Siber güvenlik dünyasında, fidye yazılımı saldırıları ile devlet destekli siber operasyonlar arasındaki sınır giderek bulanıklaşıyor. NCC Group'un son raporuna göre, İran İstihbarat ve Güvenlik Bakanlığı ile bağlantılı MuddyWater grubu, Chaos fidye yazılımını taklit ederek casusluk faaliyetlerini gizlemeye çalışıyor. Bu durum, kuruluşların saldırıları yalnızca finansal motivasyonlu mu yoksa devlet destekli mi olduğunu ayırt etmesini zorlaştırıyor.
NCC Group'un 24 Haziran'da yayınladığı Monthly Threat Pulse raporu, MuddyWater'ın Chaos fidye yazılımı grubunun kimliğine bürünerek nasıl casusluk yaptığını detaylandırıyor. Saldırganlar, fidye notları ekleme, kurbanlarla pazarlık kanalları oluşturma ve Chaos sızıntı sitesinde listeleme yaparak saldırılarını finansal motivasyonlu gibi göstermek için önemli çaba sarf etti.
NCC Group'un siber istihbarat ve müdahale başkan yardımcısı Matt Hull, 'Tarihsel olarak kuruluşlar, finansal kazanç odaklı fidye yazılımı saldırıları ile stratejik hedefleri destekleyen ulus-devlet operasyonları arasında net bir ayrım yapabiliyordu. Bu ayrım giderek zorlaşıyor,' dedi. Hull, tehdit aktörlerinin altyapı paylaştığını, ortak araçlar kullandığını ve bazı durumlarda atıf yapmayı zorlaştırmak ve müdahaleyi geciktirmek için bilinen fidye yazılımı markalarının arkasına saklandığını ekledi.
MuddyWater bu tekniği kullanan tek grup değil. Rapor, 2026'da birçok İran bağlantılı tehdit aktörünün siber suçlu iş modellerini, hazır araçları ve siber suçluların barındırdığı altyapıyı devlet destekli hackleme faaliyetleri için kullandığını ortaya koyuyor. Özellikle bir İran devlet destekli grubun, Rus siber suçlularla iş birliği yaparak dark web'de satılan bir uzaktan erişim truva atını casusluk hedeflerine karşı kullandığı gözlemlendi.
Nasıl Önlem Alınmalı?
Çin, Rusya ve Kuzey Kore devlet destekli operasyonları da fidye yazılımı-hizmet-olarak (RaaS) kampanyalarını siber casusluk, veri sızdırma ve diğer saldırılar için bir ön cephe olarak kullandı. Bu taktik, saldırganlara makul bir inkar edilebilirlik sağlarken, aynı zamanda istihbarat toplama fırsatı da sunuyor. Bu durum, saldırılara maruz kalan işletmeler ve diğer kuruluşlar için önemli sonuçlar doğuruyor.
Önemli Gelişmeler
Hull, 'Bu daha karmaşık bir tehdit ortamı yaratıyor. Kuruluşlar artık bir fidye yazılımı olayının tamamen finansal motivasyonlu olduğunu varsayamaz. Bir düşmanın davranışını, hedeflerini ve operasyonel bağlamını anlamak, ilgili kötü amaçlı yazılımı veya fidye yazılımı grubunu tanımlamak kadar önemli hale geliyor,' dedi.
NCC Group, bu tür tehditlerle karşılaşabilecek kuruluşlara ve güvenlik operasyon merkezlerine yardımcı olmak için, olgun savunma stratejilerinin imza tabanlı artefaktlar yerine davranış analizi, operasyonel bağlam, gözlemlenen tradecraft ve düşman hedeflerine öncelik vermesi gerektiğini öneriyor. Bu yaklaşım, saldırıların gerçek doğasını daha hızlı tespit etmeye ve uygun müdahaleyi sağlamaya yardımcı olacaktır.
Kaynak: infosecurity-magazine.com