Warlock Fidye Yazılımı ve Microsoft SharePoint Güvenlik Açıkları
Son günlerde, Çin merkezli bir siber saldırı grubu olan Storm-2603, Microsoft SharePoint sunucularına yönelik bir dizi fidye yazılımı saldırısı düzenliyor. Bu saldırılar, geçtiğimiz günlerde yamanmış olan ToolShell sıfırıncı gün açıklarını hedef alıyor. Microsoft, bu durumu çok sayıda kurbanı etkileyen ciddi bir güvenlik tehdidi olarak tanımlıyor.
Saldırıların Seyri ve Yöntemleri
Microsoft’un bir raporuna göre, Storm-2603 grubu, 18 Temmuz 2025 tarihinden itibaren daha fazla fidye yazılımı dağıtmaya başladı. Bu saldırganlar, öncelikle kurbanlarının ağlarına sızarak Mimikatz adlı bir araç kullanıyorlar. Bu araç, Windows sistemlerinde veri erişimi sağlayarak LSASS belleğinden düz metin şifreleri çıkartmalarına olanak tanıyor.
Daha sonra, bu saldırganlar PsExec ve Impacket araçlarını kullanarak ağ içinde hareket ediyor. Windows Yönetim Araçları (WMI) ile komutlar çalıştırarak ve Grup İlkesi Nesneleri (GPO) üzerinde değişiklikler yaparak Warlock fidye yazılımını etkiledikleri sistemlere yayıyorlar.
Microsoft, bu durumda tüm kurumsal kullanıcıların SharePoint sunucuları için gerekli güvenlik güncellemelerini acilen uygulamalarını ve detaylı önlem talimatlarına uymalarını öneriyor.
Hedef Alınan Kurumlar ve Etkileri
Cybersecurity şirketi Eye Security, saldırıların tespit edilmesinin ardından, Storm-2603’ün hedef aldığı kuruluşların sayısının çok daha fazla olduğunu belirtti. Şirketin CTO’su Piet Kerkhofs, saldırganların en az 400 sunucuyu enfekte ettiğini ve dünya çapında 148 kurumu ihlal ettiğini açıkladı. Bu durum, devlet kurumlarından özel sektör kuruluşlarına kadar geniş bir yelpazede tehdit oluşturuyor.
Microsoft, bu saldırılara ek olarak, Linen Typhoon ve Violet Typhoon adlı diğer Çin devlet destekli saldırı gruplarının da bu tür saldırılarla ilişkili olduğunu ortaya koydu. Saldırganların ciddi bir bilgi çalmak amacıyla hareket ettikleri ve bu bilgi güvenlik açığı üzerinden sızma sağladıkları tahmin ediliyor.
Resmi Kurumların Tepkisi
ABD federal ajansları, bu yeni tehditler karşısında hızlı bir yanıt vermek durumunda kaldı. CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), CVE-2025-53770 uzaktan kod yürütme açığını aciliyetle kataloglarına ekledi ve tüm federal ajansların sistemlerini korumaları için bir gün içinde harekete geçmelerini talep etti.
Ayrıca, Enerji Bakanlığı da Ulusal Nükleer Güvenlik İdaresi’nin ağlarının da bu saldırılarda ihlal edildiğini doğruladı. Ancak, şu an itibarıyla hassas veya sınıflandırılmış bilgilerin sızdırıldığına dair bir kanıta ulaşılamadı.
Bloomberg’in haberi, saldırganların sadece federal kurumları değil, aynı zamanda Eğitim Bakanlığı, Rhode Island Genel Meclisi ve Florida Gelir Departmanı gibi devlet kurumlarını da hedef aldıklarını ortaya koydu. Bunun yanı sıra, Avrupa ve Orta Doğu’daki bazı ulusal hükümetlerin ağlarının da hacklendiği ifade ediliyor.
Fidye Yazılımı Saldırılarının Geleceği
Fidye yazılımlarının, siber suçlular tarafından daha fazla popüler hale geldiği gözlemleniyor. Bu tür yazılımlar, sadece büyük şirketleri değil, aynı zamanda küçük işletmeleri ve devlet kurumlarını da hedef alıyor. Saldırganlar, şifrelenmiş verileri geri almak için genellikle yüksek miktarda fidye talep ediyor.
Buna ek olarak, daha fazla kuruluşun güvenlik açıklarından etkilenmesi ve yeni sıfırıncı gün açıklarının ortaya çıkması muhtemel. Bu kapsamda, şirketlerin kısa sürede güvenlik güncellemelerini yapmaları ve sızmalara karşı önlemler alması kritik bir öneme sahip.
Bu noktada, siber güvenlik uzmanlarının ve kurumların iş birliği yaparak bu tehditleri etkili bir şekilde azaltması gerekmektedir. Ayrıca, otomatik güncelleme sistemlerinin etkin bir forma getirilmesi, şirketlerin güvenlik seviyelerini artırabilir ve saldırganların bu tür yöntemler kullanmasını zorlaştırabilir.
Gelecekte, bu tarz saldırıların önlenmesi için daha etkili güvenlik protokollerine ve eğitimlere ihtiyaç duyulmaktadır. Firmaların, siber güvenlik konusunda eğitimli bireylerle güçlendirilmesi ve düzenli olarak sistem testleri yapılması da önemli adımlar arasında yer almalıdır. Bu sayede, fidye yazılımlarının tehlikesine karşı daha hazırlıklı bir duruş sergilemek mümkün olacaktır.
