Giriş
Silent Ransom Group, sosyal mühendislik saldırıları yoluyla ABD’li hukuk firmalarını ve profesyonel hizmet organizasyonlarını hedef alarak veri hırsızlığına neden olmaktadır. Mandiant’ın raporuna göre, bu saldırılar genellikle ilk temastan kısa bir süre içinde meydana gelmektedir.
Saldırı Nasıl Çalışıyor?
Mandiant’a göre, bu tehdit grubu UNC3753, Luna Moth ve Chatty Spider olarak takip edilmektedir. Ocak 2026 ve Mayıs 2026 arasında, yasal, finansal ve profesyonel hizmet sektörlerinde birçok organizasyon hedef alınmıştır. Saldırılar, tüketici e-posta hesaplarından gelen fatura temalı oltalama e-postalarıyla başlamaktadır. Bu e-postalarda kötü amaçlı bağlantılar veya ekler yoktur; ama bunun ardından, saldırganlar kurumsal IT personeli gibi davranarak telefon görüşmeleri yapmaktadır.
Saldırganların sesli arama yoluyla gerçekleştirdiği bu saldırılar, yıllardır kullanılan BazarCall sosyal mühendislik kampanyaları ile ilişkilendirilmektedir. Yalnızca callback phishing saldırıları ile kurbanlarına zarar vermektedirler; masum görünümlü oltalama e-postaları gönderip, alıcıları telefonla geri aramaya teşvik etmektedirler.
Etkilenen Sistemler
Silent Ransom Group, IT destek masaları gibi davranarak çalışanları Microsoft Teams, Zoom, Quick Assist veya Microsoft Terminal Services üzerinden uzaktan destek oturumlarına katılmaya ikna etmektedir. Bu oturumlar sırasında, hedef kişiyi AnyDesk, Zoho Assist, Bomgar veya SuperOps gibi uzaktan izleme ve yönetim araçlarını yüklemeye kandırarak kurumsal ağa başlangıç erişimi elde etmektedirler.
Ayrıca, araştırmacılar saldırıyla bağlantılı oltalama alan adları belirlemiştir. Örneğin, bazı alan adları şu şekildedir:
-itdesk.com -it.com -helpdesk.com
Çözüm ve Korunma
Bir kez ağa sızdıktan sonra, grup hassas yasal ve mali belgeleri aramakta; bu belgeler arasında sözleşmeler, vergi kayıtları, Sosyal Güvenlik numaraları ve birleşme veya satın alma dosyaları bulunmaktadır. Saldırganlar genellikle belgesel yönetim platformlarına ve bulut depolama alanlarına hedeflenmektedir ve veri sızdırma işlemleri için WinSCP veya Rclone gibi araçlar kullanmaktadır.
Mandiant, bu siber tehlikenin oldukça agresif olduğunu ve fidye taleplerinin çoğunlukla kurban ortamından ayrıldıktan 30 dakika içinde geldiğini bildirmektedir.
Bu saldırılara karşı korunmak için hem Mandiant hem de FBI, aşağıdaki önerileri sunmaktadır:
- IT destek etkileşimleri için sıkı doğrulama prosedürleri uygulamak
- Uzaktan erişim araçlarını sınırlamak
- Çok faktörlü kimlik doğrulama (MFA) uygulamak
- USB depolama aygıtlarını kısıtlamak
- Çalışanları sesli oltalama girişimlerini tanımaları için eğitmek
Sonuç
Kurumlar, Silent Ransom Group gibi tehdit gruplarının hedefi olmamak için acilen güvenlik önlemlerini gözden geçirmelidir. Yazılım güncellemeleri yapmalı, uzaktan erişim araçlarını sıkı bir şekilde kontrol etmeli ve çalışanlarını sesli oltalama tehlikeleri konusunda bilinçlendirmelidir. Unutulmamalıdır ki, bu tehditlere karşı proaktif olmak, veri güvenliğini sağlamanın en etkili yoludur.
