Microsoft, Rhysida Fidye Yazılımı Saldırılarını Mümkün Kılan Fox Tempest Grubunu Çökertti Siber Güvenlik

Microsoft, Rhysida Fidye Yazılımı Saldırılarını Mümkün Kılan Fox Tempest Grubunu Çökertti

Microsoft, Rhysida fidye yazılımı saldırılarını destekleyen Fox Tempest grubunun altyapısını çökertti. Grup, kötü amaçlı yazılımları meşru göstermek i

Microsoft, siber suç ekosisteminde önemli bir rol oynayan Fox Tempest grubuna karşı yasal ve teknik bir operasyon başlattı. Şirket, ABD New York Güney Bölgesi Mahkemesi'nde 19 Mayıs'ta açılan bir davayla grubun faaliyetlerini deşifre etti. Fox Tempest, özellikle Rhysida fidye yazılımı olmak üzere Oyster, Lumma Stealer ve Vidar gibi kötü amaçlı yazılımların geliştirilmesine yardımcı olan bir 'kötü amaçlı yazılım imzalama hizmeti' (MSaaS) sunuyordu. Microsoft'un Dijital Suçlar Birimi (DCU), sahte kimlikler kullanarak grubun operatörleriyle etkileşime geçti, altyapılarını tespit etti ve bazı barındırma sağlayıcılarıyla iş birliği yaparak operasyonlarını sekteye uğrattı.

Fox Tempest, en az Mayıs 2025'ten beri aktif olan ve maddi kazanç odaklı bir tehdit aktörü olarak tanımlanıyor. Microsoft'un DCU biriminden Maurice Mason, grubun 'kötü amaçlı yazılım ve fidye yazılımı tedarik zincirinin yukarı akışında bir kolaylaştırıcı' olarak çalıştığını belirtti. Yani Fox Tempest, doğrudan saldırı yapmak yerine diğer siber suçlulara araç ve hizmet sağlayarak onların saldırılarını mümkün kılıyor. Grubun en önemli hizmeti, kötü amaçlı yazılımları meşru yazılım gibi göstererek güvenlik önlemlerini atlatmalarını sağlayan MSaaS teklifiydi.

Microsoft'un tespitlerine göre Fox Tempest, Storm-2501, Storm-0249 ve Vanilla Tempest olarak izlenen Rhysida fidye yazılımı grubuyla yakın iş birliği yapıyordu. Dava dosyasında Rhysida, Fox Tempest'in suç ortağı olarak adlandırıldı. Rhysida, 2023 ile Nisan 2026 arasında dünya çapında okullar, hastaneler, tıbbi kurumlar ve kritik altyapı kuruluşlarına yönelik çok sayıda siber saldırıyla ilişkilendirildi. Ayrıca, Ekim 2023'te British Library'ye yapılan saldırı ve Eylül 2024'te Seattle-Tacoma Uluslararası Havalimanı'na yönelik veri gaspı saldırısının da Rhysida tarafından gerçekleştirildiği düşünülüyor.

Sistem Güvenliği

Fox Tempest'in sağladığı imzalama hizmeti, siber suçluların kötü amaçlı yazılımlarını antivirüs ve diğer güvenlik yazılımlarına yakalanmadan dağıtmalarına olanak tanıyordu. Bu hizmet, dijital imzalar kullanarak yazılımların güvenilir kaynaklardan geldiğini gösteriyor ve böylece savunma mekanizmalarını atlatıyordu. Microsoft, bu tür hizmetlerin siber suç ekosisteminde kritik bir rol oynadığını ve bu nedenle operasyonun önemli olduğunu vurguladı.

Microsoft'un operasyonu, grubun altyapısını çökertmeyi başarsa da, Fox Tempest'in arkasındaki kişilerin kimlikleri henüz tam olarak belirlenemedi. Şirket, FBI ve Europol'un Avrupa Siber Suç Merkezi (EC3) ile iş birliği yaparak grubun operatörlerinin izini sürmeye devam ediyor. Bu iş birliği, uluslararası siber suçlarla mücadelede önemli bir adım olarak değerlendiriliyor.

Bu operasyon, siber güvenlik uzmanları için bir uyarı niteliği taşıyor. Kötü amaçlı yazılım imzalama hizmetleri, fidye yazılımı saldırılarının yaygınlaşmasında kilit bir faktör haline geldi. Kuruluşların, güvenlik yazılımlarını güncel tutmaları, imza doğrulama mekanizmalarını sıkılaştırmaları ve şüpheli yazılım imzalarını dikkatle incelemeleri öneriliyor. Microsoft'un bu hamlesi, siber suçluların tedarik zincirini hedef alarak saldırıları önleme stratejisinin bir parçası olarak görülüyor.

Kaynak: infosecurity-magazine.com

Paylaş: