Kaspersky Tehdit Araştırması, 2025 yılının başlarında OldGremlin fidye yazılımı kümesi tarafından gerçekleştirilen yeni ataklar tespit etti. Bu akınlar üretim, sıhhat, perakende ve teknoloji şirketlerini gaye alan ve bir örneğinde tek bir kurbandan yaklaşık 17 milyon dolar talep eden bir operasyonun geri dönüşünü işaret ediyor.
Beş yıl evvel tespit edilen OldGremlin siber kümesi, hücumlarını gerçekleştirmek için gelişmiş teknikler, taktikler ve prosedürler kullanıyor. Saldırganlar, kurbanın sisteminde uzun mühlet kalabiliyor ve evrakları şifrelemek için ortalama 49 gün bekliyor. Rusça konuşan küme, 2020’den 2022’ye kadar etkindi ve en son 2024’te görüldü. Evvelki olaylarda, bir örnekte yaklaşık 17 milyon ABD doları üzere büyük fidye taleplerinde bulunmuşlardı.
2025 yılında saldırganlar, taarruz araçlarını güncelleyerek geri döndüler. Kurbanların bilgisayarlarına erişim sağlamak ve datalarını şifrelemek için saldırganlar, kimlik avı e-postaları gönderiyor ve çeşitli berbat gayeli araçlar kullanıyor. Enfekte olmuş aygıtlara uzaktan erişim sağlamak ve bunları denetim etmek için bir art kapıdan faydalanıyor, Windows müdafaasını devre dışı bırakmak ve kendi imzalanmamış berbat emelli şoförlerini çalıştırmak için yasal bir şofördeki bir güvenlik açığını kullanıyorlar. Bu şoför, fidye yazılımını çalıştırmalarına imkan tanıyor. Saldırganlar ayrıyeten makûs hedefli komut belgelerini çalıştırmak için yasal bir Node.js platformu (JavaScript runtime) kullanıyor. Küme ayrıyeten fidye bildirilerinde araştırmacılar tarafından kendilerine daha evvel atanan ve biraz değiştirilmiş bir isim olan OldGremlins’i kullanarak akınlarını “markalaştırmaya” başladı.
Yeni kampanyada makus maksatlı yazılım sadece belgeleri şifrelemekle kalmıyor, tıpkı vakitte saldırganlara mevcut durumu bildiriyor. Son olarak, dördüncü araç olan “closethedoor”, şifreleme süreci sırasında aygıtı ağdan izole ediyor, fidye notlarını bırakıyor ve izleri temizliyor. Böylelikle olayın daha fazla araştırılmasını zorlaştırıyor.
Kaspersky’nin Tehdit Araştırması Uzmanı Yanis Zinchenko, şunları söylüyor: “OldGremlin tarafından gerçekleştirilen yeni bir siber akın dalgası, etkin olmayan kümelerin bile işletmeler için tehdit oluşturabileceğini doğruladı. Saldırganlar, geliştirilmiş araçlarla geri döndüler ve şirketlerin gelecekteki atakları önlemek için saldırganların kullandığı teknik ve taktikleri daima olarak izlemesinin değerini vurguladılar. 2025 yılında, küme faaliyetlerine tekrar başlamanın yanı sıra siber güvenlik uzmanları tarafından verilen ismi da benimsediler.”
Kaspersky eserleri bu fidye yazılımını Trojan-Ransom.Win64.OldGremlin, Backdoor.JS.Agent.og, HEUR:Trojan.JS.Starter.og ve HEUR:Trojan-Ransom.Win64.Generic olarak algılıyor.
Kaspersky, kuruluşların fidye yazılımlarından korunmak için aşağıdaki tedbirleri almasını öneriyor:
- Her büyüklükteki ve daldaki kuruluşlar için EDR ve XDR’nin gerçek vakitli müdafaa, tehdit görünürlüğü, araştırma ve karşılık yeteneklerini sağlayan Kaspersky Next ürün serisindeki tahlilleri kullanın.
- Saldırganların güvenlik açıklarını istismar etmesini ve ağınıza sızmasını önlemek için kullandığınız tüm aygıtlarda yazılımları sürekli yeni tutun.
- Savunma stratejinizi yanal hareketleri ve internete bilgi sızdırılmasını tespit etmeye odaklayın. Siber hatalıların ağınıza bağlanmasını tespit etmek için giden trafiğe bilhassa dikkat edin.
- Saldırganların müdahale edemeyeceği çevrimdışı yedekler hazırlayın. Gerektiğinde yahut acil durumlarda bunlara süratli bir halde erişebileceğinizden emin olun.
- Tehdit aktörleri tarafından kullanılan gerçek Taktikler, Teknikler ve Prosedürler (TTP’ler) hakkında bilgi sahibi olmak için en son Kaspersky Threat Intelligence bilgilerini kullanın.
Kaynak: (BYZHA) Beyaz Haber Ajansı
News
Genel
Genel
Genel
Genel
Genel
Genel
