Siber Güvenlik

Kritik: Qilin ve Warlock Ransomware 300+ EDR Aracını Nasıl Devre Dışı Bırakıyor?

teknomers
teknomers

Giriş

Son dönemde, Qilin ve Warlock fidye yazılımları, sistem güvenliğini aşmak için, “bring your own vulnerable driver” (BYOVD) tekniğini kullanarak dikkat çekmektedir. Bu tür saldırılar, birçok kuruluş için ciddi tehditler oluşturarak güvenlik araçlarını devre dışı bırakabilmektedir.

Saldırı Nasıl Çalışıyor?

Qilin saldırıları, Cisco Talos ve Trend Micro tarafından analiz edildiğinde, aşağıdaki yöntemlerin kullanıldığını göstermektedir:

  • msimg32.dll adlı kötü amaçlı bir DLL dosyası dağıtılmakta, bu da çok aşamalı bir enfeksiyon zincirini başlatmaktadır.
  • Bu DLL, EDR çözümlerini devre dışı bırakmak için 300’den fazla EDR sürücüsünü sonlandırabilmektedir.
  • DLL yükleyici, çeşitli algılama önleme teknikleri kullanarak, kullanıcı düzeyinde kancaları nötralize eder ve ETW olay günlüklerini bastırır.

Bu aşamalar, tehdit aktörlerinin EDR sistemlerini nasıl atlatabileceğini ve saldırı sürecinde ne kadar sofistike yollar kullandığını göstermektedir.

Etkilenen Sistemler

Qilin fidye yazılımı ile ilgili yapılan istatistiklere göre, bu grup, 2025 yılında Japonya’da bildirilen 134 fidye yazılımı olayının 22’sinde, yani %16.4 oranında, etkili olmuştur. Fidye yazılımı, genellikle çalınan kimlik bilgileri aracılığıyla sızma sağlamakta ve kuruluştan sonra kontrolü artırma çabasında bulunmaktadır.

Çözüm ve Korunma

Organizasyonların BYOVD tehditlerine karşı alabileceği önlemler şunlardır:

  • Sadece belgeli sürücülerin yüklenmesine izin vermek.
  • Sürücü yükleme etkinliklerini izlemek.
  • Güvenlik yazılımlarını düzenli olarak güncellemek, özellikle sürücü tabanlı bileşenler için.

Ayrıca, Warlock grubunun, Microsoft SharePoint sunucularındaki açıkları kullanarak saldırılar gerçekleştirdiği unutulmamalıdır. Bu nedenle, organizasyonların proaktif bir güvenlik stratejisi benimsemesi kritik öneme sahiptir.

Sonuç

Organizasyonların, her türlü saldırıya karşı savunmasını güçlendirmek adına güncellemeleri ihmal etmemesi, portları kapatması ve güvenlik yazılımlarını etkin bir şekilde yönetmesi gerekmektedir. EDR sistemlerini göz ardı etmemek ve güncel tehditlere karşı hazırlıklı olmak, siber güvenlik işlevselliği için kritik rol oynamaktadır.

Siber Suçlular, Kullanıcıları Hassas Oturum Açma Kimlik Bilgilerini Paylaşmaya Yönlendirmek İçin Webflow’u Kullanıyor
Fortnite, iPhone’a geri döndü. İşte şimdi nasıl oynayabileceğiniz
Medeniyet 7: Yerleşim sınırı nasıl artırılır
Raspberry Pi 4 İle Kendi Yapay Zeka Chatbot Sunucunuzu Nasıl Oluşturursunuz?
Raspberry Pi 5’inizi NVMe önyükleme sürücüsüyle nasıl turbo şarj edebilirsiniz?
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Zehirli Yılanlar: Hayat Kurtaran Hayvanat Bahçeleri ve Acil Antivenom
Sonraki Makale Apex Legends Haritasındaki Ani Değişimin Arkasındaki Sebep

Sanal Medya

Son Eklenenler

Bu Yaz Seyahat Sezonu, Sürdürülebilir Havacılık Yakıtının Geleceğini Değiştirebilir!
Genel
Nvidia’nın 2026 için RTX 50 Super serisi planları ifşa edildi
Donanım
IBM’in Gölgelerindeki Veri İhlalleri Ortaya Çıktı
Genel
Yaz dönemi Oyun Festivali 2026: En Büyük Haberler ve Tanıtımlar
Liste
Acil: Dark Web Nemesis Market Satıcısına 26 Yıl Hapis Cezası
Siber Güvenlik
Vatandaş Bilimi ile Ekoturizmi Birleştirerek Doğayı Koruma Stratejileri
Genel