Kaspersky Tehdit Araştırması, 2025 yılının başlarında OldGremlin fidye yazılımı kümesi tarafından gerçekleştirilen yeni akınlar tespit etti. Bu hücumlar üretim, sıhhat, perakende ve teknoloji şirketlerini gaye alan ve bir örneğinde tek bir kurbandan yaklaşık 17 milyon dolar talep eden bir operasyonun geri dönüşünü işaret ediyor.
Beş yıl evvel tespit edilen OldGremlin siber kümesi, hücumlarını gerçekleştirmek için gelişmiş teknikler, taktikler ve prosedürler kullanıyor. Saldırganlar, kurbanın sisteminde uzun mühlet kalabiliyor ve belgeleri şifrelemek için ortalama 49 gün bekliyor. Rusça konuşan küme, 2020’den 2022’ye kadar etkindi ve en son 2024’te görüldü. Evvelki olaylarda, bir örnekte yaklaşık 17 milyon ABD doları üzere büyük fidye taleplerinde bulunmuşlardı.
2025 yılında saldırganlar, hücum araçlarını güncelleyerek geri döndüler. Kurbanların bilgisayarlarına erişim sağlamak ve bilgilerini şifrelemek için saldırganlar, kimlik avı e-postaları gönderiyor ve çeşitli berbat gayeli araçlar kullanıyor. Enfekte olmuş aygıtlara uzaktan erişim sağlamak ve bunları denetim etmek için bir art kapıdan faydalanıyor, Windows müdafaasını devre dışı bırakmak ve kendi imzalanmamış makus hedefli şoförlerini çalıştırmak için yasal bir şofördeki bir güvenlik açığını kullanıyorlar. Bu şoför, fidye yazılımını çalıştırmalarına imkan tanıyor. Saldırganlar ayrıyeten makus maksatlı komut evraklarını çalıştırmak için legal bir Node.js platformu (JavaScript runtime) kullanıyor. Küme ayrıyeten fidye iletilerinde araştırmacılar tarafından kendilerine daha evvel atanan ve biraz değiştirilmiş bir isim olan OldGremlins’i kullanarak akınlarını “markalaştırmaya” başladı.
Yeni kampanyada makûs gayeli yazılım sadece evrakları şifrelemekle kalmıyor, tıpkı vakitte saldırganlara mevcut durumu bildiriyor. Son olarak, dördüncü araç olan “closethedoor”, şifreleme süreci sırasında aygıtı ağdan izole ediyor, fidye notlarını bırakıyor ve izleri temizliyor. Böylelikle olayın daha fazla araştırılmasını zorlaştırıyor.
Kaspersky’nin Tehdit Araştırması Uzmanı Yanis Zinchenko, şunları söylüyor: “OldGremlin tarafından gerçekleştirilen yeni bir siber hücum dalgası, faal olmayan kümelerin bile işletmeler için tehdit oluşturabileceğini doğruladı. Saldırganlar, geliştirilmiş araçlarla geri döndüler ve şirketlerin gelecekteki taarruzları önlemek için saldırganların kullandığı teknik ve taktikleri daima olarak izlemesinin değerini vurguladılar. 2025 yılında, küme faaliyetlerine tekrar başlamanın yanı sıra siber güvenlik uzmanları tarafından verilen ismi da benimsediler.”
Kaspersky eserleri bu fidye yazılımını Trojan-Ransom.Win64.OldGremlin, Backdoor.JS.Agent.og, HEUR:Trojan.JS.Starter.og ve HEUR:Trojan-Ransom.Win64.Generic olarak algılıyor.
Kaspersky, kuruluşların fidye yazılımlarından korunmak için aşağıdaki tedbirleri almasını öneriyor:
- Her büyüklükteki ve daldaki kuruluşlar için EDR ve XDR’nin gerçek vakitli müdafaa, tehdit görünürlüğü, araştırma ve cevap yeteneklerini sağlayan Kaspersky Next ürün serisindeki tahlilleri kullanın.
- Saldırganların güvenlik açıklarını istismar etmesini ve ağınıza sızmasını önlemek için kullandığınız tüm aygıtlarda yazılımları sürekli yeni tutun.
- Savunma stratejinizi yanal hareketleri ve internete data sızdırılmasını tespit etmeye odaklayın. Siber hatalıların ağınıza bağlanmasını tespit etmek için giden trafiğe bilhassa dikkat edin.
- Saldırganların müdahale edemeyeceği çevrimdışı yedekler hazırlayın. Gerektiğinde yahut acil durumlarda bunlara süratli bir halde erişebileceğinizden emin olun.
- Tehdit aktörleri tarafından kullanılan gerçek Taktikler, Teknikler ve Prosedürler (TTP’ler) hakkında bilgi sahibi olmak için en son Kaspersky Threat Intelligence bilgilerini kullanın.
Kaynak: (BYZHA) Beyaz Haber Ajansı
