Osiris Fidye Yazılımının Yeni Varyantı: BYOVD Tekniği ve POORTRY Sürücüsüyle Gelişen Tehdit

Anasayfa » Osiris Fidye Yazılımının Yeni Varyantı: BYOVD Tekniği ve POORTRY Sürücüsüyle Gelişen Tehdit
Fidye Yazılımları, Saldırı Teknikleri, Siber Tehditler
Ocak 30, 2026Ocak 30, 2026Tarafından Cybernews.TR
0
Osiris Fidye Yazılımının Yeni Varyantı: BYOVD Tekniği ve POORTRY Sürücüsüyle Gelişen Tehdit

Saldırının Genel Çerçevesi

2025 Kasım ayında Güneydoğu Asya’da faaliyet gösteren büyük bir gıda hizmetleri franchise işletmecisi, Osiris adlı yeni bir fidye yazılımı varyantının hedefi oldu. Bu saldırıda, klasik BYOVD (Bring Your Own Vulnerable Driver) yöntemi kapsamında POORTRY adlı özel olarak geliştirilmiş bir sürücü kullanılarak güvenlik çözümleri etkisiz hale getirildi. POORTRY sürücüsü, geleneksel BYOVD saldırılarından farklı olarak, meşru ancak savunmasız sürücüler yerine ayrıcalık yükseltme ve güvenlik araçlarını kapatma amaçlı tasarlanmış.

Osiris’in bu yeni varyantı, 2016 yılında ortaya çıkan Locky fidye yazılımıyla isim benzerliği taşısa da teknik olarak tamamen farklı ve bağımsız bir tehdit olarak değerlendiriliyor. Saldırganların kimliği ve fidye yazılımının RaaS (Ransomware-as-a-Service) kapsamında sunulup sunulmadığı henüz netleşmedi.

Saldırı Zinciri ve Teknik Detaylar

Bu kampanyada saldırganlar, hedef ağda öncelikle Rclone aracıyla hassas verileri Wasabi bulut depolama alanlarına dışa aktardı. Ardından Netscan, Netexec, MeshAgent gibi çift kullanımlı araçlar ve Rustdesk’in özel bir sürümü ile uzaktan erişim sağlandı. POORTRY sürücüsü, BYOVD saldırısının bir parçası olarak güvenlik süreçlerini sonlandırmak için kullanıldı. Ayrıca KillAV aracıyla savunma yazılımları kapatıldı ve RDP protokolü etkinleştirilerek saldırganlara kalıcı erişim sağlandı.

Osiris fidye yazılımı, hibrit şifreleme algoritmaları kullanarak her dosya için benzersiz anahtarlar oluşturuyor. Microsoft Office, Exchange, Mozilla Firefox, Veeam gibi kritik hizmetleri durdurabiliyor ve hedeflenen dosya türlerini şifreleyebiliyor. Fidye notu bırakma ve süreç sonlandırma gibi işlevlerle saldırının etkisi artırılıyor.

Fidye Yazılımı Ekosisteminde Güncel Gelişmeler

2025 yılında fidye yazılımı saldırılarında %0,8 artış gözlemlendi. Akira, Qilin, INC, SafePay gibi gruplar aktif kalmaya devam ederken, LockBit 5.0 gibi gelişmiş varyantlar modüler ve çok aşamalı saldırı modelleri benimsedi. Yeni RaaS operasyonları arasında Sicarii dikkat çekiyor; grup küçük işletmelere odaklanıyor ve sahte bayrak ihtimali taşıyan dilbilgisi hataları içeriyor.

Storm-2603 adlı tehdit aktörü, Warlock ve Babuk gibi fidye yazılımlarını dağıtmak için meşru dijital adli bilişim araçları (Velociraptor) ve BYOVD sürücülerini kullanıyor. Makop fidye yazılımı ise açık RDP sistemlerini hedef alarak ayrıcalık yükseltme ve kimlik bilgisi toplama faaliyetleri yürütüyor.

Sistem Yöneticileri ve SOC Ekipleri İçin Pratik Öneriler

  • Çift kullanımlı araçların (Netscan, Netexec, MeshAgent) kullanımını sürekli izleyin ve anormal aktiviteleri tespit edin.
  • RDP erişimini kısıtlayarak ve çok faktörlü kimlik doğrulama (MFA) uygulayarak yetkisiz erişimleri engelleyin.
  • Güvenlik yazılımlarının devre dışı bırakılmasını önlemek için BYOVD saldırılarına karşı sürücü imzalama politikalarını sıkılaştırın.
  • EDR ve SIEM çözümleriyle POORTRY gibi özel sürücülerin yüklenmesini ve KillAV benzeri araçların kullanımını tespit edin.
  • Yedeklerinizi düzenli olarak off-site ve izole ortamlarda saklayarak fidye yazılımı sonrası kurtarma süreçlerini hızlandırın.
  • Uygulama izin listesi (application whitelisting) kullanarak yalnızca güvenilen yazılımların çalışmasına izin verin.
  • Olay müdahale (incident response) planlarınızı BYOVD ve fidye yazılımı saldırılarına göre güncelleyin.
  • Ağ segmentasyonu yaparak kritik sistemlerin diğer ağ bölümlerinden izole edilmesini sağlayın.

Teknik Özet

  • Kullanılan araçlar: POORTRY sürücüsü, KillAV, Rclone, Netscan, Netexec, MeshAgent, Rustdesk (özel sürüm), Mimikatz (kaz.exe versiyonu)
  • Hedef sektör: Gıda hizmetleri, küçük ve orta ölçekli işletmeler, finans, bulut barındırma
  • İstismar edilen zafiyetler: Bilinen sürücü güvenlik açıkları, RDP zafiyetleri, CVE-2019-11580 gibi güvenlik açıkları
  • Saldırı zinciri: Veri dışa aktarımı (Rclone) → Güvenlik yazılımlarının devre dışı bırakılması (POORTRY, KillAV) → Uzaktan erişim (Rustdesk, RDP) → Fidye yazılımı dağıtımı (Osiris)
  • Önerilen savunma: Sürücü imzalama politikalarının sıkılaştırılması, MFA kullanımı, EDR ve SIEM ile anomali tespiti, ağ segmentasyonu, düzenli yama ve güncelleme

Bu gelişmeler, fidye yazılımı saldırılarının sadece şifreleme aşamasından ibaret olmadığını, aynı zamanda karmaşık ayrıcalık yükseltme ve savunma atlatma teknikleri içerdiğini gösteriyor. Siber güvenlik ekiplerinin, e-posta güvenliği, bulut güvenliği ve ağ segmentasyonu gibi alanlarda bütüncül önlemler alması kritik önem taşıyor.

, , , , , , ,