DragonForce: Yeni Tehdit Aktörleri ve Ransomware Dalgası
Günümüzde siber güvenlik dünyası, yeni tehdit aktörleri ve karmaşık ransomware saldırıları ile dolup taşıyor. DragonForce, son zamanların en dikkat çekici ransomware gruplarından biri haline geldi. Bu grup, bir Yönlendirilmiş Hizmet Sağlayıcısı’nın (MSP) SimpleHelp uzaktan izleme ve yönetim aracına erişim sağlayarak, birçok uç birime veri sızdırma ve şifreleme işlemlerini gerçekleştirdi. Analizler, saldırganların, 2025 yılı Ocak ayında bildirilen üç güvenlik açığını (CVE-2024-57727, CVE-2024-57728 ve CVE-2024-57726) kullanarak MSP’nin sistemlerine sızdıklarını ortaya koyuyor.
Ransomware Saldırılarındaki Gelişmeler
Sophos adlı siber güvenlik şirketi, olayın ardından SimpleHelp yükleyici dosyasının şüpheli bir biçimde kurulumuna dair bildirim aldı. Saldırganların, MSP’nin uzaktan izleme aracını kullanarak müşteri ortamlarından cihaz isimleri, ağ bağlantıları ve kullanıcılar hakkında bilgi topladıkları tespit edildi. Ransomware saldırılarının ciddi boyutlara ulaştığı günümüzde, bazı MSP müşterilerinin saldırganların erişimlerini etkisiz hale getirirken, diğer bazı müşterilerin veri kaybı ve ransomware saldırısı ile etkilendiği görülmüştür.
Çifte İstismar: DragonForce ve Saldırı Modelleri
DragonForce, saldırılarında çifte istismar yöntemini benimseyerek, yalnızca veri sızdırmakla kalmayıp, ayrıca fidye talep eden ek saldırılar gerçekleştirmektedir. Bu durum, grubu siber suç dünyasında oldukça kârlı bir aktör konumuna getirmektedir. DragonForce’ın yeni bir ransomware “karteli” olarak yeniden yapılandığı ve diğer siber suçlulara, farklı isimler altında kendi versiyonlarını üretmeleri için bir model sunduğu dikkat çekmektedir.
Bu suç grubunun yükselişi, BlackLock ve Mamona ransomware gruplarının işletimlerindeki sızıntılarla çakışmaktadır. Aynı zamanda, LockBit ve BlackCat’ın çöküşünden sonra ortaya çıkan RansomHub adlı e-suç grubunun "düşmanca bir ele geçirilmesi" gibi olaylar yaşanmaktadır. Son olarak, Birleşik Krallık perakende sektöründeki saldırılar, DragonForce grubunun aktifliğine dair önemli bir gösterge olmuştur.
Scattered Spider ve İlişkili Gruplar
DragonForce’ın eylemlerinin arkasında, Scattered Spider adlı başka bir grubun da olduğu iddia edilmektedir. Bu grup, kimlik odaklı saldırı yöntemleri ile bilinmektedir ve DragonForce’ın içinde bulunduğu yeni yapılanmada bir erişim aracı veya işbirlikçi olarak öne çıkmaktadır. Scattered Spider, Birleşik Krallık ve Amerika Birleşik Devletleri’nden gençleri nasıl suç ağına dizayn ettiğine dair belirsizlik yaşıyor.
Ransomware gruplarının giderek parçalanması, merkezi hizmet ağlarının dağılması ve düşük bağlılıkla mücadele eden Çete yapıları, siber güvenlik alanındaki potansiyel tehditleri artırmaktadır. Bu durum, siber saldırganların stratejilerinde değişiklikler yapmasına neden olmaktadır. Yapay zeka kullanarak malware geliştirilmesi, bu süreçte önemli bir unsur haline gelmiştir.
LockBit ve Ransomware Ekosistemindeki Değişimler
LockBit, 2024 yılı başında gerçekleştirilen uluslararası hukuk uygulaması sonucu önemli bir operasyonel setbeka ile karşılaşmıştır. Operasyonun ardından grup, faaliyetlerini kısmen yeniden başlatmayı başarsa da, yakın zamanda başka bir darbe ile karşılaşmıştır. Dark web üzerindeki birleşik panellerinin sızdırılması, müzakerelerde kullanılan iletişimlerin, özelleştirilmiş saldırıların ve kurtarma taleplerinin ifşa olmasına yol açmıştır.
Bunun yanında, farklı saldırı grupları, başta 3AM ransomware olmak üzere, e-posta bombardımanı ve sesli dolandırıcılık (vishing) kombinasyonlarıyla şirket ağlarını aştırmaya çalışmaktadır. Bu tür saldırganlar, çalışanları aldatma amacıyla teknik destek olarak sahte kimliklerle uzaktan erişim sağlamaya çalışmaktadır.
Şirketler İçin Güvenlik Önlemleri
Sophos, bu tür ransomware saldırılarının çoğunlukla önlenebileceğini belirtmektedir. Şirketlerin, çalışanlarının farkındalığını artırması ve uzaktan erişimi sıkı bir şekilde sınırlandırmaları gerekmektedir. Bu bağlamda, sanal makinelerin ve uzaktan erişim yazılımlarının yürütülmesini engelleyen politikaların benimsenmesi önemlidir.
Sonuç olarak, siber güvenlik dünyasında yaşanan gelişmeler, şirketlerin güvenlik protokollerini sürekli güncellemelerini zorunlu kılmaktadır. Bu bağlamda, DragonForce gibi grupların faaliyetleri, yeni stratejilerin ve önlemlerin geliştirilmesini gerekli hale getirmektedir.
