Fidye yazılımı manzarası, Qilin fidye yazılımı grubu en aktif tehdit oyuncusu haline gelerek 81 kurban kaydetti ve önceki aylara kıyasla faaliyette% 47,3’lük şaşırtıcı bir artışı temsil etti.
Ortaya çıkmasından bu yana 310’dan fazla kurban biriktiren bu fidye yazılımı operasyonu, sofistike saldırı metodolojileri ve kritik altyapı güvenlik açıklarının stratejik sömürüsü yoluyla kendini ayırt etmiştir.
Grubun hızlı yükselişi, teknik yenilik ve fırsatçı hedeflemenin benzeri görülmemiş siber güvenlik zorlukları yaratmak için birleştiği fidye yazılımı tehditlerinin gelişen doğasını yansıtır.
Grubun son kampanyası, Fortinet’in kurumsal güvenlik cihazlarındaki kritik güvenlik açıklarından yararlandı ve özellikle Fortigate ve Fortiproxy Cihazlarında CVE-2024-21762 ve CVE-2024-55591’i hedef aldı.
Bu güvenlik açıkları, kimlik doğrulama baypas ve uzaktan kod yürütme özelliklerini sağlar ve tehdit aktörlerine kurumsal ağlara doğrudan yollar sağlar.
CVE-2024-21762’nin Şubat 2025’te yamalanmasına rağmen, on binlerce sistem açıkta kalıyor ve Qilin’in kısmen otomatik dağıtım mekanizmaları yoluyla sistematik olarak sömürdüğü geniş bir saldırı yüzeyi yaratıyor.
Cyfirma analistleri, Mayıs ve Haziran 2025 arasında yoğun bir şekilde gözlemlenen kampanyanın başlangıçta İspanyolca konuşulan bölgelere odaklandığını, ancak o zamandan beri coğrafi ve sektörel sınırları aşan fırsatçı hedeflemeye dönüştüğünü belirledi.
.webp)
Araştırmacılar, Qilin’in yaklaşımının geleneksel fidye yazılımı operasyonlarından önemli ölçüde farklı olduğunu, sıfır gün istismarlarını dahil ettiğini ve birincil saldırı vektörleri olarak yaygın olarak dağıtılan çevre güvenlik cihazlarından yararlanmayı belirtti.
Bu stratejik pivot, grubun teknik olgunluğunu ve kurumsal ortamlarda ortaya çıkan güvenlik açıklarına hızlı bir şekilde uyum sağlama yeteneğini göstermektedir.
Qilin’in operasyonlarının kapsamı, spam dağılımı, DDOS saldırıları, petabyte ölçekli veri depolama yetenekleri ve hatta psikolojik basınç kampanyaları için şirket içi gazetecileri içeren kapsamlı bir siber suç ekosistemini kapsayan geleneksel fidye yazılımı dağıtımının ötesine uzanır.
.webp)
Bu çok yönlü yaklaşım, Qilin’i Lockbit ve Blackcat gibi geçersiz grupların bıraktığı operasyonel boşluğu doldurmak, bağlı kuruluşları cezbetmek ve küresel pazarlara erişimini genişletmek için konumlandırır.
Enfeksiyon mekanizması ve sömürü zinciri
Qilin enfeksiyon mekanizması, savunmasız Fortinet aletlerinin sistematik olarak tanımlanması ve sömürülmesi ile başlayan sofistike bir çok aşamalı süreci temsil eder.
Saldırı zinciri, tehdit aktörleri internete maruz kalan fortigate ve fortiproxy cihazları tanımlamak için keşif yaptığında başlatılır.
Savunmasız sistemleri keşfettikten sonra, grup CVE-2024-21762’nin geçerli kimlik bilgileri gerektirmeden başlangıç erişimini elde etmek için kimlik doğrulama bypass yeteneğini kullanır.
Sömürü süreci, savunmasız Fortinet cihazlarına özel olarak hazırlanmış isteklerin gönderilmesini ve hedef ağ içinde bir dayanak oluşturan uzaktan kod yürütmeyi etkinleştirmeyi içerir.
İçeri girdikten sonra, Pust ve C programlama dilleri ile yazılmış Qilin’in yükü, güvenli mod yürütme ve ağ yayılma yetenekleri dahil olmak üzere gelişmiş kalıcılık mekanizmalarını kullanır.
Kötü amaçlı yazılımın modüler mimarisi, fidye müzakereleri sırasında yasal katılımı simüle eden ve gasp sürecini düzene sokarken kurbanlar üzerindeki psikolojik etkiyi en üst düzeye çıkaran yakın zamanda tanıtılan “çağrı avukatı” özelliği de dahil olmak üzere otomatik müzakere araçlarına ve psikolojik baskı taktiklerine izin verir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi