2025 yılında Birleşik Krallık’taki kuruluşları hedef alan, yaygın olarak kullanılan SimpleHelp Uzaktan İzleme ve Yönetim platformundaki güvenlik açıklarından yararlanan karmaşık bir fidye yazılımı saldırıları dalgası ortaya çıktı.
Önde gelen iki fidye yazılımı grubu Medusa ve DragonForce, güvenilir üçüncü taraf satıcılar ve Yönetilen Hizmet Sağlayıcılar aracılığıyla yetkisiz erişim elde etmek için üç kritik güvenlik açığını (CVE-2024-57726, CVE-2024-57727 ve CVE-2024-57728) silah haline getirdi.
Saldırı kampanyaları, tehdit aktörlerinin doğrudan mağdur kuruluşları hedeflemek yerine tedarikçi tarafından kontrol edilen RMM altyapısını tehlikeye attığı fidye yazılımı taktiklerinde endişe verici bir değişimi ortaya koyuyor.
Saldırganlar, SİSTEM düzeyinde ayrıcalıklarla çalışan yama uygulanmamış SimpleHelp örneklerinden yararlanarak, minimum dirençle alt müşteri ağları üzerinde kapsamlı kontrol elde etti.
Bu tedarik zinciri yaklaşımı, rakiplerin geleneksel çevre savunmalarını atlamalarına ve kuruluşlar ile hizmet sağlayıcıları arasındaki doğal güvenden yararlanmalarına olanak tanır.
Zensec güvenlik araştırmacıları, 2025’in birinci ve ikinci çeyreğindeki birden fazla izinsiz girişi araştırdıktan sonra bu koordineli kampanyaları belirlediler.
Medusa fidye yazılımı grubu, 2025’in ilk çeyreğinde ilk saldırıyı gerçekleştirdi ve kötü amaçlı yüklerini güvenliği ihlal edilmiş MSP ortamları aracılığıyla dağıttı.
Benzer bir stratejiyi takip eden DragonForce, saldırısını 2025’in ikinci çeyreğinde başlattı ve aynı savunmasız RMM altyapısı üzerinden kuruluşları hedef aldı.
.webp)
Her iki grup da, etkiyi en üst düzeye çıkarmak için otomatik dağıtım araçlarını uygulamalı klavye teknikleriyle birleştirerek gelişmiş operasyonel yetenekler sergiledi.
Etkilenen kuruluşlar için mali ve operasyonel sonuçlar ciddi oldu. Her iki tehdit grubu da sistem şifrelemenin ötesinde, fidye yazılımını dağıtmadan önce hassas kurumsal verileri sızdırarak çifte şantaj taktikleri uyguladı.
Kurbanlar yalnızca şifreli sistemlerin anında kesintiye uğramasıyla değil, aynı zamanda karanlık web sızıntı sitelerinde verilerin ifşa edilmesi tehdidiyle de karşı karşıya kaldı; bu da kuruluşları fidye ödemeleri ve kamuya açıklamayla ilgili karmaşık kararlar almaya zorladı.
Saldırı Uygulama ve Savunmadan Kaçınma Teknikleri
Her iki fidye yazılımı grubu da ele geçirilen SimpleHelp platformu aracılığıyla kurban ağlarına girdikten sonra güvenlik korumalarını devre dışı bırakmak ve kalıcılık sağlamak için gelişmiş araç setleri kullandı.
.webp)
Medusa grubu, ortam genelinde Microsoft Defender korumalarını sistematik olarak ortadan kaldıran PowerShell komutlarını iletmek için PDQ Deploy’dan yararlandı.
Saldırganlar, dışlama yolları eklemek ve gerçek zamanlı izlemeyi devre dışı bırakmak için base64 kodlu komutları çalıştırdı:
Add-MpPreference -ExclusionPath "C:\"
Set-MpPreference -MAPSReporting Disable
Set-MpPreference -DisableRealtimeMonitoring $trueKodlanmış PowerShell yükü PDQ Deploy aracılığıyla teslim edilirken kodu çözülmüş sürüm, savunmayı devre dışı bırakan komutları ortaya çıkarır.
Bunun yanı sıra, tehdit aktörleri tarafından uygulanan özel Defender hariç tutma değişiklikleri.
Medusa grubu, antivirüs ürünlerini daha da engellemek için Smuot.sys ve CSAgent.sys gibi özel sürücülerin yanı sıra “Gaze.exe” olarak tanımlanan fidye yazılımı yükünü de dağıttı.
Araştırmacılar bu sürücüleri bilinen bir güvenlik kaçırma çerçevesi olan Abyssworker araç kitine bağladılar.
DragonForce operatörleri farklı bir yaklaşım benimseyerek “admin” adlı yerel yönetici hesapları oluşturdular ve kalıcı uzaktan erişim için AnyDesk’i kurdular.
Ayrıca SQL parola depolarından düz metin kimlik bilgileri çıkarmak için Get-Veeam-Creds.ps1 komut dosyasını kullanarak Veeam yedekleme sunucularını da hedef alarak yedekleme kurtarma yeteneklerinden etkili bir şekilde ödün verdiler.
Veri sızdırma yöntemleri gruplar arasında farklılık gösteriyordu. Medusa, algılama imzalarından kaçınmak için akıllıca “lsp.exe” olarak yeniden adlandırılan RClone’u, 1500 MB’ın altındaki ve 1500 günden eski dosyaları aktarmak için tasarlanmış filtreleme parametreleriyle kullandı.
DragonForce, çalınan verileri Wasabisys S3 uyumlu bulut depolama uç noktalarına aktarmak için açık kaynaklı bir yedekleme aracı olan Restic’i kullandı.
Şifrelemenin ardından Medusa sistemleri, “!!!READ_ME_MEDUSA!!!.txt” başlıklı fidye notlarıyla birlikte “.MEDUSA” dosya uzantısını görüntülerken DragonForce, etkilenen makinelere “*.dragonforce_encrypted” uzantılarını ekledi ve “readme.txt” notları bıraktı.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
