Siber güvenlik firması Resecurity tarafından 11 Haziran'da yayınlanan yeni bir analiz, Anubis fidye yazılımı grubunun Adriyatik Liman İdaresi'ne (Autorità di Sistema Portuale del Mare Adriatico Centrale) yönelik saldırısını mercek altına aldı. İtalya'nın Ancona limanını yöneten kurum, ihlalin 11 Aralık 2025'te gerçekleştiğini ve Anubis'in Ocak 2026'da verileri sızdırdığını belirtti. Saldırıda verilerin yaklaşık %2'si kaybedilirken, yedekler sayesinde geri kalanı korundu. Çalınan bilgiler arasında kamuya açık veya yakında açıklanacak belgeler olsa da, çalışan kayıtları dark web'de yayınlandı.
Resecurity'in raporuna göre saldırı, liman operasyonlarını felç etti, gemilerin rotalarını değiştirmesine neden oldu ve 10 milyon dolar Bitcoin fidye talebinde bulunuldu. Çalınan veriler arasında sözleşmeler, çalışan kayıtları ve daha hassas olan liman güvenlik planları ile güvenlik operasyon detayları yer alıyor. Bu tür bilgiler, kaçakçılık yapan gruplar veya içeriden adam toplama faaliyetleri için değerli kabul ediliyor. Saldırganların, limanı yöneten şirketin personeline yönelik bir oltalama e-postası ile sisteme sızdığı ve ardından yanal hareketle çekirdek sistemlere eriştiği düşünülüyor. Saldırı, operasyonel teknolojiyi (OT) hedef almak yerine Office 365 ve Azure gibi güvenli olmayan bulut hesapları gibi BT zafiyetlerinden yararlandı.
Aralık 2024'te ortaya çıkan Anubis, Şubat 2025'te bir ortaklık programı başlatarak fidye yazılımı hizmeti (RaaS) modeliyle araç setini kiraladı. Çift gasp taktiği kullanan grup, ortaklarına fidye yazılımı dağıtımı için %80, veri gaspı için %60 ve ilk erişim aracıları için %50 komisyon sunuyor. Grup, sağlık, inşaat ve mühendislik sektörlerindeki kurbanlardan 20 milyon doların üzerinde kazanç elde ettiğini iddia ediyor. Resecurity, grubu internet bağlantılı sistemlerdeki bilinen ancak yamalanmamış zafiyetleri kitlesel olarak sömürmekle ilişkilendiriyor. Bu zafiyetler arasında çok faktörlü kimlik doğrulaması olmayan SonicWall VPN'ler, SolarWinds Web Help Desk (CVE-2025-26399), Cisco SSL VPN'ler ve CitrixBleed 2 (CVE-2025-5777) yer alıyor.
Resecurity, liman saldırısını Maersk ve Japonya'daki Nagoya Limanı gibi fidye yazılımı saldırılarına maruz kalan diğer limanlarla birlikte değerlendirerek, eski liman BT sistemleri ve zayıf siber olgunluğun sektörü savunmasız bıraktığına dikkat çekiyor. Dijitalleşme ile saldırı yüzeyinin genişlediği bu ortamda, denizcilik sektörüne yönelik siber tehditlerin 2030'a kadar artarak devam edeceği öngörülüyor. Liman otoriteleri ve denizcilik şirketleri, siber güvenlik önlemlerini acilen güçlendirmeli ve çalışanlarını oltalama saldırılarına karşı eğitmelidir.