YENİ SALDIRILAR VE GÖRÜLEN TEHDİTLER

Kaspersky Tehdit Araştırması ekibi, bu yılın başlarında OldGremlin fidye yazılımı grubu tarafından gerçekleştirilen yeni saldırıları tespit etti. Şirketin açıklamasına göre, beş yıl önce tanınan OldGremlin siber grubu, saldırılarını gerçekleştirmek için gelişmiş teknik, taktik ve prosedürler kullanıyor. Saldırganlar, kurbanın sisteminde uzun süre kalabiliyor ve dosyaları şifrelemek için ortalama 49 gün bekliyor. Rusça konuşan grup, 2020’den 2022’ye kadar aktifti ve en son 2024’te görüldü. Eski vakalarda, yaklaşık 17 milyon dolar gibi büyük fidye talepleri gerçekleştiren grup, saldırı araçlarını güncelleyerek 2025’te geri döndü.

SALDIRI YÖNTEMLERİ VE TEKNİKLERİ

Saldırganlar, kurbanlarının bilgisayarlarına erişim sağlamak ve verilerini şifrelemek için kimlik avı e-postaları gönderdiği gibi çeşitli kötü amaçlı araçlar kullanıyor. Enfekte olmuş cihazlara uzaktan erişim sağlamak ve bu cihazları kontrol etmek için bir arka kapıdan yararlanan grup, Windows korumasını devre dışı bırakmak ve imzalanmamış kötü amaçlı sürücüleri çalıştırmak üzere meşru bir sürücüdeki güvenlik açığını hedef alıyor. Bu sürücü, fidye yazılımını çalıştırmalarına olanak tanırken, saldırganlar kötü amaçlı komut dosyalarını meşru bir “Node.js platformu” ile çalıştırıyor. Ayrıca grup, fidye mesajlarında kendilerine daha önce atanan ve biraz değiştirilmiş olan “OldGremlins” ismini kullanarak saldırılarını “markalaştırmaya” başladı. Yeni kampanyada grubun kötü amaçlı yazılımı yalnızca dosyaları şifrelemekle kalmıyor, aynı zamanda saldırganlara mevcut durumu bildiriyor. Grubun dördüncü aracı olan “closethedoor”, şifreleme işlemi sırasında cihazı ağdan izole ediyor, fidye notlarını bırakıyor ve izleri temizliyor, bu da olayın daha fazla araştırılmasını zorlaştırıyor.

TEHDİT VE GÜVENLİK ÖNERİLERİ

Kaspersky Tehdit Araştırması Uzmanı Yanis Zinchenko, grubun yeni siber saldırı dalgasının, aktif olmayan grupların bile işletmeler için tehdit oluşturabileceğini doğruladığını ifade etti. Zinchenko, saldırganların geliştirilmiş araçlarla geri döndüğünü vurgulayarak, “Şirketlerin gelecekteki saldırıları önlemek için saldırganların kullandığı teknik ve taktikleri sürekli olarak izlemesi önemli. Grup faaliyetlerine 2025’te yeniden başladı ve siber güvenlik uzmanları tarafından verilen adı da benimsediler.” şeklinde konuştu.