Yakın zamanda Howling Scorpius grubu tarafından gerçekleştirilen karmaşık bir Akira fidye yazılımı saldırısı, küresel bir veri depolama ve altyapı şirketini, CAPTCHA web sitesine yapılan tek ve görünüşte masum bir tıklamayla tetiklenen devasa operasyonel kesintilerle boğuşmaya bıraktı.
Bu uzlaşma sert bir gerçeğin altını çiziyor: Gelişmiş güvenlik araçlarının dağıtılması, uygun görünürlük ve uyarı olmadan güvenlik kapsamını veya etkili tehdit tespitini garanti etmez.
Olay en sıradan şekilde başladı: Bir otomobil bayisinin web sitesine göz atan bir çalışan, tanıdık “insan olduğunuzu kanıtlamak için tıklayın” CAPTCHA’sıyla karşılaştı.
Onların bilmediği bu, ClickFix olarak bilinen bir sosyal mühendislik hilesiydi; sahte bot doğrulamalarını meşru güvenlik kontrolleri altında kötü amaçlı yazılım yükleri sunmak için silah haline getiren kötü niyetli bir plandı.
Bu kısa etkileşim, saldırganlara gizli komut ve kontrol sağlamanın yanı sıra verileri çalmalarına, rastgele komutlar yürütmelerine ve virüslü sistemleri fark edilmeden izlemelerine olanak tanıyan .NET tabanlı bir uzaktan erişim Truva Atı olan SectopRAT’ın sessizce indirilmesiyle sonuçlandı.
Birkaç dakika içinde Howling Scorpius, hedefin altyapısında kalıcı bir arka kapı oluşturdu.
Sonraki 42 gün boyunca, Birim 42 ekibinin katılımı göz önüne alındığında, saldırganların ayrıcalıklı kimlik bilgilerini ve RDP, SSH ve SMB gibi uzaktan erişim protokollerini kullanarak ortamda yanal olarak hareket ettiği göz önüne alındığında ironik bir baş selamı verildi.
Ağın düzenli bir şekilde haritasını çıkardılar, çekirdek etki alanı denetleyicilerine eriştiler ve WinRAR ve FileZillaPortable aracılığıyla devasa miktarda veriyi sızdırmak üzere hazırladılar.
Sonuçta saldırganlar, Akira fidye yazılımını üç iş ağına yayılan sunuculara dağıtmadan önce kritik depolama kaplarını silerek bilgi işlem kaynaklarını ve yedeklemeleri sildi.
Sonuç: sanal makineler çevrimdışı, iş operasyonları donmuş ve gelen kutusuna yüklü bir fidye notu düşüyor.
İhlalin belki de en endişe verici yönü, mağdur örgütün karşılaştığı “güvenlik paradoksu”ydu.
İki adet kurumsal düzeyde uç nokta algılama ve yanıt (EDR) çözümü kullanılmasına rağmen kritik uyarılar gözden kaçırıldı.
Araçlar, saldırı keşfinin, ayrıcalık artışının, veri hazırlamanın ve sızmanın her aşamasını kaydederken, eyleme dönüştürülebilir uyarılar üretmedeki başarısızlıkları, savunucuları, yıkıcı bir hasar oluşana kadar habersiz bıraktı.
Bu, 2025 Küresel Olay Müdahale Raporu’nda vurgulanan daha geniş bir modeli yansıtıyor: Güvenlik günlüklerinde sıklıkla açık risk işaretleri görülüyor ancak uyarı yorgunluğu, zayıf yapılandırma veya görünürlük boşlukları nedeniyle araştırılmıyor.
Aslında incelenen olayların %75’inde gözden kaçan uyarı işaretleri içeren kayıtlar görüldü.
Kuruluş, bulut, ağ, uç noktalar ve SIEM günlükleri genelinde görünürlük ve algılamayı birleştirmek için Cortex XSIAM gibi araçları hızla dağıtan Birim 42’yi getirdi.
Müfettişler saldırı zincirini yeniden oluşturdular, etkilenen varlıkları belirlediler ve uygulanabilir rehberlik sağladılar:
- Ağları bölümlere ayırın ve yönetim erişimini sınırlayın.
- Altın bilet saldırılarını önlemek için başta Kerberos TGT hesapları olmak üzere tüm kimlik bilgilerini döndürün.
- Güncel olmayan sistemleri ortadan kaldırın ve kalıcı olarak yama yapın.
- Bulut kaynaklarına yönelik izleme ve yedekleme stratejilerini güçlendirin.
Birim 42 ayrıca fidye görüşmelerini de yöneterek veri sızdırıldığına dair kanıt sağladı ve ilk talepte yaklaşık %68’lik bir azalma için pazarlık yaptı.
Kaçırılan Uyarıların Yüksek Maliyeti
Etkilenen şirket, altyapının yeniden inşası ve Birim 42 Yönetilen Tespit ve Yanıt (MDR) aracılığıyla 24 saat izlemenin devreye alınması yoluyla, faaliyetlerini eski haline getirdi ve güçlü yeni savunmalar kurdu.
Ancak vaka, saldırganların geniş kapsamlı kampanyalar başlatmak için ClickFix gibi aldatıcı taktikler yoluyla yalnızca en küçük dayanağa ihtiyaç duyduklarını vurguluyor.
Aktif güvenlik izleme ve ayarlanmış uyarılar olmadan, gelişmiş araçlar bile kuruluşların gelişen tehditlere karşı kör kalmasına neden olabilir.
Howling Scorpius gibi fidye yazılımı operasyonlarının cesareti ve teknik becerisi arttıkça, güvenlik yatırımı ile gerçek koruma arasındaki uçurum acil bir sorun olmaya devam ediyor. Yalnızca kayıt tutmak değil, kapsamlı, eyleme dönüştürülebilir görünürlük artık mutlak bir zorunluluktur.
Modern saldırı eğilimleri ve stratejik savunmaya ilişkin daha fazla bilgi için 2025 Birim 42 Küresel Olay Müdahale Raporu’na bakın.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.