Storm-1175: Medusa Ransomware ile Zafiyetten Yararlanan Siber Suç Grubu
Siber güvenlik dünyasında, Storm-1175 olarak bilinen bir suç grubunun son aylarda gerçekleştirdiği faaliyetler dikkat çekmektedir. Özellikle, GoAnywhere MFT aracındaki yüksek şiddetteki CVE-2025-10035 zafiyetini kullanarak, Medusa ransomware saldırılarında aktif bir şekilde yer aldıkları tespit edilmiştir. Bu güvenlik açığı, Fortra’nın web tabanlı güvenli dosya transfer aracı GoAnywhere MFT’yi etkilemektedir ve kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıkta uzaktan saldırılar ile exploite edilebilir.
Shadowserver Foundation’daki güvenlik analistleri, şu anda 500’den fazla çevrimiçi GoAnywhere MFT örneğini izlemektedir. Ancak bu sistemlerden kaçının yamalandığı belirsizliğini korumaktadır. Fortra, bu zafiyeti 18 Eylül‘de yamalamış olsa da, aktif bir istismar durumu hakkında bilgi verilmemiştir. Fakat, WatchTowr Labs, bu zafiyetin 10 Eylül’den bu yana sıfır-gün olarak kullanıldığına dair “güvenilir kanıtlar” aldıklarını bildirmiştir. Bu durum, siber güvenlik camiasında önemli bir tartışma yaratmıştır.
Medusa Ransomware Saldırıları ile İlgili İstismar
Microsoft, WatchTowr Labs’ın raporunu doğrulayıp, Storm-1175 grubunun bilinen bir Medusa ransomware ortağı olduğunu ve bu zafiyeti kullanarak 11 Eylül 2025 tarihinden bu yana saldırılar düzenlediğini açıklamıştır. Microsoft Defender araştırmacıları, Storm-1175’e atfedilen taktikler, teknikler ve prosedürler (TTP’ler) doğrultusunda çeşitli organizasyonlarda istismar etkinliği tespit etmiştir.
Saldırıların ilk aşamasında, tehdit aktörü GoAnywhere MFT’deki o dönemdeki sıfır-gün zafiyetinden faydalanarak sisteme erişim sağlamıştır. Erişim sağladıktan sonra, uzaktan izleme ve yönetim (RMM) araçlarını, özellikle de SimpleHelp ve MeshAgent‘i kötüye kullanarak kalıcılık elde etmişlerdir. Saldırının bir sonraki aşamasında ise, RMM ikili dosyaları başlatılmış, ağ keşfi için Netscan kullanılmış ve kullanıcı ile sistem keşfi için komutlar yürütülmüştür. Bu süreçte, Microsoft Remote Desktop Connection istemcisini (mtsc.exe) kullanarak, ele geçirilmiş ağ üzerinde yan hareketler gerçekleştirilmiştir.
Saldırılar sırasında, bir kurbanın ortamına Rclone yerleştirerek çalınan dosyaları dışarıya aktarmış ve Medusa ransomware yüklerini kurbanların dosyalarını şifrelemek için kullanmıştır. Özellikle Mart ayında CISA, FBI ve Multi-State Information Sharing and Analysis Center (MS-ISAC) ile birlikte bir uyarı yayınlayarak Medusa ransomware operasyonunun Amerika Birleşik Devletleri’nde 300’den fazla kritik altyapı örgütünü etkilediğini bildirmiştir.
Cyber Suç Gruplarının İlişkileri ve Savunma Yöntemleri
Microsoft, Storm-1175 grubunu Temmuz 2024’te diğer üç siber suç çetesi ile birlikte, bir VMware ESXi kimlik doğrulama atlatma zafiyetini kullanarak Akira ve Black Basta ransomware’lerinin dağıtılmasına neden olan saldırılarla ilişkilendirilmiştir. Bu durumu göz önüne aldığımızda, siber suçların ve siber tehditlerin giderek daha karmaşık hale geldiği aşikar.
Medusa ransomware saldırılarına karşı GoAnywhere MFT sunucularını korumak isteyen yöneticilere, Microsoft ve Fortra, en son sürümlere güncellemeyi tavsiye etmektedir. Ayrıca, Fortra müşterilerinin, örneklerinin etkilenip etkilenmediğini belirlemek için log dosyalarını SignedObject.getObject dizesi ile kontrol etmeleri gerektiğini belirtmektedir.
Kurumsal güvenlik protokollerinin sürekli güncellenmesi ve genişletilmesi, bu tür saldırılara karşı en etkili savunma mekanizmalarından biridir. Siber suçluların kullandığı taktiklerin ve zayıflıkların anlaşılması, organizasyonların bu tehditlere karşı nasıl daha iyi hazırlıklı olabileceklerini anlamalarına yardımcı olacaktır.
Sonuç olarak, Storm-1175 grubunun Medusa ransomware saldırıları, siber dünyada ciddi bir tehdit oluşturmakta ve organizasyonların güvenlik açıklarını sürekli gözden geçirmeye zorlamaktadır. Bu tür siber saldırılar, sadece belirli bir sektörü değil, geniş bir yelpazedeki işletmeleri de etkilemektedir; bu nedenle tüm sektörlerin dikkatli olması gerekmektedir.
