Kaspersky Tehdit Araştırması, 2025 yılının başlarında OldGremlin fidye yazılımı grubu tarafından gerçekleştirilen yeni saldırılar tespit etti. Bu saldırılar üretim, sağlık, perakende ve teknoloji şirketlerini hedef alan ve bir örneğinde tek bir kurbandan yaklaşık 17 milyon dolar talep eden bir operasyonun geri dönüşünü işaret ediyor.
Beş yıl önce tespit edilen OldGremlin siber grubu, saldırılarını gerçekleştirmek için gelişmiş teknikler, taktikler ve prosedürler kullanıyor. Saldırganlar, kurbanın sisteminde uzun süre kalabiliyor ve dosyaları şifrelemek için ortalama 49 gün bekliyor. Rusça konuşan grup, 2020’den 2022’ye kadar aktifti ve en son 2024’te görüldü. Önceki vakalarda, bir örnekte yaklaşık 17 milyon ABD doları gibi büyük fidye taleplerinde bulunmuşlardı.
2025 yılında saldırganlar, saldırı araçlarını güncelleyerek geri döndüler. Kurbanların bilgisayarlarına erişim sağlamak ve verilerini şifrelemek için saldırganlar, kimlik avı e-postaları gönderiyor ve çeşitli kötü amaçlı araçlar kullanıyor. Enfekte olmuş cihazlara uzaktan erişim sağlamak ve bunları kontrol etmek için bir arka kapıdan faydalanıyor, Windows korumasını devre dışı bırakmak ve kendi imzalanmamış kötü amaçlı sürücülerini çalıştırmak için meşru bir sürücüdeki bir güvenlik açığını kullanıyorlar. Bu sürücü, fidye yazılımını çalıştırmalarına olanak tanıyor. Saldırganlar ayrıca kötü amaçlı komut dosyalarını çalıştırmak için meşru bir Node.js platformu (JavaScript runtime) kullanıyor. Grup ayrıca fidye mesajlarında araştırmacılar tarafından kendilerine daha önce atanan ve biraz değiştirilmiş bir isim olan OldGremlins’i kullanarak saldırılarını “markalaştırmaya” başladı.
Yeni kampanyada kötü amaçlı yazılım yalnızca dosyaları şifrelemekle kalmıyor, aynı zamanda saldırganlara mevcut durumu bildiriyor. Son olarak, dördüncü araç olan “closethedoor”, şifreleme işlemi sırasında cihazı ağdan izole ediyor, fidye notlarını bırakıyor ve izleri temizliyor. Böylece olayın daha fazla araştırılmasını zorlaştırıyor.
Kaspersky’nin Tehdit Araştırması Uzmanı Yanis Zinchenko, şunları söylüyor:
“OldGremlin tarafından gerçekleştirilen yeni bir siber saldırı dalgası, aktif olmayan grupların bile işletmeler için tehdit oluşturabileceğini doğruladı. Saldırganlar, geliştirilmiş araçlarla geri döndüler ve şirketlerin gelecekteki saldırıları önlemek için saldırganların kullandığı teknik ve taktikleri sürekli olarak izlemesinin önemini vurguladılar. 2025 yılında, grup faaliyetlerine yeniden başlamanın yanı sıra siber güvenlik uzmanları tarafından verilen adı da benimsediler.”
Kaspersky ürünleri bu fidye yazılımını Trojan-Ransom.Win64.OldGremlin, Backdoor.JS.Agent.og, HEUR:Trojan.JS.Starter.og ve HEUR:Trojan-Ransom.Win64.Generic olarak algılıyor.
Kaspersky, kuruluşların fidye yazılımlarından korunmak için aşağıdaki önlemleri almasını öneriyor:
- Her büyüklükteki ve sektördeki kuruluşlar için EDR ve XDR’nin gerçek zamanlı koruma, tehdit görünürlüğü, araştırma ve yanıt yeteneklerini sağlayan Kaspersky Next ürün serisindeki çözümleri kullanın.
- Saldırganların güvenlik açıklarını istismar etmesini ve ağınıza sızmasını önlemek için kullandığınız tüm cihazlarda yazılımları daima güncel tutun.
- Savunma stratejinizi yanal hareketleri ve internete veri sızdırılmasını tespit etmeye odaklayın. Siber suçluların ağınıza bağlanmasını tespit etmek için giden trafiğe özellikle dikkat edin.
- Saldırganların müdahale edemeyeceği çevrimdışı yedekler hazırlayın. Gerektiğinde veya acil durumlarda bunlara hızlı bir şekilde erişebileceğinizden emin olun.
Kaynak : 