Kaspersky Tehdit Araştırması, 2025 yılının başlarında OldGremlin fidye yazılımı kümesi tarafından gerçekleştirilen yeni taarruzlar tespit etti. Bu hücumlar üretim, sıhhat, perakende ve teknoloji şirketlerini gaye alan ve bir örneğinde tek bir kurbandan yaklaşık 17 milyon dolar talep eden bir operasyonun geri dönüşünü işaret ediyor.
Beş yıl evvel tespit edilen OldGremlin siber kümesi, ataklarını gerçekleştirmek için gelişmiş teknikler, taktikler ve prosedürler kullanıyor. Saldırganlar, kurbanın sisteminde uzun müddet kalabiliyor ve evrakları şifrelemek için ortalama 49 gün bekliyor. Rusça konuşan küme, 2020’den 2022’ye kadar etkindi ve en son 2024’te görüldü. Evvelki olaylarda, bir örnekte yaklaşık 17 milyon ABD doları üzere büyük fidye taleplerinde bulunmuşlardı.
2025 yılında saldırganlar, akın araçlarını güncelleyerek geri döndüler. Kurbanların bilgisayarlarına erişim sağlamak ve bilgilerini şifrelemek için saldırganlar, kimlik avı e-postaları gönderiyor ve çeşitli berbat emelli araçlar kullanıyor. Enfekte olmuş aygıtlara uzaktan erişim sağlamak ve bunları denetim etmek için bir art kapıdan faydalanıyor, Windows muhafazasını devre dışı bırakmak ve kendi imzalanmamış makûs emelli şoförlerini çalıştırmak için yasal bir şofördeki bir güvenlik açığını kullanıyorlar. Bu şoför, fidye yazılımını çalıştırmalarına imkan tanıyor. Saldırganlar ayrıyeten makûs gayeli komut belgelerini çalıştırmak için yasal bir Node.js platformu (JavaScript runtime) kullanıyor. Küme ayrıyeten fidye iletilerinde araştırmacılar tarafından kendilerine daha evvel atanan ve biraz değiştirilmiş bir isim olan OldGremlins’i kullanarak ataklarını “markalaştırmaya” başladı.
Yeni kampanyada makûs maksatlı yazılım sadece evrakları şifrelemekle kalmıyor, tıpkı vakitte saldırganlara mevcut durumu bildiriyor. Son olarak, dördüncü araç olan “closethedoor”, şifreleme süreci sırasında aygıtı ağdan izole ediyor, fidye notlarını bırakıyor ve izleri temizliyor. Böylelikle olayın daha fazla araştırılmasını zorlaştırıyor.
Kaspersky’nin Tehdit Araştırması Uzmanı Yanis Zinchenko, şunları söylüyor: “OldGremlin tarafından gerçekleştirilen yeni bir siber taarruz dalgası, etkin olmayan kümelerin bile işletmeler için tehdit oluşturabileceğini doğruladı. Saldırganlar, geliştirilmiş araçlarla geri döndüler ve şirketlerin gelecekteki akınları önlemek için saldırganların kullandığı teknik ve taktikleri daima olarak izlemesinin kıymetini vurguladılar. 2025 yılında, küme faaliyetlerine yine başlamanın yanı sıra siber güvenlik uzmanları tarafından verilen ismi da benimsediler.”
Kaspersky eserleri bu fidye yazılımını Trojan-Ransom.Win64.OldGremlin, Backdoor.JS.Agent.og, HEUR:Trojan.JS.Starter.og ve HEUR:Trojan-Ransom.Win64.Generic olarak algılıyor.
Kaspersky, kuruluşların fidye yazılımlarından korunmak için aşağıdaki tedbirleri almasını öneriyor:
- Her büyüklükteki ve bölümdeki kuruluşlar için EDR ve XDR’nin gerçek vakitli müdafaa, tehdit görünürlüğü, araştırma ve karşılık yeteneklerini sağlayan Kaspersky Next ürün serisindeki tahlilleri kullanın.
- Saldırganların güvenlik açıklarını istismar etmesini ve ağınıza sızmasını önlemek için kullandığınız tüm aygıtlarda yazılımları hep şimdiki tutun.
- Savunma stratejinizi yanal hareketleri ve internete data sızdırılmasını tespit etmeye odaklayın. Siber hatalıların ağınıza bağlanmasını tespit etmek için giden trafiğe bilhassa dikkat edin.
- Saldırganların müdahale edemeyeceği çevrimdışı yedekler hazırlayın. Gerektiğinde yahut acil durumlarda bunlara süratli bir halde erişebileceğinizden emin olun.
- Tehdit aktörleri tarafından kullanılan gerçek Taktikler, Teknikler ve Prosedürler (TTP’ler) hakkında bilgi sahibi olmak için en son Kaspersky Threat Intelligence bilgilerini kullanın.
Kaynak: (BYZHA) Beyaz Haber Ajansı
