Play Ransomware Çetesi ve Etkileri
Play ransomware çetesi, siber güvenlik dünyasında alarm zillerini çaldıran bir tehlike haline gelmiştir. FBI’nın CISA ve Avustralya Siber Güvenlik Merkezi ile yaptığı ortak güncellemede belirtildiği üzere, bu çete, Mayıs 2025 itibarıyla yaklaşık 900 kuruluşa sızmış durumdadır. Bu sayının, Ekim 2023’teki verilerin üç katı olduğu vurgulanmaktadır.
Play ransomware çetesinin 2022 yılı Haziran ayından beri Kuzey Amerika, Güney Amerika ve Avrupa’daki birçok işletmeyi ve kritik altyapıyı etkilediği belirtildi. 2024 yılı itibarıyla, bu grubun en aktif ransomware grupları arasında yer aldığı kaydedilmiştir. Virüsün ilk kurbanları arasında ise sağlık kuruluşları, eğitim kurumları ve büyük ölçekli perakende şirketleri bulunmaktadır.
Saldırı Yöntemleri ve Zafiyetler
Play ransomware çetesi, hedef kuruluşların sistemlerine sızmak için çeşitli zafiyetlerden faydalanmaktadır. Özellikle, 2024 yılında CVE-2024-57726, CVE-2024-57727 ve CVE-2024-57728 gibi zafiyetler üzerinden saldırılar gerçekleştirmiştir. Bu zafiyetler, uzaktan izleme ve yönetim araçlarını hedef alan kod yürütme saldırılarında kullanılmaktadır. Bu saldırılar, saldırganların potansiyel olarak daha sonraki ransomware saldırıları için sistemleri hazır hale getirmesine olanak tanımaktadır.
Hedeflenen kuruluşlardan biri olan SimpleHelp RMM müşterileri, saldırganlar tarafından admin hesapları oluşturulmak suretiyle hedef alınmıştır. Bu tür saldırılar sırasında, sistemler “Sliver” isimli kötü amaçlı yazılımla arka kapılarla donatılmaktadır.
Ayrıca, çatışmanın bir parçası olarak, bazı mağdurlara telefon yoluyla ulaşarak fidye ödemeleri için tehditler savurmaktadırlar. Bu durum, Play çetesinin sadece teknik yöntemlerle değil, sosyal mühendislik teknikleriyle de saldırılarını gerçekleştirdiğini göstermektedir.
Ransomware-as-a-Service (RaaS) İş Modeli
Play ransomware, neredeyse üç yıl önce ortaya çıkmıştır. İlk mağdurların yardım talebiyle Bleeping Computer forumlarına başvurduğu tarih ise Haziran 2022’dir. Diğer birçok ransomware grubunun aksine, Play çetesi, fidye taleplerini müzakere etmek için e-posta kullanmaktadır. Mağdurlara Tor üzerinden bir müzakere sayfası sunmamaktadır. Bu durum, saldırının gizliliği açısından bir avantaj sağlamaktadır.
Play çetesi, hedef kuruluşlardan hassas belgeleri çalmaktadır. Bu belgeler, fidye taleplerini artırmak için tehdit unsuru olarak kullanılmaktadır. Özellikle VSS Kopyalama Aracı gibi özel araçlar kullanarak, dosyaları diğer uygulamalardan bile sızdırmak mümkündür.
Play çetesinin en dikkat çekici mağdurları arasında Rackspace, Kaliforniya’nın Oakland şehri, Dallas County, otomobil perakendecisi Arnold Clark, Belçika’nın Antwerp şehri ve son olarak Krispy Kreme ile Microchip Technology gibi büyük şirketler bulunmaktadır.
Öneriler ve Önlemler
FBI, CISA ve Avustralya Siber Güvenlik Merkezi tarafından yayımlanan kılavuzda, güvenlik ekiplerinin sistemlerini, yazılımlarını ve firmware’lerini güncel tutma konusunda öncelik vermeleri gerektiği vurgulanmaktadır. Güncel olmayan yazılımlar, güvenlik açıklarını artırdığı için Play ransomware saldırılarına zemin hazırlamaktadır.
Kuruluşlar ayrıca, çok faktörlü kimlik doğrulama (MFA) çözümlerini tüm hizmetlerinde uygulamalıdır. Özellikle VPN, webmail ve kritik sistemlere erişimi olan hesaplar için bu önlemler hayati öneme sahiptir.
Ayrıca, kuruluşların çevrimdışı veri yedeklemelerini düzenli olarak yapmaları ve bir kurtarma rutinini geliştirmeleri önerilmektedir. Bu, siber saldırıların etkilerini minimize edebilir ve hızlı bir geri dönüş sağlamak adına önemli bir strateji olacaktır.
Sonuç olarak, Play ransomware gibi tehditlerle karşılaşmak, siber güvenlik alanında kritik bir farkındalık yaratmaktadır. Hem işletmeler hem de bireyler, bu tür saldırılara karşı daha dikkatli ve proaktif olmalıdır.
