Kaspersky, fidye yazılımı kümesi OldGremlin’in geri döndüğünü bildirdi

Kaspersky Tehdit Araştırması, 2025 yılının başlarında OldGremlin fidye yazılımı kümesi tarafından gerçekleştirilen yeni taarruzlar tespit etti. Bu akınlar üretim, sıhhat, perakende ve teknoloji şirketlerini maksat alan ve bir örneğinde tek bir kurbandan yaklaşık 17 milyon dolar talep eden bir operasyonun geri dönüşünü işaret ediyor.

Beş yıl evvel tespit edilen OldGremlin siber kümesi, ataklarını gerçekleştirmek için gelişmiş teknikler, taktikler ve prosedürler kullanıyor. Saldırganlar, kurbanın sisteminde uzun mühlet kalabiliyor ve belgeleri şifrelemek için ortalama 49 gün bekliyor. Rusça konuşan küme, 2020’den 2022’ye kadar etkindi ve en son 2024’te görüldü. Evvelki hadiselerde, bir örnekte yaklaşık 17 milyon ABD doları üzere büyük fidye taleplerinde bulunmuşlardı.

2025 yılında saldırganlar, atak araçlarını güncelleyerek geri döndüler. Kurbanların bilgisayarlarına erişim sağlamak ve datalarını şifrelemek için saldırganlar, kimlik avı e-postaları gönderiyor ve çeşitli makus emelli araçlar kullanıyor. Enfekte olmuş aygıtlara uzaktan erişim sağlamak ve bunları denetim etmek için bir art kapıdan faydalanıyor, Windows müdafaasını devre dışı bırakmak ve kendi imzalanmamış makus hedefli şoförlerini çalıştırmak için yasal bir şofördeki bir güvenlik açığını kullanıyorlar. Bu şoför, fidye yazılımını çalıştırmalarına imkan tanıyor. Saldırganlar ayrıyeten berbat maksatlı komut evraklarını çalıştırmak için legal bir Node.js platformu (JavaScript runtime) kullanıyor. Küme ayrıyeten fidye bildirilerinde araştırmacılar tarafından kendilerine daha evvel atanan ve biraz değiştirilmiş bir isim olan OldGremlins’i kullanarak ataklarını “markalaştırmaya” başladı.

Yeni kampanyada makûs hedefli yazılım sadece belgeleri şifrelemekle kalmıyor, tıpkı vakitte saldırganlara mevcut durumu bildiriyor. Son olarak, dördüncü araç olan “closethedoor”, şifreleme süreci sırasında aygıtı ağdan izole ediyor, fidye notlarını bırakıyor ve izleri temizliyor. Böylelikle olayın daha fazla araştırılmasını zorlaştırıyor.

Kaspersky’nin Tehdit Araştırması Uzmanı Yanis Zinchenko, şunları söylüyor: “OldGremlin tarafından gerçekleştirilen yeni bir siber akın dalgası, faal olmayan kümelerin bile işletmeler için tehdit oluşturabileceğini doğruladı. Saldırganlar, geliştirilmiş araçlarla geri döndüler ve şirketlerin gelecekteki taarruzları önlemek için saldırganların kullandığı teknik ve taktikleri daima olarak izlemesinin kıymetini vurguladılar. 2025 yılında, küme faaliyetlerine yine başlamanın yanı sıra siber güvenlik uzmanları tarafından verilen ismi da benimsediler.” 

Kaspersky eserleri bu fidye yazılımını Trojan-Ransom.Win64.OldGremlin, Backdoor.JS.Agent.og, HEUR:Trojan.JS.Starter.og ve HEUR:Trojan-Ransom.Win64.Generic olarak algılıyor.

Kaspersky, kuruluşların fidye yazılımlarından korunmak için aşağıdaki tedbirleri almasını öneriyor:

• Her büyüklükteki ve daldaki kuruluşlar için EDR ve XDR’nin gerçek vakitli muhafaza, tehdit görünürlüğü, araştırma ve cevap yeteneklerini sağlayan Kaspersky Next ürün serisindeki tahlilleri kullanın.
• Saldırganların güvenlik açıklarını istismar etmesini ve ağınıza sızmasını önlemek için kullandığınız tüm aygıtlarda yazılımları hep yeni tutun.
• Savunma stratejinizi yanal hareketleri ve internete bilgi sızdırılmasını tespit etmeye odaklayın. Siber hatalıların ağınıza bağlanmasını tespit etmek için giden trafiğe bilhassa dikkat edin.
• Saldırganların müdahale edemeyeceği çevrimdışı yedekler hazırlayın. Gerektiğinde yahut acil durumlarda bunlara süratli bir formda erişebileceğinizden emin olun.
• Tehdit aktörleri tarafından kullanılan gerçek Taktikler, Teknikler ve Prosedürler (TTP’ler) hakkında bilgi sahibi olmak için en son  Kaspersky Threat Intelligence  bilgilerini kullanın.

Kaynak: (BYZHA) Beyaz Haber Ajansı