Fidye Yazılım ile Rus Şirketlerini Hedef Alan Yeni Bir Siber Suç Örgütü Tespit Edildi

Son aylarda kritik altyapı tesislerine yönelik siber saldırılara dair araştırmalarında medikal laboratuvarlar, üreticiler ve yazılım geliştiriciler gibi Rusya’daki büyük şirketlerin ağlarına kademeli saldırılar düzenlemeye çalışan yeni bir siber suç örgütünün izi ortaya çıkarıldı. “Old Gremlin” adı verilen siber tehdit faktörünün Rusça konuştuğu ve Mart ayından bu yana düzenlenen bir dizi saldırının arkasında olduğu düşünülüyor.

Old Gremlim’in eylemlerinde Rus şirketlerini hedef aldığı ve Rusça konuşan Silence, Cobalt gibi öne çıkan diğer suç örgütleri ile bağlantılı olduğu belirtiliyor. Uzmanlar, Silence ve Cobalt gibi örgütlerin Rusya’yı test alanı olarak kullandığını, ardından Rus polisi tarafından yakalanıp hapse girme riskini ortadan kaldırmak için hedef aldıkları coğrafyaları değiştirdiklerini kaydediyor.

Old Gremlin’in ana yöntemi TinyNode ve TinyPosh gibi düzenlenebilir arka kapıları kullanarak bilgisayar ağlarına giriş yapmak, ardından TinyCryptor (diğer adıyla decr1pt) fidye yazılımını kullanarak sistemdeki dosyaları şifrelemek. Son basamakta hedeflerinden yaklaşık 50 bin dolar fidye istedikleri bildiriliyor.

İlk detaylar…

Güvenlik araştırmacıları, Moskova merkezli medya grubu RBC Group’a gönderdiği oltalama e-postasını analiz ederek Old Gremlin’in faliyetleri hakkında ipuçları elde etmeyi başardı.

E-postada, ödeme alınabilmesi için temas kurulması gereken kişi ile iletişime geçilemediği ve acil ödeme yapılabilmesi için ekteki faturanın indirilmesi gerektiği ifade ediliyor. Fatura indirildiği anda TinyNode kötü amaçlı yazılımı sisteme yükleniyor.

Saldırının Mart ve Nisan aylarında kullanılan farklı bir versiyonunda, siber suçlular Covid temalı oltalama tuzakları ile Rus fintech şirketlerini hedef aldığı da kaydedildi.

Analizler, Old Gremlin’in Mayıs ve Ağustos ayları arasında toplam dokuz siber saldırının arkasında olduğuna işaret ediyor. Siber suç örgütünün öne çıkan özelliği, Rusya’ya karşı eylem düzenlemek konusundaki cesaretleri olarak beliriyor.
Güvenlik araştırmacıları, Old Gremlin’in bu özelliğinden yola çıkarak siber suç örgütünün ya yeteneklerini Rusya’yı kullanarak geliştirmeye çalıştığını ya da Rusça konuşan komşu ülkelerden birinde faaliyet gösterdiğini düşünüyor.