Giriş
Son dönemlerde, Medusa fidye yazılımını kullanan Çin merkezli bir tehdit grubu olan Storm-1175’in, kritik sistemleri hedef alarak gerçekleştirdiği “yüksek hızda” saldırılar dünya genelinde siber güvenlik tehditlerini artırmıştır. Bu saldırılar, hem kamu hem de özel sektörün birçok alanında ciddi tahribatlara yol açmakta ve siber güvenlik önlemlerinin acil olarak gözden geçirilmesi gerekliliğini ortaya koymaktadır.
Saldırı Nasıl Çalışıyor?
Storm-1175, saldırılarını gerçekleştirebilmek için hem sıfırıncı gün (zero-day) hem de N-gün (N-day) zayıflıklarını kullanmakta ve bu yöntemlerle hedef sistemlere sızmaktadır. Özellikle, öncelikle CVE-2025-10035 ve CVE-2026-23760 gibi zayıflıkların sıfırıncı gün olarak kullanıldığı bildirilmiştir. Bu tehdit grubu, ilk erişimi sağladıktan sonra:
- Veri sızdırma işlemlerine hızla geçmektedir.
- Fidye yazılımı olan Medusa’yı birkaç gün içinde veya bazı durumlarda sadece 24 saat içinde sistemlere yayarak etkisini artırmaktadır.
- Hatırlatıcı olması açısından, OWASSRF gibi birden fazla zayıflığı bir araya getirerek saldırılarını derinleştirmektedir.
Etkilenen Sistemler
Saldırılar, genellikle çevrimiçi sistemlere yönelik gerçekleştirilmektedir ve aşağıdaki sektörleri kapsamaktadır:
- Sağlık hizmetleri
- Eğitim sektörü
- Profesyonel hizmetler
- Finans sektörü
Storm-1175, örneğin, zayıf olan Oracle WebLogic sistemlerini hedef alarak Linux tabanlı sistemleri de tehdit altına almıştır.
Çözüm ve Korunma
Şirketlerin ve kurumların aşağıdaki önlemleri alması kritik öneme sahiptir:
- Sistemlerinizi ve yazılımlarınızı düzenli olarak güncelleyerek yüksek risk taşıyan zayıflıklara karşı koruma sağlayın.
- Açık portları kapatın ve gereksiz hizmetleri devre dışı bırakın.
- Uzaktan kontrol yazılımlarını (RMM) dikkatle inceleyin ve standart olarak güvenlik önlemleri uygulayın.
- Kötü niyetli yazılımların engellenmesi için güvenlik çözümlerini güçlendirin ve etkin yapılandırma yapın.
Microsoft’un belirttiği gibi, Storm-1175, açıklamaların yayımlanması ile yamanın mevcut olmadığı dönemlerden yararlanarak hızlı bir şekilde exploit değiştirip saldırı gerçekleştirmektedir. Bu nedenle, sürekli güncel kalmak zorunludur.
Aksiyon
Siber güvenlik konusunda gerekli önlemleri alarak mevcut zayıflıklara karşı savunmanızı güçlendirin. Hemen güncellemelerinizi kontrol edin, açık portları kapatın ve uzaktan erişim çözümlerinizi sıkı bir şekilde gözden geçirin. Unutmayın, proaktif önlemler almak, siber saldırılara karşı en iyi savunmadır.
