Reynolds Fidye Yazılımı, EDR Araçlarını BYOVD Sürücüsüyle Hedef Alıyor

Anasayfa » Reynolds Fidye Yazılımı, EDR Araçlarını BYOVD Sürücüsüyle Hedef Alıyor
Fidye Yazılımı, Saldırı Teknikleri, Zafiyetler
Şubat 12, 2026Şubat 12, 2026Tarafından Cybernews.TR
0
Reynolds Fidye Yazılımı, EDR Araçlarını BYOVD Sürücüsüyle Hedef Alıyor

Saldırının Genel Çerçevesi

Reynolds fidye yazılımı, uç nokta tespit ve yanıt (EDR) çözümlerini etkisiz hale getirmek için BYOVD (Bring Your Own Vulnerable Driver) tekniğini kullanıyor. Bu yöntem, meşru ancak güvenlik açığı içeren sürücülerin kötüye kullanılmasıyla ayrıcalık yükseltme ve güvenlik yazılımlarının devre dışı bırakılmasını sağlıyor. Reynolds kampanyasında, NsecSoft NSecKrnl adlı savunmasız sürücü doğrudan fidye yazılımı yüküyle paketlenerek Avast, CrowdStrike Falcon, Palo Alto Networks Cortex XDR, Sophos ve Symantec Endpoint Protection gibi popüler güvenlik çözümlerinin süreçleri hedef alınıyor.

Saldırı Zinciri ve Teknik Detaylar

Bu saldırı zinciri, öncelikle hedef ağda şüpheli yan yükleyicilerin tespitiyle başlıyor. Fidye yazılımı dağıtımından önce ağda bulunan bu araçlar, saldırganların kalıcı erişim sağlamaya çalıştığını gösteriyor. Fidye yazılımı dağıtımından hemen sonra GotoHTTP uzaktan erişim aracı devreye giriyor. NSecKrnl sürücüsündeki CVE-2025-68947 (CVSS 5.7) zafiyeti, rastgele süreçlerin sonlandırılmasına olanak tanıyor. Bu yöntem, Silver Fox ve ValleyRAT gibi tehdit aktörleri tarafından da kullanılmıştır. Ayrıca, Interlock grubunun İngiltere ve ABD’deki eğitim kurumlarına yönelik saldırılarında, GameDriverx64.sys sürücüsündeki CVE-2025-61155 (CVSS 5.5) sıfır gün açığı BYOVD saldırılarında kullanılmıştır.

Hangi Sistemler Risk Altında?

Reynolds fidye yazılımı ve benzeri BYOVD teknikleri, özellikle kurumsal ortamlarda kullanılan gelişmiş EDR çözümlerini hedef alıyor. Avast, CrowdStrike Falcon, Palo Alto Networks Cortex XDR, Sophos ve Symantec Endpoint Protection gibi yaygın güvenlik yazılımları bu saldırıların odağında. Ayrıca, eğitim sektörü ve bulut altyapıları da risk altında. Fidye yazılımı operatörleri, geleneksel yerel hedeflerden bulut depolama servislerine, özellikle AWS S3 gibi yanlış yapılandırılmış kaynaklara yöneliyorlar.

Siber Güvenlik Ekipleri İçin Öneriler

  • EDR ve SIEM sistemlerinde BYOVD tekniklerine karşı anomali tespiti için özel kurallar oluşturun.
  • Meşru sürücülerin güvenlik açıklarını takip ederek düzenli yamalama yapın ve sürücü imzalarını doğrulayın.
  • Uç nokta güvenlik araçlarının süreç sonlandırma aktivitelerini izleyin ve beklenmeyen davranışları raporlayın.
  • Fidye yazılımı saldırı zincirinde kullanılan yan yükleyiciler ve uzaktan erişim araçlarına karşı ağ segmentasyonu uygulayın.
  • Çok faktörlü kimlik doğrulama (MFA) ve Zero Trust mimarisi ile erişim kontrollerini güçlendirin.
  • Olay müdahale (incident response) planlarını BYOVD ve benzeri gelişmiş tehditlere göre güncelleyin.
  • Bulut güvenliği kapsamında AWS S3 gibi servislerin erişim izinlerini sıkılaştırın ve düzenli denetim yapın.
  • Phishing ve oltalama saldırılarına karşı e-posta güvenliği çözümlerini etkin kullanın.

Teknik Özet

  • Kullanılan araçlar: Reynolds fidye yazılımı, NsecSoft NSecKrnl sürücüsü, GotoHTTP RAT, ValleyRAT, NodeSnake/Interlock RAT.
  • Hedef sektörler: Kurumsal ağlar, eğitim sektörü, bulut altyapıları.
  • Kullanılan zafiyetler: CVE-2025-68947 (NsecSoft NSecKrnl), CVE-2025-61155 (GameDriverx64.sys).
  • Saldırı zinciri: Yan yükleyici yerleştirme → BYOVD sürücüsü ile EDR devre dışı bırakma → fidye yazılımı dağıtımı → kalıcı erişim için RAT kurulumu.
  • Temel savunma: Güvenlik yamalarının uygulanması, EDR ve SIEM kurallarının güncellenmesi, ağ segmentasyonu ve MFA kullanımı.
, , , , , , ,