Kaspersky Tehdit Araştırması, 2025 yılının başlarında OldGremlin fidye yazılımı kümesi tarafından gerçekleştirilen yeni taarruzlar tespit etti. Bu akınlar üretim, sıhhat, perakende ve teknoloji şirketlerini maksat alan ve bir örneğinde tek bir kurbandan yaklaşık 17 milyon dolar talep eden bir operasyonun geri dönüşünü işaret ediyor.
Beş yıl evvel tespit edilen OldGremlin siber kümesi, akınlarını gerçekleştirmek için gelişmiş teknikler, taktikler ve prosedürler kullanıyor. Saldırganlar, kurbanın sisteminde uzun müddet kalabiliyor ve belgeleri şifrelemek için ortalama 49 gün bekliyor. Rusça konuşan küme, 2020’den 2022’ye kadar faaldi ve en son 2024’te görüldü. Evvelki hadiselerde, bir örnekte yaklaşık 17 milyon ABD doları üzere büyük fidye taleplerinde bulunmuşlardı.
2025 yılında saldırganlar, taarruz araçlarını güncelleyerek geri döndüler. Kurbanların bilgisayarlarına erişim sağlamak ve datalarını şifrelemek için saldırganlar, kimlik avı e-postaları gönderiyor ve çeşitli makûs gayeli araçlar kullanıyor. Enfekte olmuş aygıtlara uzaktan erişim sağlamak ve bunları denetim etmek için bir art kapıdan faydalanıyor, Windows muhafazasını devre dışı bırakmak ve kendi imzalanmamış berbat hedefli şoförlerini çalıştırmak için legal bir şofördeki bir güvenlik açığını kullanıyorlar. Bu şoför, fidye yazılımını çalıştırmalarına imkan tanıyor. Saldırganlar ayrıyeten makus emelli komut evraklarını çalıştırmak için yasal bir Node.js platformu (JavaScript runtime) kullanıyor. Küme ayrıyeten fidye iletilerinde araştırmacılar tarafından kendilerine daha evvel atanan ve biraz değiştirilmiş bir isim olan OldGremlins’i kullanarak taarruzlarını “markalaştırmaya” başladı.
Yeni kampanyada makus hedefli yazılım sırf evrakları şifrelemekle kalmıyor, tıpkı vakitte saldırganlara mevcut durumu bildiriyor. Son olarak, dördüncü araç olan “closethedoor”, şifreleme süreci sırasında aygıtı ağdan izole ediyor, fidye notlarını bırakıyor ve izleri temizliyor. Böylelikle olayın daha fazla araştırılmasını zorlaştırıyor.
Kaspersky’nin Tehdit Araştırması Uzmanı Yanis Zinchenko, şunları söylüyor: “OldGremlin tarafından gerçekleştirilen yeni bir siber hücum dalgası, etkin olmayan kümelerin bile işletmeler için tehdit oluşturabileceğini doğruladı. Saldırganlar, geliştirilmiş araçlarla geri döndüler ve şirketlerin gelecekteki hücumları önlemek için saldırganların kullandığı teknik ve taktikleri daima olarak izlemesinin değerini vurguladılar. 2025 yılında, küme faaliyetlerine yine başlamanın yanı sıra siber güvenlik uzmanları tarafından verilen ismi da benimsediler.”
Kaspersky eserleri bu fidye yazılımını Trojan-Ransom.Win64.OldGremlin, Backdoor.JS.Agent.og, HEUR:Trojan.JS.Starter.og ve HEUR:Trojan-Ransom.Win64.Generic olarak algılıyor.
Kaspersky, kuruluşların fidye yazılımlarından korunmak için aşağıdaki tedbirleri almasını öneriyor:
- Her büyüklükteki ve bölümdeki kuruluşlar için EDR ve XDR’nin gerçek vakitli müdafaa, tehdit görünürlüğü, araştırma ve cevap yeteneklerini sağlayan Kaspersky Next ürün serisindeki tahlilleri kullanın.
- Saldırganların güvenlik açıklarını istismar etmesini ve ağınıza sızmasını önlemek için kullandığınız tüm aygıtlarda yazılımları hep aktüel tutun.
- Savunma stratejinizi yanal hareketleri ve internete bilgi sızdırılmasını tespit etmeye odaklayın. Siber hatalıların ağınıza bağlanmasını tespit etmek için giden trafiğe bilhassa dikkat edin.
- Saldırganların müdahale edemeyeceği çevrimdışı yedekler hazırlayın. Gerektiğinde yahut acil durumlarda bunlara süratli bir formda erişebileceğinizden emin olun.
- Tehdit aktörleri tarafından kullanılan gerçek Taktikler, Teknikler ve Prosedürler (TTP’ler) hakkında bilgi sahibi olmak için en son Kaspersky Threat Intelligence bilgilerini kullanın.
Kaynak: (BYZHA) Beyaz Haber Ajansı