Anubis Fidye Yazılımının Gelişimi
Anubis, son dönemde dikkat çekici bir şekilde fidye yazılımı-as-a-service (RaaS) operasyonları arasında yerini aldı. İlk olarak Aralık 2024’te gözlemlenen bu yazılım, bu yılın başlangıcında çok daha aktif hale gelmiştir. Anubis, kullanıcılarına şifreleme işlemleri gerçekleştiren bir dizi araç sunarak, kötü niyetli kullanıcıların elinde büyük bir tehdit haline gelmiştir.
2025 Şubat’ında, Anubis operatörleri, RAMP forumunda bir iştirak programı duyurdular. Bu program, Anubis yazılımını kullanan diğer dolandırıcılara büyük kazançlar vaat etmiştir. KELA’dan gelen bir rapora göre, Anubis fidye yazılımı iştirakçilerine elde ettikleri gelirlerin %80’ini sunmaktadır. Veri sömürücü iştirakçilere %60, başlangıç erişimi sağlayan aracı şirketlere ise %50 pay verilmektedir. Bu rakamlar, Anubis’in nasıl bir saldırı ağı oluşturduğunun bir göstergesidir.
Anubis’in Hedefleri ve Etkileri
Anubis’in karanlık web üzerindeki extorison sayfası, şu an yalnızca sekiz kurban listesini içermektedir. Ancak, operatörlerin teknik yeteneklerine duyduğu güven arttıkça saldırı hacminin de artması beklenmektedir. Trend Micro tarafından yapılan bir analiz, Anubis’in sürekli olarak yeni özellikler eklediğini göstermektedir; bunlar arasında dikkat çekici bir şekilde dosya silme işlevi bulunmaktadır.
Araştırmacılar, en son Anubis örneklerinde bu silici modülün bulunduğunu tespit etti. Bu özellik, kurbanların daha hızlı ödeme yapmaları için baskı oluşturmak amacıyla eklenmiştir. Trend Micro’ya göre, Anubis’i diğer RaaS’lerden ayıran özellik, dosya silme özelliği sayesinde kurtarma çabalarını sabote edebileceğidir. Bu da, kurbanlar üzerinde ek bir baskı oluşturarak durumu daha da kötüleştirmektedir.
Dosya Silme Özelliği ve Fonksiyonu
Dosya silme işlevi, komut satırı parametresi ‘/WIPEMODE’ kullanılarak aktive edilmektedir. Bu işlem, anahtara dayalı kimlik doğrulaması gerektirmektedir. Aktif hale getirildiğinde, bu özellik tüm dosya içeriklerini siler ve onları 0 KB boyutuna düşürerek, dosya yapısını ve adlarını korur.
Kurban, beklenen dizinlerde tüm dosyaları görecek, ancak içerikleri geri dönüşümsüz bir şekilde silinmiş olacaktır. Trend Micro’nun analizine göre, Anubis başlangıçta privilege elevation (yetki yükseltme), dizin hariç tutma ve şifreleme için hedef yollar gibi çeşitli komutlar desteği sunmaktadır. Önemli sistem ve program dizinleri, sistemi tamamen işlevsiz hale getirmemek amacıyla varsayılan olarak hariç tutulmaktadır.
Şifreleme ve Dağıtım Yöntemleri
Anubis, Volume Shadow Copies’ı silmekte ve şifreleme sürecini etkileyebilecek süreçleri ve servisleri sonlandırmaktadır. Şifreleme sistemi, ECIES (Elliptic Curve Integrated Encryption Scheme) şeklinde çalışmaktadır ve araştırmacılar, implementasyon da EvilByte ve Prince fidye yazılımları ile benzerlik göstermektedir. Şifrelenen dosyalar ‘.anubis’ uzantısıyla işaretlenirken, etkilenen dizinlerde bir HTML fidye notu bırakılmaktadır. Ayrıca, kötü amaçlı yazılım, masaüstü arka planını değiştirmeye yönelik başarısız bir girişimde de bulunmaktadır.
Saldırıların Başlangıcı: Phishing Yöntemleri
Trend Micro, Anubis saldırılarının genellikle phishing e-postaları ile başladığını tespit etmiştir. Bu e-postalar, kötü niyetli bağlantılar veya ekler taşıyarak kurbanları tuzağa düşürmektedir. Dolayısıyla, dikkatli bir kullanıcı olmanın ve kötü niyetli e-postalardan kaçınmanın önemi her zamankinden fazla artmıştır. Anubis’in etkili bir şekilde tanınabilmesi için, kullanıcıların bu tür göstergelere karşı daha duyarlı olmaları gerekmektedir.
Şu an için Anubis’in saldırılarını tanımlayan tüm göstergelerin (IoCs) tam listesi mevcuttur. Kullanıcıların bu göstergeleri göz önünde bulundurarak kendilerini koruma yollarını aramaları, siber saldırılar karşısında daha güvenli olmalarını sağlayacaktır.
Yazılım dünyası sürekli olarak evrilirken, Anubis gibi fidye yazılımları, kullanıcıların ve uzmanların dikkatini çekmeye devam etmektedir. Güvenlik stratejileri, bu tehditlere karşı daha dayanıklı hale getirilmek zorundadır. Bağlantılı tehditleri tanımak ve önlemek, her bireyin sorumluluğudur.
