Microsoft, fidye yazılımı saldırılarını kolaylaştıran Fox Tempest adlı siber tehdit grubuna karşı önemli bir operasyon gerçekleştirdi. Teknoloji devi, 19 Mayıs'ta ABD New York Güney Bölgesi Bölge Mahkemesi'nde gruba karşı bir dava açtığını duyurdu. Fox Tempest, Rhysida fidye yazılımı saldırılarını desteklemenin yanı sıra Oyster, Lumma Stealer ve Vidar gibi büyük kötü amaçlı yazılım türleri için araçlar geliştirmekle suçlanıyor. Microsoft'un Dijital Suçlar Birimi (DCU), grup operatörleriyle sahte kimlikler kullanarak etkileşime geçti, altyapıyı tespit etti ve bu altyapıyı barındıran kuruluşlarla iş birliği yaparak grubun faaliyetlerini aksattı.
Fox Tempest, en az Mayıs 2025'ten bu yana aktif olan, finansal motivasyonlu bir tehdit aktörü olarak tanımlanıyor. Microsoft DCU baş siber suç araştırmacısı Maurice Mason, grubun 'kötü amaçlı yazılım ve fidye yazılımı tedarik zincirinde yukarı akışta, bir kolaylaştırıcı olarak' faaliyet gösterdiğini belirtti. Yani Fox Tempest, doğrudan saldırı gerçekleştirmek yerine, diğer siber tehdit aktörlerine araç ve hizmet sağlıyor. Özellikle, Microsoft'un 'kötü amaçlı yazılım imzalama hizmeti' (MSaaS) olarak adlandırdığı bir teklifle, siber suçluların kötü amaçlı yazılımları meşru yazılım gibi gizleyerek geleneksel güvenlik önlemlerini atlatmasına olanak tanıyor.
Microsoft, Fox Tempest'in Storm-2501, Storm-0249 ve Microsoft tarafından Vanilla Tempest olarak takip edilen Rhysida dahil olmak üzere birçok fidye yazılımı grubuyla yakın iş birliği yaptığını değerlendiriyor. Davada Rhysida, Fox Tempest'in suç ortağı olarak adlandırıldı. Rhysida grubu, 2023 ile Nisan 2026 arasında dünya çapında okullar, hastaneler, tıbbi kurumlar ve diğer kritik altyapı kuruluşlarına yönelik çok sayıda siber saldırıyla ilişkilendiriliyor. Ayrıca Ekim 2023'te British Library'ye yönelik saldırı ve Eylül 2024'te Seattle-Tacoma Uluslararası Havalimanı'na yönelik veri gaspı saldırısının arkasında Rhysida olduğu düşünülüyor.
Önemli Gelişmeler
Microsoft, Fox Tempest'in kimliğini ortaya çıkarmak için FBI ve Europol'ün Avrupa Siber Suç Merkezi (EC3) ile iş birliği yapıyor. Bu operasyon, Microsoft'un siber suçlarla mücadelede hukuki ve teknik araçları kullanarak tehdit aktörlerinin altyapısını bozma konusundaki kararlılığını gösteriyor. Fox Tempest'in çökertilmesi, fidye yazılımı tedarik zincirinde önemli bir halkanın kırılması anlamına geliyor ve diğer siber suç grupları için caydırıcı bir etki yaratabilir.