Rus devlet destekli hacker grubu Sandworm, Ukrayna’nın eğitimini, hükümetini ve ülkenin ana gelir kaynağı olan tahıl sektörünü hedef alan saldırılarda çok sayıda veri silici kötü amaçlı yazılım ailesini kullandı.
Siber güvenlik şirketi ESET’in bugün yayınladığı raporda, saldırıların Haziran ve Eylül aylarında gerçekleştiği ve Sandworm’un (diğer adıyla APT44) Ukrayna’daki yıkıcı operasyonlarının devam ettiği belirtiliyor.
Adından da anlaşılacağı gibi, veri silicinin amacı, dosyaları, disk bölümlerini ve ana önyükleme kayıtlarını kurtarmaya izin vermeyecek şekilde bozarak veya silerek hedefin dijital bilgilerini yok etmektir. Hedef üzerindeki etki yıkıcı olabilir ve telafisi zor aksaklıklar yaratabilir.
Verilerin genellikle çalındığı ve ardından şifrelendiği fidye yazılımlarının aksine, silme amaçlı kötü amaçlı yazılımlar yalnızca sabotaj operasyonlarında kullanılır.
Rus işgalinden sonra Ukrayna, çoğu PathWiper, HermeticWiper, CaddyWiper, Whispergate ve IsaacWiper gibi Rus devleti destekli aktörlere atfedilen çok sayıda veri silme kampanyasının hedefi oldu.
Yıkıcı saldırılar devam ediyor
ESET’in yeni raporu, Nisan ve Eylül 2025 arasındaki ileri düzey kalıcı tehdit (APT) faaliyetlerini kapsıyor ve Ukrayna’da konuşlandırılan ve bazıları ülkenin tahıl üretimini hedef alan çeşitli silecek vakalarını sunuyor.
Saldırganlar, özellikle savaş sırasında ana gelir kaynağının tahıl ihracatı olması nedeniyle, saldırganların artık Ukrayna’nın hayati önem taşıyan ekonomik sektörüne odaklandığını gösterdiği için bu yeni bir gelişme.
ESET şöyle açıklıyor: “Haziran ve Eylül aylarında Sandworm, devlet, enerji, lojistik ve tahıl sektörlerinde faaliyet gösteren Ukraynalı kuruluşlara karşı çok sayıda veri silici kötü amaçlı yazılım çeşidini kullandı.”
“Dördünün de 2022’den bu yana silici saldırıların hedefi olduğu belgelenmiş olsa da, tahıl sektörü pek sık rastlanmayan bir hedef olarak öne çıkıyor.”
“Tahıl ihracatının Ukrayna’nın ana gelir kaynaklarından biri olmaya devam ettiği göz önüne alındığında, bu tür bir hedefleme muhtemelen ülkenin savaş ekonomisini zayıflatma girişimini yansıtıyor.”
APT44 ayrıca Nisan 2025’te Ukrayna’daki bir üniversiteyi hedef alarak ‘ZeroLot’ ve ‘Sting’ sileceklerini konuşlandırdı. Sting, adını geleneksel Macar yemeği gulaşından alan bir Windows zamanlanmış görevi aracılığıyla gerçekleştirildi.
Bu olayların bazılarına ilk erişimin UAC-0099 tarafından sağlandığı ve UAC-0099’un daha sonra erişimi silecek dağıtımı için APT44’e aktardığı belirtiliyor.
UAC-0099, en az 2023’ten beri faaliyet gösteren ve saldırılarını Ukraynalı kuruluşlara yoğunlaştıran bir tehdit aktörüdür.
Araştırmacılar, Sandworm’un son zamanlarda casusluk operasyonlarına daha fazla odaklandığını ancak Ukrayna kuruluşlarına yönelik veri silme saldırılarının tehdit grubu için sürekli bir faaliyet olmaya devam ettiğini belirtiyor.
ESET ayrıca, belirli bir tehdit grubuna atfedilemeyen, ancak İranlı bilgisayar korsanlarıyla ilişkili taktikler, teknikler ve prosedürlerle (TTP’ler) tutarlı olan, İran bağlantılı faaliyetler de tespit etti.
Haziran 2025’te bu faaliyet kümeleri, İsrail’in enerji ve mühendislik sektörlerini hedef alan, kamuya açık açık kaynaklı sileceklere dayanan Go tabanlı araçları kullanmaya başladı.
Fidye yazılımını önlemeye yönelik kılavuzların çoğu aynı zamanda veri sileceklerine karşı savunmaya da yardımcı olur. Önemli bir adım, kritik veri yedeklerini çevrimdışı ortamda bilgisayar korsanlarının erişemeyeceği bir yerde tutmaktır.
Güçlü uç nokta tespit ve izinsiz giriş önleme sistemlerinin uygulanması ve tüm yazılımların güncel tutulması, veri silme olayları da dahil olmak üzere çok çeşitli saldırıları önleyebilir.
MCP (Model Bağlam Protokolü), LLM’leri araçlara ve verilere bağlamak için standart haline geldikçe, güvenlik ekipleri bu yeni hizmetleri güvende tutmak için hızla hareket ediyor.
Bu ücretsiz yardımcı sayfa, bugün kullanmaya başlayabileceğiniz en iyi 7 uygulamayı özetlemektedir.