Siber güvenlik dünyasında uzun süredir sessiz olan “OldGremlin” grubu yeniden sahneye çıktı. “Yaşlı Gremlin” olarak bilinen Rusça konuşan siber çete, 2025 itibarıyla güncellenmiş saldırı yöntemleriyle yeniden saldırılara başladı. Grup, bu kez banka hesaplarını boşaltmak ve milyonlarca dolarlık fidye taleplerinde bulunmak için sahte e-postalardan, güvenlik açıklarından ve gelişmiş yazılım tekniklerinden faydalanıyor.
OldGremlin ilk kez 2020’de tespit edilmiş, 2022’ye kadar aktif kalmış ve ardından ortadan kaybolmuştu. Ancak daha önceki saldırılarında tek bir kurbandan 17 milyon dolar fidye talep etmeleriyle gündeme gelmişlerdi. Uzmanlara göre grubun yeniden ortaya çıkması, benzer büyüklükte tehditlerin kapıda olduğunu gösteriyor.
Siber güvenlik uzmanlarının raporlarına göre grup, kurbanın sistemine sızdıktan sonra ortalama 49 gün sessizce içeride kalıyor. Bu sürede hem bilgi topluyor hem de sistemde kalıcı hale geliyor. Ardından devreye aldıkları fidye yazılımlarıyla dosyaları şifreliyor, cihazları ağdan izole ediyor ve kurbanların iz sürmesini zorlaştırıyor.
Yeni saldırı dalgasında OldGremlin, kimlik avı e-postalarıyla kurbanların bilgisayarlarına sızıyor. Daha sonra meşru yazılımlardaki açıkları kullanarak Windows güvenlik korumalarını devre dışı bırakıyor. Ayrıca, Node.js platformu üzerinden kötü amaçlı komut dosyaları çalıştırıyor. Saldırı sürecinde kullandıkları “closethedoor” isimli araç, cihazı ağdan koparıp tüm izleri siliyor.
Uzmanlar, grubun geri dönüşünün özellikle finans, sağlık, üretim ve teknoloji şirketlerini hedef aldığını belirtiyor. Şirketlerin bu tarz saldırılara karşı güncel yazılım yamalarını uygulaması, çalışanlarını kimlik avı e-postalarına karşı bilinçlendirmesi ve kritik sistemlerde ek güvenlik katmanları kullanması tavsiye ediliyor.
