Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Movalar Olası Grubu sadece kötü amaçlı yazılımlarını suçlulara pazarlamakla kalmıyor
Mathew J. Schwartz (Euroinfosec) •
17 Haziran 2025
Gelecek ve gelecek fidye yazılımı grubu Anubis, kötü amaçlı yazılımlarını, kurbanların verilerini geri döndürülemez bir şekilde silmek için değiştirdi-tipik bozuk pazarlığı gasp parası karşılığında verileri geri yükleyen hackerlardan alışılmadık bir taktik.
Ayrıca bakınız: Ondemand | Modern işletmeler kapsamlı kimlik güvenliği programları gerektirir: Kimlik güvenliğinde liderden en iyi uygulamalar
Rusça konuşan Ransomware-Hizmet Grubu’nun kötü amaçlı yazılımı artık “şifrelemeden sonra bile kurtarma çabalarını sabote etmek için tasarlanmış bir dosya açma özelliği” içeriyor.
Trellix’teki tehdit istihbarat başkanı John Fokker, “Bence fidye yazılımı iş modeline aykırı,” dedi. Kısmen, Wiping’in fidye ödemesi almak için kurbanlarla müzakere ettikleri için saldırganlar için herhangi bir ek “gerçek kaldıraç türü” sağlamadığını söyledi.
Anubis kullanıcıları için Trend Micro, kötü amaçlı yazılımların parametrelerinin ayrıcalıkları yükseltme, hangi dizinlerin hariç tutulacağını ve şifrelemeye yönelik belirli yolları belirtme yeteneğini içerdiğini söyledi. Yeni bir parametre /WIPEMODEenfeksiyon sırasında dosyaları silecek, dosya adlarını sağlam bırakacak, ancak tüm içeriğin üzerine yazacak ve dosya boyutlarını sıfır kilobaytlara düşürecek.
Trend Micro’da kıdemli bir tehdit araştırmacısı olan David Sancho, “Şirkete enfekte etmek için kullanılacak yürütülebilir dosyayı oluşturma sırasında belirleniyor” dedi.
Anubis, kötü amaçlı yazılımlarını açmadan önce bir kurbandan gelen verileri düzenli olarak söndürdüğünü söyledi. Fidye yazılımı müzakerelerinin bir parçası olarak, grup, muhtemelen yapay zeka araçları kullanılarak oluşturulan çalınan verilerin bir özetini gönderiyor ve çeşitli veri koruma ajanslarına kamuya açıklamakla tehdit ediyor.
Silecek yeteneği, genellikle antropomorfize bir çakal olarak temsil edilen öbür yaşam ve mumyalama Mısır tanrısı için adlandırılan fidye yazılımlarına oynuyor gibi görünüyor.
Anubis fidye yazılımı ilk olarak Aralık 2024’te ortaya çıktı ve o zamandan beri artan sayıda kurban talep etti. Tehdit istihbarat firması Kela, Şubat ayında bir raporda grubun eski fidye yazılım grubu iştiraklerinin çalışması gibi göründüğünü söyledi. Grubun ayrıca rampa ve XSS siber suç forumlarında bir varlığı var (bkz: Fidye yazılımı saldırıları artmaya devam ediyor gibi görünüyor).
Fidye yazılımı, isimlendirilen mobil kötü amaçlı yazılımlarla hiçbir bağlantı paylaşmıyor gibi görünüyor. 2018’de Sophos, Anubis’in mobil kötü amaçlı yazılımının yaratıcısının, Android dosyalarını zorla şifrelemek için tasarlanmış bir fidye yazılımı bileşeni inşa ettiğini ve onlara bir .Anubiscrypt eklenti. Bu kötü amaçlı yazılım kodu, 2019’da çevrimiçi sızdırıldı ve yüzlerce finansal ve kripto para borsası uygulamasının görünümünü taklit eden Godfather Banking Truva atı gibi spinofflar.
İş Soruları
Çevrimiçi gaspçıların neden içinde hiçbir şey olmayan bir kabuk bırakarak dosyaları mumyalamak isteyecekleri – silme özelliğinin izniyle – açık bir sorudur.
Saldırganların oyun kitabı uzun zamandır dosyaları şifrelemeyi ve mağdurların bir şifreleme için ödeme talep etmesini içeriyordu. Enfekte sistemlerdeki geri sayım zamanlayıcıları baskıya katkıda bulunur ve saldırganlar hızlı bir şekilde ödeme yapan kuruluşlar için “indirimler” sunar. Mağdurlar genellikle bu tür saldırıları rapor ederek kolluk kuvvetlerinin yaygın olarak kullanılan taktiklerini izlemesini ve köreltmesini zorlaştırıyor.
Bir saldırgan, bir kurban ödedikten sonra bile silinecek bir sistemi belirlerse, yedeklemelerden geri yükleyemeseler bile, gelecekteki herhangi bir Anubis kurbanının ödemesi gerekir? Teorik olarak, saldırganlardan saldırıyı duyurmama sözü verebilirler. Ancak şirket sistemlerini yedeklemelerden geri yükleyemez veya silinmiş oldukları için dosyaları şifresini çözemezse, daha büyük sorunlar yaşayacaktır.
Silecekler tarihsel olarak finansal olarak motive edilen fidye yazılımı saldırılarında hiçbir rol oynamadı. Fokker, böyle bir yeteneğin dahil edilmesi “Anubis müşterilerinin kim olduğunu merak ediyor” dedi.
Silecekler daha önce, on binlerce iş istasyonunu tuğla eden İran’a atfedilen 2012 yılında Suudi Aramco’ya karşı da dahil olmak üzere yüksek profilli saldırılarda yer almışlardı. Bir başka büyük silecek saldırısı, Rusya’nın Notpetya sahte fidye yazılımını içeriyordu.
Rusya’nın açılış gününde Şubat 2022’de Ukrayna’ya karşı fetih savaşını başlatan Moskova, asidrain kötü amaçlı yazılım şeklinde tekrar bir silecek çıkardı ve on binlerce Viasat KA-Sat uydu iletişim ağı tüketici geniş bant modemlerini Doğu Avrupa’da kalıcı olarak devre dışı bıraktı. Zarar verirken, bu ve Moskova tarafından çatışmanın başlarında konuşlandırılan diğer yıkıcı kötü amaçlı yazılımlar, görünüşe göre silecek rezervlerini tüketmeden önce, Rus kuvvetlerine bir avantaj sağlayamadı.
Geleneksel silecek kullanıcılarının ulus devlet grupları olduğu göz önüne alındığında, Anubis artık müşteri tabanını genişletmeye ve yıkıcı çabalar yapmak isteyebilecek takımlara hackleme, suçluların işi gibi görünmektedir.
Kremlin, sınırlarının içinde faaliyet gösteren aktif siber suçlu yeraltına ünlüdür. Bazı gruplar ve Rus istihbarat ajansları arasında doğrudan bağlantılar vardır (bkz: Eski FSB yetkilisi tarafından korunan Evil Corp, polis).
Rus hükümetinin, batı düşmanlarının yararlı sıkıntılarının aksine, siber suçlulara inkar yardımcıları olarak nasıl davrandığı – doğrudan kanıtların ortaya çıkmasına rağmen tamamen açık değildir. Kremlin muhtemelen böyle seviyor. Ve Anubis’in muhtemelen nasıl sevdiği.