Siber güvenlik araştırmacıları, yeni bir fidye yazılımı ailesinin ayrıntılarını açıkladı Osiris Kasım 2025’te Güneydoğu Asya’daki büyük bir gıda hizmeti franchise sahibi operatörünü hedef aldı.
Symantec ve Carbon Black Tehdit Avcısı Ekibi, saldırının, güvenlik yazılımını devre dışı bırakmak için kendi savunmasız sürücünüzü getirme (BYOVD) olarak adlandırılan bilinen bir tekniğin parçası olarak POORTRY adlı kötü niyetli bir sürücüden yararlandığını söyledi.
Osiris’in yepyeni bir fidye yazılımı türü olarak değerlendirildiğini ve Aralık 2016’da Locky fidye yazılımının yinelemesi olarak ortaya çıkan aynı adı taşıyan başka bir varyantla hiçbir benzerlik taşımadığını belirtmekte fayda var. Şu anda dolabın geliştiricilerinin kim olduğu veya hizmet olarak fidye yazılımı (RaaS) olarak tanıtılıp tanıtılmadığı bilinmiyor.
Ancak Broadcom’un sahibi olduğu siber güvenlik bölümü, fidye yazılımını dağıtan tehdit aktörlerinin daha önce INC fidye yazılımı (diğer adıyla Warble) ile ilişkili olabileceğini gösteren ipuçları tespit ettiğini söyledi.
Şirket, The Hacker News ile paylaşılan bir raporda, “Bu saldırıda, kötü niyetli bir POORTRY sürücüsünün yanı sıra, güvenlik yazılımını devre dışı bırakmak için kendi savunmasız sürücünüzü getir (BYOVD) saldırısının bir parçası olarak kullanılmış olan geniş bir yelpazedeki arazi ve çift kullanımlı araçlar kullanıldı.” dedi.
“Verilerin saldırganlar tarafından Wasabi paketlerine sızdırılması ve INC fidye yazılımını dağıtan saldırganlar tarafından daha önce aynı dosya adıyla (kaz.exe) kullanılan Mimikatz sürümünün kullanılması, bu saldırı ile INC’nin dahil olduğu bazı saldırılar arasındaki potansiyel bağlantılara işaret ediyor.”
Muhtemelen deneyimli saldırganlar tarafından kullanılan “etkili şifreleme yükü” olarak tanımlanan Osiris, hibrit bir şifreleme şeması ve her dosya için benzersiz bir şifreleme anahtarı kullanıyor. Ayrıca hizmetleri durdurabilmesi, hangi klasörlerin ve uzantıların şifrelenmesi gerektiğini belirleyebilmesi, işlemleri sonlandırabilmesi ve fidye notu bırakabilmesi açısından da esnektir.
Varsayılan olarak, diğerlerinin yanı sıra Microsoft Office, Exchange, Mozilla Firefox, WordPad, Not Defteri, Birim Gölge Kopyası ve Veeam ile ilgili uzun bir işlem ve hizmet listesini ortadan kaldırmak için tasarlanmıştır.
Hedefin ağındaki kötü niyetli etkinliğin ilk işaretleri, fidye yazılımı dağıtımından önce Rclone kullanılarak hassas verilerin Wasabi bulut depolama grubuna sızdırılmasıydı. Saldırıda ayrıca Netscan, Netexec ve MeshAgent gibi bir dizi çift kullanımlı aracın yanı sıra Rustdesk uzak masaüstü yazılımının özel bir sürümü de kullanıldı.
POORTRY, hedef ağa yasal ancak savunmasız bir sürücü dağıtmak yerine, ayrıcalıkları yükseltmek ve güvenlik araçlarını sonlandırmak için açıkça tasarlanmış özel bir sürücü kullanması açısından geleneksel BYOVD saldırılarından biraz farklıdır.
Symantec ve Carbon Black Tehdit Avcısı Ekibi, “Güvenlik süreçlerini sonlandırmak için savunmasız sürücüleri dağıtmak için kullanılan bir araç olan KillAV, hedefin ağında da konuşlandırıldı” dedi. “Ağda RDP de etkinleştirildi ve muhtemelen saldırganlara uzaktan erişim sağlayacak.”
Bu gelişme, fidye yazılımının önemli bir kurumsal tehdit olmaya devam ettiği, bazı grupların kapılarını kapatması ve diğerlerinin hızla küllerinden doğması ya da onların yerini almak için harekete geçmesi nedeniyle manzaranın sürekli değiştiği bir dönemde ortaya çıkıyor. Symantec ve Carbon Black’in veri sızıntısı siteleri üzerinde yaptığı analize göre fidye yazılımı aktörleri, 2024’te 4.701 olan saldırı sayısını %0,8 artışla 2025’te toplam 4.737’ye çıkardı.
Geçtiğimiz yılın en aktif oyuncuları Akira (diğer adıyla Darter veya Howling Scorpius), Qilin (diğer adıyla Stinkbug veya Water Galura), Play (diğer adıyla Balonfly), INC, SafePay, RansomHub (diğer adıyla Greenbottle), DragonForce (diğer adıyla Hackledorb), Sinobi, Rhysida ve CACTUS oldu. Uzaydaki diğer dikkate değer gelişmelerden bazıları aşağıda listelenmiştir:
- Akira fidye yazılımını kullanan tehdit aktörleri, 2025’in ortalarında ve sonlarında gözlemlenen saldırılarda Bumblebee yükleyicisini dışarıdan yüklemek için Windows CardSpace Kullanıcı Arayüzü Aracısı ve Microsoft Media Foundation Korumalı Boru Hattının yanı sıra savunmasız bir Throttlestop sürücüsünden yararlandı.
- Akira fidye yazılımı kampanyaları, birleşme ve satın almalar sırasında küçük ve orta ölçekli işletme ortamlarını ihlal etmek ve sonuçta daha büyük, satın alan kuruluşlara erişim sağlamak için SonicWall SSL VPN’lerinden de yararlandı. Başka bir Akira saldırısının, uzaktan kontrol ve fidye yazılımı dağıtımı için bir kanal görevi gören SectopRAT adlı bir .NET uzaktan erişim truva atını düşürmeye yönelik ClickFix tarzı CAPTCHA doğrulamasını kullandığı tespit edildi.
- Ekim 2025’te DragonForce ve Qilin ile ortaklık kuran LockBit (diğer adıyla Syrphid), kolluk kuvvetlerinin 2024 başlarında faaliyetlerini durdurma operasyonuna rağmen altyapısını korumaya devam etti. Ayrıca, birden fazla işletim sistemini ve sanallaştırma platformunu hedefleyen LockBit 5.0 varyantlarını da yayınladı. LockBit 5.0’a yapılan önemli bir güncelleme, yükleyiciyi ana yükten ayıran ve aynı anda kaçınmayı, modülerliği ve yıkıcı etkiyi en üst düzeye çıkaran iki aşamalı bir fidye yazılımı dağıtım modelinin tanıtılmasıdır.
- Sicarii adlı yeni bir RaaS operasyonu, ilk kez 2025’in sonlarında ortaya çıktığından bu yana yalnızca bir kurbanın olduğunu iddia etti. Grup kendisini açıkça İsrailli/Yahudi olarak tanımlasa da, analiz, yeraltındaki çevrimiçi faaliyetlerin çoğunlukla Rusça yürütüldüğünü ve tehdit aktörü tarafından paylaşılan İbranice içeriğin dilbilgisi ve anlambilimsel hatalar içerdiğini ortaya çıkardı. Bu durum sahte bayrak operasyonu ihtimalini artırdı. Sicarii’nin birincil Sicarii operatörü “@Skibcum” Telegram hesabını kullanıyor.
- Storm-2603 (diğer adıyla CL-CRI-1040 veya Gold Salem) olarak bilinen tehdit aktörünün, Warlock, LockBit ve Babuk fidye yazılımının yayılmasına yol açan öncü faaliyetin bir parçası olarak meşru Velociraptor dijital adli tıp ve olay müdahale (DFIR) aracından yararlandığı gözlemlendi. Saldırılarda ayrıca BYOVD saldırısı kullanan güvenlik çözümlerini devre dışı bırakmak için “vmtools.exe” ile birlikte iki sürücü (“rsndispot.sys” ve “kl.sys”) kullanıldı.
- Hindistan, Brezilya ve Almanya’daki kuruluşlar, ağ taraması, ayrıcalık yükseltme, güvenlik yazılımını devre dışı bırakma, kimlik bilgileri dökümü ve fidye yazılımı dağıtımı için araçlar hazırlamak üzere açık ve güvenli olmayan RDP sistemlerini kullanan Makop fidye yazılımı saldırılarının hedefi oldu. Saldırılar, BYOVD saldırıları için “hlpdrv.sys” ve “ThrottleStop.sys” sürücülerini kullanmanın yanı sıra fidye yazılımı yükünü sağlamak için GuLoader’ı da kullanıyor. Bu, Makop’un bir yükleyici aracılığıyla dağıtıldığı belgelenen ilk vakadır.
- Fidye yazılımı saldırıları aynı zamanda keşif, ayrıcalık yükseltme, RDP aracılığıyla yanal hareket gerçekleştirmek ve ardından verileri geçici ortamlara sızdırmak için zaten güvenliği ihlal edilmiş RDP kimlik bilgilerini kullanarak ilk erişimi elde etti.[.]Saldırının altıncı gününde sh ve üç gün sonra Lynx fidye yazılımını dağıttı.
- Obscura fidye yazılımıyla ilişkili şifreleme sürecindeki bir güvenlik kusurunun, büyük dosyaları kurtarılamaz hale getirdiği tespit edildi. Coveware, “Büyük dosyaları şifrelediğinde, şifrelenmiş geçici anahtarı dosyanın alt bilgisine yazamıyor” dedi. “1 GB’ın üzerindeki dosyalar için bu altbilgi hiçbir zaman oluşturulmaz; bu da şifre çözme için gereken anahtarın kaybolduğu anlamına gelir. Bu dosyalar kalıcı olarak kurtarılamaz.”
- 01flip adlı yeni bir fidye yazılımı ailesi, Asya-Pasifik bölgesindeki sınırlı sayıdaki kurbanı hedef aldı. Rust’ta yazılan fidye yazılımı hem Windows hem de Linux sistemlerini hedef alabiliyor. Saldırı zincirleri, hedef ağlara erişim sağlamak için bilinen güvenlik açıklarından (örn. CVE-2019-11580) yararlanmayı içerir. CL-CRI-1036 olarak bilinen mali motivasyonlu bir tehdit aktörüne atfediliyor.
Hedefli saldırılara karşı koruma sağlamak için kuruluşlara, çift kullanımlı araçların kullanımını izlemeleri, RDP hizmetlerine erişimi kısıtlamaları, çok faktörlü kimlik doğrulamayı (2FA) zorunlu kılmaları, uygulanabilir olduğunda uygulama izin verilenler listesine eklemeleri ve yedek kopyaların tesis dışında depolanmasını uygulamaları önerilir.
Symantec ve Carbon Black, “Şifrelemeli fidye yazılımını içeren saldırılar her zamanki kadar yaygın ve hala tehdit oluşturmaya devam ederken, yeni tür şifrelemesiz saldırıların ortaya çıkışı başka bir risk düzeyi daha ekleyerek, fidye yazılımının yalnızca bir bileşeni haline gelebileceği daha geniş bir gasp ekosistemi yaratıyor” dedi.