Rus devlet destekli hacker grubu Sandworm, Ukrayna'nın eğitim, hükümet ve ülkenin ana gelir kaynağı olan tahıl sektörünü hedef alan saldırılarda birden fazla veri silici kötü amaçlı yazılım ailesi kullandı.
Siber güvenlik şirketi ESET'in bugünkü raporuna göre saldırılar Haziran ve Eylül aylarında gerçekleşti ve Sandworm'un (diğer adıyla APT44) Ukrayna'daki yıkıcı operasyonlarına devam ediyor.
Adından da anlaşılacağı gibi veri silicinin amacı, dosyaları, disk bölümlerini ve ana önyükleme kayıtlarını kurtarmaya izin vermeyecek şekilde bozarak veya silerek hedefin dijital bilgilerini yok etmektir. Hedef üzerindeki etki yıkıcı olabilir ve telafisi zor aksaklıklar yaratabilir.
Verilerin genellikle çalındığı ve ardından şifrelendiği fidye yazılımlarının aksine, silme amaçlı kötü amaçlı yazılımlar yalnızca sabotaj operasyonlarında kullanılır.
Rus işgalinden sonra Ukrayna, çoğu PathWiper, HermeticWiper, CaddyWiper, Whispergate ve IsaacWiper gibi Rus devleti destekli aktörlere atfedilen çok sayıda veri silme kampanyasının hedefi oldu.
ESET'in yeni raporu, Nisan ve Eylül 2025 arasındaki ileri düzey kalıcı tehdit (APT) faaliyetlerini kapsıyor ve Ukrayna'da konuşlandırılan ve bazıları ülkenin tahıl üretimini hedef alan çeşitli silecek vakalarını sunuyor.
Saldırganlar, özellikle savaş sırasında ana gelir kaynağının tahıl ihracatı olması nedeniyle saldırganların artık Ukrayna'nın hayati önem taşıyan ekonomik sektörüne odaklandığını gösterdiği için bu yeni bir gelişme.
ESET şöyle açıklıyor: "Haziran ve Eylül aylarında Sandworm, devlet, enerji, lojistik ve tahıl sektörlerinde faaliyet gösteren Ukraynalı kuruluşlara karşı çok sayıda veri silici kötü amaçlı yazılım çeşidini kullandı."
“Dördünün de 2022'den bu yana silici saldırıların hedefi olduğu belgelenmiş olsa da, tahıl sektörü pek sık rastlanmayan bir hedef olarak öne çıkıyor.”
"Tahıl ihracatının Ukrayna'nın ana gelir kaynaklarından biri olmaya devam ettiği göz önüne alındığında, bu tür bir hedefleme muhtemelen ülkenin savaş ekonomisini zayıflatma girişimini yansıtıyor."
APT44 ayrıca Nisan 2025'te Ukrayna'daki bir üniversiteyi hedef alarak "ZeroLot" ve "Sting" sileceklerini konuşlandırdı. Sting, adını geleneksel Macar yemeği gulaşından alan, zamanlanmış bir Windows görevi aracılığıyla gerçekleştirildi.
Bu olayların bazılarına ilk erişimin UAC-0099 tarafından sağlandığı ve UAC-0099'un daha sonra erişimi silecek dağıtımı için APT44'e aktardığı belirtiliyor.
UAC-0099, en az 2023'ten beri faaliyet gösteren ve saldırılarını Ukraynalı kuruluşlara yoğunlaştıran bir tehdit aktörüdür.
Araştırmacılar, Sandworm'un son zamanlarda casusluk operasyonlarına daha fazla odaklandığını ancak Ukraynalı kuruluşlara yönelik veri temizleme saldırılarının tehdit grubu için sürekli bir faaliyet olmaya devam ettiğini belirtiyor.
ESET ayrıca, belirli bir tehdit grubuna atfedilemeyen, ancak İranlı bilgisayar korsanlarıyla ilişkili taktikler, teknikler ve prosedürlerle (TTP'ler) tutarlı olan, İran bağlantılı faaliyetler de tespit etti.
Haziran 2025'te bu faaliyet kümeleri, İsrail'in enerji ve mühendislik sektörlerini hedef alan, halka açık açık kaynaklı sileceklere dayanan Go tabanlı araçları kullanmaya başladı.
Fidye yazılımını önlemeye yönelik yönergelerin çoğu aynı zamanda veri sileceklerine karşı savunmaya da yardımcı olur. Önemli bir adım, kritik veri yedeklerini çevrimdışı ortamda bilgisayar korsanlarının erişemeyeceği bir yerde tutmaktır.
Güçlü uç nokta tespit ve izinsiz giriş önleme sistemlerinin uygulanması ve tüm yazılımların güncel tutulması, veri silme olayları da dahil olmak üzere çok çeşitli saldırıları önleyebilir.
Bütçe mevsimi! 300'den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026'ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.
Kötü amaçlı NuGet paketleri yıkıcı 'saatli bombalar' bırakıyor
Yeni LandFall casus yazılımı, WhatsApp mesajlarıyla Samsung sıfırıncı günü istismar etti
ClickFix kötü amaçlı yazılım saldırıları, çoklu işletim sistemi desteği ve video eğitimleriyle gelişiyor
Gootloader zararlı yazılımı 7 aylık aradan sonra yeni hilelerle geri döndü
Google Play'deki kötü amaçlı Android uygulamaları 42 milyon kez indirildi
Kaynak: Bleeping Computer