon para desplegar el RAT Coathanger.

Impacto y víctimas destacadas

  • Más de 310 organizaciones comprometidas desde 2022.

  • Sectores afectados: Automotriz, editorial, salud y servicios gubernamentales.

  • Casos recientes:

    • Synnovis (servicios de patología): Ataque que obligó a cancelar operaciones en hospitales del NHS (Londres).

    • Yangfeng (gigante automotriz).

    • Lee Enterprises (editorial).

Modus Operandi

  1. Acceso inicial: Explotación de vulnerabilidades en FortiGate.

  2. Movimiento lateral: Uso de herramientas nativas (como PowerShell) para expandirse en la red.

  3. Exfiltración de datos: Robo de información sensible antes del cifrado.

  4. Extorsión: Publicación de datos en su sitio de filtraciones en la dark web si no se paga el rescate.

Recomendaciones de mitigación

Para equipos Fortinet

  1. Aplicar parches urgentemente:

    • Actualizar a las versiones más recientes de FortiOS y FortiProxy.

    • Verificar dispositivos no parcheados con el Fortinet Security Fabric.

  2. Configuraciones críticas:

    • Deshabilitar SSL-VPN si no es esencial.

    • Implementar autenticación multifactor (MFA) en todos los accesos.

    • Restringir el acceso administrativo a direcciones IP confiables.

Medidas generales

  • Segmentación de red: Aislar sistemas críticos.

  • Monitoreo continuo: Buscar actividades sospechosas en logs de FortiGate (intentos de autenticación fallidos, conexiones inusuales).

  • Backups offline: Mantener copias de respaldo no conectadas a la red principal.

Perspectiva futura

  • Expansión geográfica: Prodaft advierte que los ataques podrían escalar a nivel global.

  • Enfoque sectorial: Aunque actualmente es oportunista, el grupo podría dirigirse a sectores específicos (salud, energía).

«Los ataques son parcialmente automatizados, lo que permite a Qilin escalar rápidamente su operación» — Prodaft.

Recursos adicionales

- Advertisement -
Jorge
Jorgehttps://nksistemas.com
Soy Jorge, Sr Sysadmin Linux/DevOps/SRE y creador de NKSistemas.com Trabajo con plataformas: Linux, Windows, AWS, GCP, VMware, Helm, kubernetes, Docker, etc.

Related articles

LO MAS VISTO DEL MES

BIENVENIDO A NKSISTEMAS, TU WEB DE TECNOLOGIA

Un lugar donde encontrarás mucha información de Linux, Docker, Kubernetes, AWS, , Windows,Fortigate, VMware, Citrix, Redes, CCNA, Seguridad y hacking, y todo lo relativo al mundo informático por medio de cursos, tutoriales y videos. Mi nombre es Jorge, soy Sr sysadmin/DevOps/SRE, compartiendo conocimientos desde Buenos Aires, Argentina.

© NKSISTEMAS 2010