Qilin ransomware: campagna sistematica contro PMI italiane via Ivanti e Fortinet, payload Rust su ESXi
Il CSIRT Italia ha documentato nel bollettino BL01/260528 una campagna attiva e sistematica del gruppo Qilin, operativo dal 2022 secondo un modello Ransomware-as-a-Service (RaaS), che dall'inizio del 2026 ha colpito un numero significativo di PMI italiane, inclusi fornitori di servizi cloud. Il gruppo ha evoluto il proprio toolset da Go a Rust, acquisendo maggiore robustezza e resistenza alle soluzioni di rilevamento.
I vettori di accesso iniziale documentati sono due: lo sfruttamento di vulnerabilità note su dispositivi perimetrali esposti, in particolare Ivanti EPMM (CVE-2026-1281 e CVE-2026-1340, entrambe CVSS 9.8, Code Injection) e Fortinet FortiOS/FortiProxy (CVE-2024-21762, CVSS 9.8, RCE su SSL-VPN; CVE-2024-55591, CVSS 9.8, Authentication Bypass), e attacchi di brute force su SSL VPN sprovvisti di MFA, oppure tramite Initial Access Broker. Come confermato anche da PRODAFT e Fortinet FortiGuard Labs, lo sfruttamento delle flaw Fortinet è documentato da mesi in campagne globali.
Ottenuto l'accesso, Qilin punta sistematicamente agli ambienti VMware ESXi, cifrando i datastore vSphere e sfruttando CVE-2023-27532 (Veeam Backup & Replication) per estrarre credenziali e disabilitare i backup prima dell'esecuzione del ransomware. L'evasione forense è condotta tramite strumenti di accesso remoto legittimi (Atera, ScreenConnect, Splashtop) e cancellazione attiva dei log. I tool di esfiltrazione osservati sono Rclone, WinSCP e FileZilla.
Secondo AtWork Studio, le cinque misure prioritarie raccomandate dall'ACN sono: patching immediato degli appliance perimetrali, MFA obbligatorio su ogni accesso remoto, segmentazione di rete con VLAN dedicate, EDR su tutti gli endpoint, e backup offline immutabili con credenziali isolate.
Prodotti coinvolti nelle catene di attacco:
Ivanti EPMM, FortiOS/FortiProxy, VMware ESXi, Veeam Backup & Replication.Azione raccomandata: aggiornare immediatamente tutti gli appliance Ivanti e Fortinet esposti; isolare i sistemi ESXi; verificare l'integrità dell'infrastruttura di backup e ruotare le credenziali di gestione.
Fonti: ACN, Qualys, Security Week