Yakın zamanda ortaya çıkan Direwolf Ransomware Group, dünya çapında Windows sistemlerini hedefleyen ve olay günlüklerini silmek, yedekleme ile ilgili verileri silmek ve kurtarma çabalarını engellemek için acımasız taktikler kullanan sofistike yeni bir kampanya başlattı.
İlk olarak Mayıs 2025’te görülen Direwolf, operasyonlarını hızla artırdı ve ABD, Tayland, Tayvan, Avustralya ve İtalya da dahil olmak üzere 16 bölgede 16 organizasyonu bulaştı ve tercih edilen Tox Messenger kanalı aracılığıyla Bitcoin’deki multimilyon dolarlık fidye talep ediyor.
26 Mayıs 2025’te Direwolf, ilk altı kurbanını bir Darknet sızıntı sitesi aracılığıyla halka açık bir şekilde açıkladı ve tam ölçekli operasyonlarının başlangıcına işaret etti.
Birçok fidye yazılımı kıyafetinden farklı olarak, Direwolf açıkça tek amacının finansal kazanç olduğunu ve çift genişlemeli bir şemaya dayandığını belirtir: kritik kurumsal verileri şifrelemek ve mağdurlar ödeme yapmadıkça bunu kamuoyuna sızdırmak için tehdit etmek.
Hedefler, grubun gelişigüzel yaklaşımını ortaya koyan farklı endüstrileri (üretim, BT, İnşaat, Finans) kapsamaktadır.
DireWolf’un yürütülebilir dosyası, yapılandırma dosyalarıyla tamamen dağıtılan komut satırı bağımsız değişkenleri aracılığıyla parametrelendirilir.

Operatörler, -d
bayrak veya yardımı görün -h
. Yürütme üzerine, fidye yazılımı önce muteks için kontrol eder Global\direwolfAppMutex
ve işaretleyici dosyasının varlığı C:\runfinish.exe
.
Her ikisi de varsa, program olayı, kendi kendine aşamayı günlüğe kaydeder ve gereksiz şifrelemeyi önlemek için çıkar.
Başarısız olan, iki saniyelik bir duraklama, mantıksal CPU sayısının sekiz katında bir işçi havuzunun piyasaya sürülmesinden önce gelir.
Birçok eşzamanlı goroutin’i ortaya çıkararak, Direwolf I/O bekleme sürelerini doyurur, dosya işlemeyi yüksek CPU kullanımı ve artan disk kuyrukları pahasına önemli ölçüde hızlandırır.
Tespit ve kurtarmayı engellemek için Direwolf, Windows olay günlüğü hizmetini tekrar tekrar sonlandırır (eventlog
) WMI sorguları aracılığıyla ve taskkill
kütüklerin oluşturulamasını veya alınamamasını sağlar.
Daha sonra, hizmet yeniden başlasa bile günlük koleksiyonunu engelleyen “PID → Kuvvet Kapat → Bekle → Tekrarlama” dizisi dizisi yayınlar.

Ardından, fidye yazılımı, yerleşik Windows yardımcı programlarını kullanarak ses gölge kopyalarını ve planlanmış yedeklemeleri yok eder: vssadmin delete shadows /all /quiet
– wbadmin stop job -quiet
Ve wbadmin delete backup -keepVersions:0 -quiet
.
Windows kurtarma ortamını devre dışı bırakır. bcdedit /set {default} recoveryenabled No
ve önyükleme ile geri dönmeyi önler bcdedit /set {default} bootstatuspolicy ignoreallfailures
. Nihayet, wevtutil cl
Komutlar Uygulama, Sistem, Güvenlik ve Kurulum Günlüklerini Temizleme.
Ayrıca, DireWolf Force-SQL Server, Oracle, Exchange, VMware, Veeam, Veritas Backupexec, Symantec ve Sophos gibi önemli işlemleri belirtir. BackupExecJobEngine
– SQLSERVERAGENT
– wuauserv
– VeeamTransportSvc
Ve MSExchangeIS
.
Veritabanı, yedekleme ve güvenlik bileşenlerinin bu şifreleme önleme temizlenmesi, standart kurtarma ve izleme mekanizmalarını felç eder.
Şifreleme mekaniği
Şifreleme aşaması sırasında Direwolf ya belirli bir dizini veya tüm yerel ve ağ sürücülerini işler (CD/ROM hariç).
Temel Sistem Klasörleri (AppData, Windows, Program Dosyaları, $ Recycle.bin, Sistem Hacmi Bilgileri) ve gibi kritik dosyalar içermez. bootmgr
– ntldr
Ve NTUSER.DAT
artı fidye notu HowToRecoveryFiles.txt
.
Yürütülebilir ürünler (.exe
), Dlls (.dll
), sürücüler (.sys
– .drv
) ve disk görüntüleri (.iso
– .img
) işletim sisteminin önyüklenebilir kalmasını ve fidye talebini gösterebilmesini sağlamak için de bağışlanır.
Dosya başına bir rastgele özel anahtar, sert kodlanmış Direwolf genel anahtarına sahip bir Curve25519 anahtar değişiminde kullanılır.
Ortaya çıkan paylaşılan sır, hem Chacha20 şifreleme anahtarını hem de nonce’yi türetmek için SHA-256 üzerinden hashed’dir.
Küçük dosyalar (<1 MB) are fully encrypted; larger files (>1 MB), adli hasar verirken verimi en üst düzeye çıkarmak için sadece ilk megabaytları şifrelemiştir.

Şifreleme sona erdiğinde, Direwolf bir C:\runfinish.exe
Yeniden şifrelemeyi önlemek için işaretleyici, ardından anında bir sistem yeniden başlatma planlıyor cmd /c start shutdown -r -f -t 10
.
Eşzamanlı olarak, bir kendini aşınma rutini aracılığıyla tetiklenir timeout /T 3
ardından del
kötü amaçlı yazılım yürütülebilir dosyasının ortadan kalkmasını sağlamak – adli iyileşmeyi tamamlamak.
Her şifreli klasör, kurbanın oda kimliğini ve kullanıcı adını içeren bir “HowtorecoveryFiles.txt” notu alır, daha önceki bir ihlalin kanıtı vardır.
Veri açığa çıkmasını kanıtlamak için Direwolf, çalınan dosyaları genel bir dosya paylaşım sitesine yükler ve fidye kitlesel sızıntılar tehdidi ile zorlanır.
Hafifletme
Gençliğine rağmen Direwolf, gelişmiş fidye yazılımı taktiklerini gösterir-Curve25519-chacha20 şifrelemesi, sistemik kurtarma anti-stratejileri ve sağlam kendini savunma mekanizmaları. İmalat, BT, İnşaat, Finans ve ötesinde kuruluşlar akut riskle karşı karşıya. Etkili karşı önlemler şunları içerir:
- Düzenli çevrimdışı yedekler ve değişmez anlık görüntüler.
- İdari ayrıcalıkları ve WMI erişimini kısıtlamak.
- Anormal işlem sonlandırmaları için sürekli izleme.
- Yedek konsollarda çok faktörlü kimlik doğrulama.
Savunma stratejileri bu sofistike saldırılara uyum sağlayana kadar Direwolf, Windows ortamları için ciddi bir küresel tehdit oluşturmaya devam edecek.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.