Prinz Eugen isimli yeni bir fidye yazılımı, son değiştirilen dosyaları şifrelemekte öncelik veriyor ve sistemde fidye notu bırakmamaktadır. Bu durum, siber saldırılarda daha etkili bir yöntem olarak kullanıldığı için dikkatle izlenmelidir.

Saldırı Nasıl Çalışıyor?

Prinz Eugen’ın saldırı yöntemi, uzaktan masaüstü (RDP) kimlik bilgilerini çalarak başlıyor. Saldırganlar, ardından ana yük olan servertool.exe‘yi manuel olarak indirip çalıştırıyorlar. Saldırganlar, meşru uzaktan izleme ve yönetim yazılımlarını kullanarak saldırılarını gerçekleştiriyorlar. Örneğin, araştırmalar sırasında kullanılan RemotePC RMM aracı ve kalıcı erişim sağlamak için bir arka kapı yönetici hesabı tespit edilmiştir.

Prinz Eugen, mevcut fidye yazılımı-as-a-service (RaaS) modeline bağlı kalmıyor; geliştirici ekip şu anda bağlı ortaklar aramıyor. Saldırganlar, veri şifreleme ve sızıntı yöntemleri uygulayarak yalnızca üç kurbanı listelemekte, ancak daha fazla kuruluşun da etkilendiği bilinmektedir.

Etkilenen Sistemler

Prinz Eugen fidye yazılımı, sistemlerdeki dosyaların büyük bir kısmını etkileyebilmektedir. Analiz edilen saldırılarda, yazılım .prinzeugen uzantılı dosyaların dışındaki tüm dosyaları şifrelemektedir. Dosyalar, geleneksel olarak en son değiştirilmiş olanlardan başlayarak alfabetik sırayla işleniyor. Bu durum, kurbanlar üzerinde daha fazla baskı oluşturma amacı taşımaktadır.

Şifreleme Stratejisi

Prinz Eugen, Go tabanlı bir zararlı yazılım olarak, ChaCha20-Poly1305 şifreleme algoritması kullanmaktadır. Şifreleme süreci, 32 baytlık bir anahtar, her dosya için rastgele bir başlangıç vektörü ve Argon2id, SHA-256 ve HKDF-SHA256 tabanlı bir anahtar türetme fonksiyonu ile gerçekleştirilir. Dosyaların bütünlüğü SHA-256 hash fonksiyonu ile kontrol edilmektedir.

Yazılım, şifreleme tamamlandıktan sonra orijinal dosyayı silmek için –delete bayrağını kullanıyor. Ancak, orijinal dosya silinmeden önce tekrar şifrelenebilirlik kontrolü yapılıyor. Bu işlem, şifreleme anahtarının kurtarılmasını önlemek amacıyla sıfırlarla üzerinin kaplanması ve bellekten silinmesi ile sona eriyor.

Çözüm ve Korunma

Siber güvenlik uzmanları, fidye yazılımı saldırılarına karşı önlem almak için aşağıdaki önerileri dikkate almalıdır:

• Güçlü RDP kimlik bilgileri kullanın ve bunları düzenli olarak güncelleyin.
• Güvenlik yazılımlarının güncel olduğundan emin olun.
• Veri yedeklemeleri yapın ve bunları düzenli olarak test edin.
• Dosya erişim izinlerini sıkı bir şekilde yönetin.
• Olası saldırı göstergeleri konusunda farkındalığı artırın.

Sonuç olarak, bilgisayarınıza fidye yazılımı bulaşma riskini azaltmak için sistemlerinizi düzenli bir şekilde güncellemeli ve gerekli önlemleri almalısınız. Gereksiz portları kapatmak ve güvenlik çözümlerini sürekli aktif halde tutmak da büyük önem taşımaktadır.

DragonForce ransomware, Microsoft Teams üzerinden komut ve kontrol trafiğini gizlemek için tasarlanmış ‘Backdoor.Turn’ isimli özel bir kötü amaçlı yazılım kullanıyor. Bu durum, hem bireysel kullanıcılar hem de kuruluşlar için siber güvenlik açısından oldukça kaygı verici bir tehdittir.

Saldırı Nasıl Çalışıyor?

DragonForce, Microsoft Teams’in TURN (Traversal Using Relays around NAT) protokolünü kötüye kullanarak, doğrudan bağlantının mümkün olmadığı durumlarda mesaj dağıtımını gerçekleştiriyor. Araştırmalar, bu kötü amaçlı yazılımın anonim bir Teams ziyaretçi token’ı elde ederek, bağlantı kurulumu sırasında meşru bir Microsoft TURN relay’i üzerinden saldırganın komut ve kontrol (C2) sunucusuna bağlandığını göstermektedir. Bu sayede, savunucular Microsoft Teams altyapısına ait trafiği görürken, kötü amaçlı yazılım iletişimlerini güvenilir bir ağda gizlemeyi başarıyor.

Etkilenen Sistemler

DragonForce’un saldırıları, *CVE-2023-52271* (Topaz Antifraud wsftprm.sys), *CVE-2025-61155* (Tower of Fantasy GameDriverx64.sys), ve *CVE-2025-1055* (K7 Security K7RKScan.sys) gibi çeşitli zayıflıkları içeriyor. Ayrıca, Huawei’nin HWAuidoOs2Ec.sys sürücüsü, “Bring Your Own Vulnerable Driver” (BYOVD) taktiklerinde kaçmayı sağlamak için kullanılmıştır.

Hackerlar, sahte kullanıcılar yaratmayı, Windows’ta LimitBlankPassword güvenlik politikasını sömürmeyi, ve güvenlik duvarı kurallarını değiştirmeyi de içererek sistemde kalıcılık sağlamışlardır.

Çözüm ve Korunma

Kullanıcılar ve güvenlik ekipleri, aşağıdaki önlemleri alarak saldırılara karşı korunabilirler:

• Güncellemeler: Tüm yazılımlarınızı ve güvenlik sistemlerinizi en güncel sürümlerle güncelleyin.
• Portları Kapatma: Gereksiz portları kapatın ve ağınızı koruyun.
• Ağ İzleme: Şüpheli aktiviteleri izleyebilmek için ağ trafiğinizi düzenli olarak gözden geçirin.
• IoC Takibi: Symantec tarafından sağlanan indikatörleri (IoCs) kullanarak sisteminizi tarayın.

Sonuç

Bu kapsamda, işletmelerin güncel savunma stratejileri geliştirerek ve ağ güvenliğini artırarak bu tür saldırılara karşı proaktif önlemler almaları şarttır. Kötü amaçlı yazılımları gizleme ve yayılma potansiyeli olan tehditlerle başa çıkabilmek için sistemlerinizi sürekli güncel tutun ve ilgili güvenlik önlemlerini alın.

Anonimlik ve Gizliliğin Önemi

Dijital dünyada anonim olmanın giderek zorlaştığı günümüzde, geçici bir telefon numarası edinmek, birçok insan için gizliliği korumanın en pratik yollarından biri. İster geçici bir burner telefon satın alarak, ister gizliliği ön planda tutan bir telefon hizmet sağlayıcısıyla hesap açarak, kimliğinizi ortaya koymadan iletişim kurmak mümkün oluyordu. Ancak, bu durum şimdi tehlikeye giriyor.

FCC’nin Yeni Düzenleme Teklifi

Son zamanlarda, Amerika Birleşik Devletleri Federal İletişim Komisyonu (FCC), cep telefonları için yeni bir düzenleme önerisi sundu. Bu öneri, telefon hizmet sağlayıcılarının yeni ve mevcut müşterilerden “kimliğinizi doğrulama” gerekliliklerini yerine getirmelerini zorunlu kılacak. Buna göre, telefon şirketleri minimum olarak her yeni ve yenilenen müşteri için isim, fiziksel adres, resmi kimlik numarası ve alternatif telefon numarası talep etmek zorunda olacak.

Amaç: Dolandırıcılık ve Kötüye Kullanımlarla Mücadele

FCC, bu değişikliği, dolandırıcılık faaliyetlerinin önüne geçmek amacıyla önerdiğini belirtiyor. Ancak, birçok gizlilik savunucusu, bu düzenlemenin, haberci, muhalefet, aktivist ve sıradan bireyler için kalan son anonimlik kanallarından birini kapatabileceğini savunuyor. Zira, insanlar telefon görüşmeleri ve mesajları gibi iletişimlerini gizli tutmakta giderek daha zorlanıyor.

Anonim Telefon Kullanımının Tehlikeleri ve Sonuçları

Özellikle gazeteciler ve muhalefet çalışanları, bu tür bir düzenlemenin getirebileceği risklerden endişe duyuyor. Kötü niyetli aktörler, anonimliği sağlamak için kullandıkları yöntemleri kaybetmekle kalmayacak, aynı zamanda hedef olma ihtimalleri de artacak.

Yüz Tanıma Sistemleri ve Gizlilik İhlalleri

Bu durum, sadece telefonlarla sınırlı kalmıyor. Yüz tanıma sistemlerinin yaygınlaştığı günümüzde, kişisel verilerin korunması daha da kritik hale geliyor. İlgili kurumlar ve organizasyonlar, bireylerin mahremiyetini sağlamak adına daha güçlü yasalar çıkarmak zorunda kalabilir.

Sonuç ve Öneriler

Sonuç olarak, FCC’nin yeni düzenleme önerisi, gizliliği korumanın güvencesi olan geçici telefon numaralarını tehdit etmekte. Anonim iletişim hakkının korunması için, bu tür düzenlemelere karşı hem bireysel hem de kolektif mücadele önem arz ediyor. Gizlilik savunucuları, bu konulardaki bilinçlenmenin arttırılması için sürekli olarak kamuoyunu bilgilendirmeli ve alternatif çözümler sunmalıdır.

Dijital gizliliğe yönelik tehditlerin arttığı bir ortamda, herkesin kendi gizliliğini korumak için adımlar atması gerekmektedir. Bu tür düzenlemelerin karşısında durmak, sadece bireysel bir mesele değil, aynı zamanda toplumsal bir sorumluluktur.

Teknoloji

US-1

Giriş

Avrupa’da, siber suç ağları tarafından kullanılan AudiA6 adlı bir kripto para aklama hizmetinin dağıtılması önemli bir gelişme olarak ortaya çıkmıştır. Europol, bu hizmetin, 2021’den bu yana 336 milyon eurodan (yaklaşık 389 milyon dolar) fazla yasa dışı kazancı aklamak için kullanıldığını bildirmiştir.

Operasyonun Detayları

Europol tarafından 10 Haziran 2026’da gerçekleştirilen operasyon, şunları içeriyordu:

• Gürcistan’da Ukrayna ve Rus vatandaşı olduğu iddia edilen iki yöneticinin tutuklanması
• Üç gayrimenkul araması
• 25 alan adının kapatılması ve 30’dan fazla sunucunun ele geçirilmesi
• Gürcistan’da 80’den fazla aracın ve çeşitli mülklerin alınması
• 692,000 euro (798,000 dolar) değerinde kripto para varlığının dondurulması
• Ağ tarafından kullanılan Telegram hesaplarının engellenmesi
• AudiA6 ve Dark2Web’in açık web ve karanlık web sitelerinin bir hukuki müzekkereyle kapatılması

ABD Adalet Bakanlığı (DoJ), tutuklanan kişilere karşı para aklama suçlaması yöneltti.

Saldırı Nasıl Çalışıyor?

AudiA6, yasadışı kazançları hızla “temiz” hale getiren bir kripto para karıştırma servisi olarak pazarlanmaktadır. Müşteriler, yasa dışı kazançlarını grup tarafından kontrol edilen cüzdanlara aktarabilir ve bir saat içinde kökenini gizleyen “karmaşık işlem zinciri” aracılığıyla karşılığında temizlenmiş fonlar alabilirler.
Bu işlemler, özel mesajlaşma platformları üzerinden gerçekleştirilmekte ve operatörler, işlem başına %3 ila %10 arasında komisyon talep etmektedir.

Etkilenen Sistemler

AudiA6’nın kullanımında, 6000’den fazla “Müşterinizi Tanıyın” (KYC) kaydı da tespit edilmiştir. Bu hesaplar, suç gelirlerini kripto para borsaları aracılığıyla taşımak için özel olarak işe alınan Rusça konuşan aracıların katkılarıyla oluşturulmuştur. AudiA6, sahte kimliklerle açılan binlerce dolandırıcılık değişim hesabı üzerinde faaliyet göstermektedir.
Ayrıca, aşağıdaki alan adları kullanılarak, farklı kripto para borsalarında para mule hesaplarının kaydı yapılmıştır:

• designli.pictures
• pheontx.eu
• smplfy.in
• sumato-soft.org
• technobrains.dev
• lett.email
• trayo.app
• deliverly.top
• inboxly.top
• postfast.eu
• postino.click
• inboxally.agency
• mailora.eu
• postify.email
• quix.express
• flowcomm.click
• qube.black
• deliverlett.com
• lettermail.eu

Çözüm ve Korunma

Europol’un açıklamaları, sanayi ölçeğinde kripto para aklama hizmetlerinin artışını göstermekte ve bu durumun siber suç ekonomisine olan katkısını vurgulamaktadır. Yetkililer, bunların yanı sıra sahte değişim hesapları ve gizlilik odaklı araçların kullanılarak para yollarını gizlemeye yönelik stratejiler geliştirdiklerini bildirmektedir.

Aksiyon

Okuyucuların, bu tür tehditlerle başa çıkabilmek için güncellemeleri yapmaları, port kapatma ve gerekiyorsa ek güvenlik önlemleri almaları önem arz etmektedir. Her zaman güvenilir güvenlik yazılımlarını kullanarak sistemlerindeki güncellemelere dikkat etmeleri gerektiğinin altını çizeriz.