Microsoft, siber suç dünyasında önemli bir role sahip olan Fox Tempest grubuna karşı hukuki ve operasyonel bir hamle gerçekleştirdi. 19 Mayıs'ta New York Güney Bölgesi'nde açılan davada, grubun Rhysida fidye yazılımı başta olmak üzere Oyster, Lumma Stealer ve Vidar gibi kötü amaçlı yazılımların geliştirilmesinde kullanılan araçlar sağladığı belirtildi. Microsoft Dijital Suçlar Birimi (DCU), sahte kimlikler kullanarak grubun operatörleriyle iletişime geçti, altyapılarını tespit etti ve barındırma hizmeti veren kuruluşlarla işbirliği yaparak faaliyetlerini durdurdu.
Fox Tempest, en az Mayıs 2025'ten bu yana aktif olan, finansal motivasyonlu bir tehdit aktörü olarak tanımlanıyor. Microsoft DCU baş siber suç araştırmacısı Maurice Mason, grubun 'kötü amaçlı yazılım ve fidye yazılımı tedarik zincirinde yukarı akışta bir kolaylaştırıcı' olarak faaliyet gösterdiğini açıkladı. Yani grup, doğrudan saldırı gerçekleştirmek yerine diğer siber suçlulara araç ve hizmet sağlayarak onların saldırı yapmasını mümkün kılıyor. Özellikle 'kötü amaçlı yazılım imzalama hizmeti' (MSaaS) sunarak zararlı yazılımların meşru yazılım gibi görünmesini ve güvenlik duvarlarını aşmasını sağlıyorlar.
Microsoft'un değerlendirmesine göre Fox Tempest, Storm-2501, Storm-0249 ve Microsoft tarafından Vanilla Tempest olarak takip edilen Rhysida gibi fidye yazılım gruplarıyla yakın işbirliği içinde çalıştı. Davada Rhysida, Fox Tempest'in suç ortağı olarak gösterildi. Rhysida grubu, 2023 ile Nisan 2026 arasında dünya çapında okullar, hastaneler, tıp merkezleri ve kritik altyapı kuruluşlarına yönelik siber saldırılarla ilişkilendiriliyor. Ayrıca Ekim 2023'te British Library'e yönelik saldırı ve Eylül 2024'te Seattle-Tacoma Uluslararası Havalimanı'na yapılan veri gaspı saldırısının da Rhysida tarafından gerçekleştirildiği düşünülüyor.
Gelecekte Ne Bekleniyor?
Microsoft, Fox Tempest'in operasyonlarını aksattıktan sonra grubun arkasındaki kişilerin kimliğini ortaya çıkarmak için FBI ve Europol'ün Avrupa Siber Suç Merkezi (EC3) ile işbirliği yapıyor. Bu operasyon, siber suç ekosisteminde hizmet sağlayıcıların hedef alınmasının ne kadar önemli olduğunu bir kez daha gösteriyor. Fox Tempest gibi 'enabler' grupların çökertilmesi, fidye yazılımı saldırılarının azaltılmasında kritik bir adım olarak değerlendiriliyor.