Rusça konuşan siber çete OldGremlin, üç yıl aradan sonra 2025’te yeniden sahneye çıktı. Grup, banka hesaplarını boşaltmak ve milyonlarca dolarlık fidye talepleri için sahte e-postalar ve yazılım açıklarını kullanıyor.
Uzun süredir sessiz kalan OldGremlin grubu yeniden ortaya çıktı. 2020’de tespit edilen ve 2022’ye kadar aktif olan grup, tek bir kurbandan 17 milyon dolar fidye talep etmesiyle gündeme gelmişti. Yeni saldırı dalgasıyla birlikte finans, sağlık, üretim ve teknoloji şirketleri başta olmak üzere birçok kurum tehdit altında.
49 GÜN SESSİZ BEKLEYİŞ
Siber güvenlik uzmanlarına göre grup, sistemlere sızdıktan sonra ortalama 49 gün boyunca sessiz kalıyor. Bu sürede bilgi toplayan ve kalıcı hale gelen saldırganlar, ardından fidye yazılımlarını devreye sokarak dosyaları şifreliyor, cihazları ağdan koparıyor ve izleri siliyor.
SAHTE E-POSTA VE YAZILIM AÇIKLARI
OldGremlin, yeni saldırılarında kimlik avı e-postalarını kullanıyor. Sisteme sızdıktan sonra meşru yazılımlardaki açıkları hedef alarak Windows güvenlik önlemlerini devre dışı bırakıyor. Node.js tabanlı kötü amaçlı komut dosyalarıyla ilerleyen grup, “closethedoor” adlı araçla cihazı ağdan koparıp tüm izleri ortadan kaldırıyor.
ŞİRKETLERE UYARI
Uzmanlar, OldGremlin’in geri dönüşünün ciddi bir tehdit oluşturduğunu vurguluyor. Şirketlere yazılım güncellemelerini ihmal etmemeleri, çalışanlarını kimlik avı saldırılarına karşı bilinçlendirmeleri ve kritik sistemlerde ek güvenlik katmanları kullanmaları tavsiye ediliyor.
