Şirketten yapılan açıklamaya nazaran, birinci sefer 5 yıl evvel tespit edilen OldGremlin siber kümesi, taarruzlarını gerçekleştirmek için gelişmiş teknik, taktik ve prosedürler kullanıyor. Saldırganlar, kurbanın sisteminde uzun mühlet kalabiliyor ve evrakları şifrelemek için ortalama 49 gün bekliyor.
Rusça konuşan küme, 2020’den 2022’ye kadar faalken, en son 2024’te görüldü. Geçmiş vakarlarda, yaklaşık 17 milyon dolar üzere büyük fidye talebinde de bulunan küme, hücum araçlarını güncelleyerek 2025’te geri döndü.
GÜVENLİK AÇIĞINI GAYE ALIYORLAR
Saldırganlar, kurbanlarının bilgisayarlarına erişim sağlamak ve bilgilerini şifrelemek için, kimlik avı e-postaları gönderirken, çeşitli makus gayeli araçlar da kullanıyor.
Enfekte olmuş aygıtlara uzaktan erişim sağlamak ve bunları denetim etmek için bir art kapıdan faydalanan küme, Windows muhafazasını devre dışı bırakmak ve imzalanmamış makûs hedefli şoförlerini çalıştırmak için legal şofördeki güvenlik açığını gaye alıyor.
Bu şoför, fidye yazılımını çalıştırmalarına imkan tanırken saldırganlar, berbat hedefli komut belgelerini legal bir “Node.js platformu” ile çalıştırıyor.
Grup ayrıyeten fidye bildirilerinde araştırmacılar tarafından kendilerine daha evvel atanan ve biraz değiştirilmiş isim olan “OldGremlins”i kullanarak akınlarını “markalaştırmaya” başladı. Yeni kampanyada kümenin makûs hedefli yazılımı sırf evrakları şifrelemekle kalmıyor, tıpkı vakitte saldırganlara mevcut durumu bildiriyor.
Grubun dördüncü aracı olan “closethedoor”, şifreleme süreci sırasında aygıtı ağdan izole ediyor, fidye notlarını bırakıyor ve izleri temizliyor. Böylelikle olayın daha fazla araştırılmasını zorlaştırıyor.
AKTİF OLMAYAN KÜMELER BİLE TEHDİT OLUŞTURABİLİR
Açıklamada görüşlerine yer verilen Kaspersky Tehdit Araştırması Uzmanı Yanis Zinchenko, kümenin yeni siber hücum dalgasının, faal olmayan kümelerin dahi işletmeler için tehdit oluşturabileceğini doğruladığını belirtti.
Zinchenko, saldırganların geliştirilmiş araçlarla geri döndüklerinin altını çizerek, “Şirketlerin gelecekteki akınları önlemek için saldırganların kullandığı teknik ve taktikleri daima olarak izlemesi değerli. Küme faaliyetlerine 2025’te yine başladı ve siber güvenlik uzmanları tarafından verilen ismi da benimsediler.” tabirlerini kullandı.
