Pejzaž ransomware napada doživio je drastičan preokret u junu 2025. godine, kada se grupa Qilin ransomware probila na vrh liste najaktivnijih hakerskih grupa, bilježeći 81 žrtvu i time ostvarujući značajan porast aktivnosti od 47,3% u odnosu na prethodne mjesece.
Ova operacija tipa Ransomware-as-a-Service (RaaS), koja je od svog pojavljivanja zabilježila preko 310 žrtava, istakla se sofisticiranim metodologijama napada i strateškim iskorišćavanjem ranjivosti ključne infrastrukture.
Brzi uspon grupe odražava promjenjivu prirodu ransomware prijetnji, gdje se tehničke inovacije i oportunističko ciljanje spajaju kako bi se stvorili bez presedana bezbjednosni izazovi.
Grupa je u svojoj nedavnoj kampanji primarno koristila kritične ranjivosti u bezbjednosnim uređajima kompanije Fortinet, fokusirajući se posebno na CVE-2024-21762 i CVE-2024-55591 u nezaštićenim FortiGate i FortiProxy uređajima.
Te ranjivosti omogućavaju zaobilaženje autentifikacije i izvršavanje udaljenog koda, pružajući hakerima direktne pristupne puteve u korporativne mreže.
Uprkos tome što je CVE-2024-21762 zakrpljen u februaru 2025. godine, desetine hiljada sistema ostaju izložene, što stvara široku površinu za napad koju je Qilin sistematski eksploatisao putem djelimično automatizovanih mehanizama implementacije.
Analitičari kompanije Cyfirma su identifikovali da se kampanja, intenzivno praćena između maja i juna 2025. godine, prvobitno fokusirala na špansko govorna područja, ali se od tada razvila u oportunističko ciljanje koje nadilazi geografske i sektorske granice.
Istraživači su primijetili da se Qilin pristup značajno razlikuje od tradicionalnih ransomware operacija, uključujući korišćenje zero-day eksploata i iskorišćavanje široko rasprostranjenih perimetarskih bezbjednosnih uređaja kao primarnih vektora napada.
Ovaj strateški zaokret pokazuje tehničku zrelost grupe i njenu sposobnost brzog prilagođavanja novootkrivenim ranjivostima u korporativnim okruženjima.
Opseg Qilin operacija se proteže izvan uobičajene implementacije ransomwarea, obuhvatajući sveobuhvatan ekosistem sajber kriminala koji uključuje distribuciju spama, DDoS napade, mogućnosti skladištenja petabajta podataka, pa čak i interne novinare za psihološke kampanje pritiska.
Ovaj višestruki pristup pozicionira Qilin da popuni operativni vakuum koji su ostavile ugašene grupe poput LockBit i BlackCat, privlačeći saradnike i proširujući svoj doseg na globalnim tržištima.
Mehanizam infekcije grupe Qilin predstavlja sofisticirani, višefazni proces koji započinje sistematskim identifikovanjem i iskorišćavanjem ranjivih Fortinet uređaja.
Lanac napada se pokreće kada hakeri provedu izviđanje kako bi identifikovali nezaštićene FortiGate i FortiProxy uređaje izložene internetu.
Nakon otkrivanja ranjivih sistema, grupa koristi mogućnost zaobilaženja autentifikacije putem CVE-2024-21762 kako bi stekla početni pristup bez potrebe za važećim akreditivima.
Proces eksploatacije uključuje slanje specijalno kreiranih zahtjeva ranjivim Fortinet uređajima, omogućavajući izvršavanje udaljenog koda koje uspostavlja uporište unutar ciljne mreže.
Jednom kada uđu, Qilin payload, napisan na programskim jezicima Rust i C, koristi napredne mehanizme postojanosti, uključujući izvršavanje u bezbjednom režimu rada (Safe Mode) i mogućnosti mrežnog širenja.
Modularna arhitektura malvera omogućava automatizovane alate za pregovore i taktike psihološkog pritiska, uključujući nedavno uvedenu funkciju „Pozovi advokata“ koja simulira pravni angažman tokom pregovora o otkupnini, maksimizujući psihološki uticaj na žrtve i istovremeno pojednostavljujući proces iznude.
