Siber güvenlik ortamında, gelişmiş saldırı yetenekleri ve iyi yapılandırılmış bir operasyonel model sergileyen “Beyler” adlı yeni bir fidye yazılımı tehdidi ortaya çıktı.
İlk olarak Temmuz 2025 civarında ortaya çıkan bu grup, Eylül ve Ekim 2025 arasında karanlık web sızıntı sitelerinde 48 kurban yayınlayarak kısa sürede ciddi bir tehdit haline geldi.
Fidye yazılımı, Hizmet Olarak Fidye Yazılımı platformu olarak çalışarak, çekirdek operatörlerin altyapı ve müzakere süreçleri üzerindeki kontrolünü sürdürürken bağlı kuruluşların saldırıları dağıtmasına olanak tanıyor.
Beyler, dosya şifrelemeyi veri hırsızlığıyla birleştiren ikili bir gasp stratejisi kullanıyor. Bu yaklaşım yalnızca kurbanları sistemlerinden kilitlemekle kalmıyor, aynı zamanda fidye talepleri karşılanmadığı takdirde çalınan bilgilerin karanlık ağ sızıntı sitelerinde yayınlanması tehdidiyle ek baskı da yaratıyor.
.webp)
Operatörler, kendi RaaS platformlarını başlatmadan önce diğer önde gelen fidye yazılımı gruplarının çeşitli ortaklık modellerini denediler ve bu da onların yöntemlerini iyileştirmelerine ve daha karmaşık bir operasyon geliştirmelerine yardımcı oldu.
Cybereason güvenlik araştırmacıları, fidye yazılımının özel şifreleme araçlarıyla Windows, Linux ve ESXi platformlarını hedef aldığını belirledi.
Kötü amaçlı yazılım, dosyaları güvence altına almak için XChaCha20 ve Curve25519 şifreleme algoritmalarını kullanıyor ve şifre çözme anahtarı olmadan kurtarmayı son derece zorlaştırıyor.
Son güncellemeler, otomatik olarak kendi kendini yeniden başlatma ve önyükleme sırasında çalıştırma işlevini sunarak güvenliği ihlal edilmiş sistemlerde kalıcılığı artırdı.
Ağ Yayılımı ve Yanal Hareket Yetenekleri
Fidye yazılımı, Windows Yönetim Araçları ve PowerShell uzaktan iletişim tekniklerini kullanarak ağlara yayılıyor. Kötü amaçlı yazılım yürütüldüğünde, şifreleme rutinine başlamak için bir parola bağımsız değişkeni gerektirir.
SİSTEM ayrıcalıkları altında sistem düzeyinde şifreleme ve eşlenen sürücüler ve UNC yolları aracılığıyla ağ paylaşımı şifrelemesi de dahil olmak üzere birden fazla çalışma modunu destekler.
Kötü amaçlı yazılım, gerçek zamanlı korumayı kapatan ve dışlama listelerine dizinler ve işlemler ekleyen PowerShell komutlarını yürüterek Windows Defender’ı devre dışı bırakır.
.webp)
Ayrıca ağ keşfine ve güvenlik duvarı kurallarına olanak tanıyarak kurumsal ağlar arasında daha kolay yanal hareket sağlar.
Fidye yazılımı, MSSQL ve MySQL gibi veritabanı motorları, Veeam gibi yedekleme yardımcı programları ve VMware gibi sanallaştırma hizmetleri dahil olmak üzere kritik hizmet ve süreçleri hedef alıyor.
Kötü amaçlı yazılım, tespitten kaçınmak ve adli soruşturmaları karmaşık hale getirmek için Windows olay günlüklerini, RDP bağlantı günlüklerini, Windows Defender destek dosyalarını ve Önceden Getirme verilerini siler.
Bu adli tıp karşıtı yaklaşım, olaya müdahale çabalarını önemli ölçüde engellemekte ve saldırıyı araştıran güvenlik ekipleri için zaman çizelgesinin yeniden yapılandırılmasını daha zorlu hale getirmektedir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
