Microsoft, Fidye Yazılımı Etkinleştiren İmza Aracını Sağlayan Fox Tempest’i Çökertti Yazılım

Microsoft, Fidye Yazılımı Etkinleştiren İmza Aracını Sağlayan Fox Tempest’i Çökertti

Microsoft, Rhysida fidye yazılımı saldırılarını körükleyen ve Oyster, Lumma Stealer gibi kötü amaçlı yazılımlar için araçlar geliştiren Fox Tempest gr

Microsoft, siber güvenlik alanında önemli bir adım atarak Fox Tempest adlı siber tehdit aktörünü hedef aldı. Bu grup, Rhysida fidye yazılımı saldırılarını körüklemenin yanı sıra Oyster, Lumma Stealer ve Vidar gibi büyük kötü amaçlı yazılım türleri için araçlar geliştiriyordu. 19 Mayıs'ta teknoloji devi, New York Güney Bölgesi ABD Bölge Mahkemesi'nde gruba odaklanan bir dava dosyasını kamuoyuna açıkladı.

Microsoft'un Dijital Suçlar Birimi (DCU) ajanları, Fox Tempest'in operatörleriyle gizli kimlikler kullanarak etkileşime geçti, grubun altyapısını tespit etti, bu altyapıyı barındıran kuruluşlardan bazılarıyla iş birliği yaptı ve grubun operasyonlarını sekteye uğrattı. Şirket şimdi FBI ve Europol'ün Avrupa Siber Suç Merkezi (EC3) ile birlikte grubun arkasındaki kişilerin kimliğini ortaya çıkarmak için çalışıyor.

Fox Tempest, en az Mayıs 2025'ten bu yana faaliyet gösteren, maddi kazanç odaklı bir siber tehdit aktörüdür. Microsoft'un Dijital Suçlar Birimi'nden Maurice Mason, grubun 'kötü amaçlı yazılım ve fidye yazılımı tedarik zincirinde yukarı akışta, bir etkinleştirici olarak' faaliyet gösterdiğini belirtti. Yani grup, kendisi kötü amaçlı operasyonlar yürütmek yerine, diğer siber tehdit aktörlerinin bunu yapmasını sağlayan araçlar ve hizmetler sunuyor.

Özellikle Fox Tempest, Microsoft'un 'kötü amaçlı yazılım imzalama hizmeti' (MSaaS) olarak adlandırdığı bir teklif satıyor. Bu hizmet, siber suçluların kötü amaçlı yazılımları meşru yazılım gibi gizleyerek geleneksel güvenlik savunmalarını atlatmasına olanak tanıyor. Microsoft, Fox Tempest'in Storm-2501, Storm-0249 ve Rhysida (Microsoft tarafından Vanilla Tempest olarak takip ediliyor) dahil olmak üzere birçok fidye yazılımı grubuyla yakın çalıştığını değerlendirdi. Rhysida, özellikle 2023 ile Nisan 2026 arasında dünya çapında okullar, hastaneler ve kritik altyapı kuruluşlarına yönelik siber saldırılarla bağlantılı.

Paylaş: