Kaspersky Tehdit Araştırması, 2025 yılının başlarında OldGremlin fidye yazılımı grubu tarafından gerçekleştirilen yeni saldırıları tespit etti. Bu saldırılar, üretim, sağlık, perakende ve teknoloji şirketlerini hedef alarak dikkat çekti. Bir örnekte, saldırganların tek bir kurbandan yaklaşık 17 milyon dolar talep ettiği bildiriliyor. OldGremlin, beş yıl önce tespit edilen bir siber grup olup, gelişmiş teknikler, taktikler ve prosedürler kullanarak saldırılarını gerçekleştirmektedir. Saldırganlar, kurbanlarının sistemlerinde uzun süre kalabiliyor ve dosyaları şifrelemek için ortalama 49 gün bekliyorlar.

Rusça konuşan bu grup, 2020'den 2022'ye kadar aktifti ve en son 2024 yılında görüldü. Önceki saldırılarda, büyük fidye talepleri dikkati çekmişti. 2025 yılında, OldGremlin grubu, saldırı araçlarını güncelleyerek geri döndü. Saldırganlar, kurbanların bilgisayarlarına erişim sağlamak ve verilerini şifrelemek amacıyla kimlik avı e-postaları göndermekte ve çeşitli kötü amaçlı araçlar kullanmaktadır.

Saldırganlar, enfekte olmuş cihazlara uzaktan erişim sağlamak için bir arka kapı kullanıyorlar. Ayrıca, Windows korumasını devre dışı bırakmak ve kendi imzalanmamış kötü amaçlı sürücülerini çalıştırmak için meşru bir sürücüdeki güvenlik açığını istismar ediyorlar. Bu sürücü, fidye yazılımını çalıştırmalarına olanak tanıyarak önemli bir rol oynamaktadır. Kaspersky’nin raporuna göre, bu grup ayrıca kötü amaçlı komut dosyalarını çalıştırmak için meşru bir Node.js platformunu kullanıyor. OldGremlin, fidye mesajlarında kendilerine daha önce atanan ve hafifçe değiştirilmiş bir isim olan OldGremlins’i kullanarak saldırılarını “markalaştırma” çabalarına da girmiştir.

Yeni kampanyada, kötü amaçlı yazılım yalnızca dosyaları şifrelemekle kalmayıp, aynı zamanda saldırganlara mevcut durumu bildiriyor. Dördüncü araç olan "closethedoor" ise şifreleme işlemi sırasında cihazı ağdan izole ederek fidye notları bırakıyor ve izleri temizleyebiliyor. Bu, olayın daha fazla araştırılmasını zorlaştıran bir özellik taşımaktadır.

Kaspersky'nin Tehdit Araştırması Uzmanı Yanis Zinchenko, "OldGremlin tarafından gerçekleştirilen yeni bir siber saldırı dalgası, aktif olmayan grupların bile işletmeler için tehdit oluşturabileceğini doğruladı. Saldırganlar, geliştirilmiş araçlarla geri döndüler ve şirketlerin gelecekteki saldırıları önlemek için saldırganların kullandığı teknik ve taktikleri sürekli olarak izlemesinin önemini vurguladılar. 2025 yılında, grup faaliyetlerine yeniden başlamanın yanı sıra siber güvenlik uzmanları tarafından verilen adları da benimsediler." şeklinde açıklamada bulundu.

Kaspersky ürünleri, bu fidye yazılımını Trojan-Ransom.Win64.OldGremlin, Backdoor.JS.Agent.og, HEUR:Trojan.JS.Starter.og ve HEUR:Trojan-Ransom.Win64.Generic olarak algılamaktadır. Kurumların fidye yazılımlarından korunmak için alması gereken bazı önlemler ise şu şekilde sıralanmıştır:

• Her büyüklükteki ve sektördeki kuruluşlar için EDR ve XDR'nin gerçek zamanlı koruma, tehdit görünürlüğü, araştırma ve yanıt yeteneklerini sağlayan Kaspersky Next ürün serisindeki çözümleri kullanın.
• Saldırganların güvenlik açıklarını istismar etmesini ve ağınıza sızmasını önlemek için kullandığınız tüm cihazlarda yazılımları daima güncel tutun.
• Savunma stratejinizi yanal hareketleri ve internete veri sızdırılmasını tespit etmeye odaklayın. Siber suçluların ağınıza bağlanmasını tespit etmek için giden trafiğe özellikle dikkat edin.
• Saldırganların müdahale edemeyeceği çevrimdışı yedekler hazırlayın. Gerektiğinde veya acil durumlarda bunlara hızlı bir şekilde erişebileceğinizden emin olun.
• Tehdit aktörleri tarafından kullanılan gerçek Taktikler, Teknikler ve Prosedürler (TTP'ler) hakkında bilgi sahibi olmak için en son Kaspersky Threat Intelligence bilgilerini kullanın.