Librarian Ghouls, Rus Cihazlarını Hedef Alarak Kripto Madenciliği Yaptı

Siber güvenlik firması Kaspersky, Librarian Ghouls adlı bir hacker grubunun yüzlerce Rus cihazını ele geçirerek kripto madenciliği yapmak için kullandığını bildirdi. Grup, sistemlere meşru kuruluşlardan geliyormuş gibi görünen, zararlı yazılımlarla dolu kimlik avı e-postaları yoluyla erişim sağlıyor. Bu e-postalar genellikle resmi belgeler veya ödeme emirleri gibi görünmekte. Saldırganlar, cihazların işlem gücü gibi kaynaklarını çalmak için erişim sağlıyor ve bu kaynakları kripto madenciliği için kullanıyorlar.

Malware bulaştıktan sonra, hackerlar uzaktan bağlantı kuruyor ve Windows Defender gibi güvenlik sistemlerini devre dışı bırakıyor. Ayrıca, enfekte olmuş cihazlar sabah 1'de açılıp sabah 5'te kapanacak şekilde programlanıyor, bu da hackerların yetkisiz uzaktan erişim sağlamaları ve oturum açma kimlik bilgilerini çalmak için kullandığı bir yöntem. Kaspersky, bu tekniğin kullanıcıların cihazlarının ele geçirildiğinin farkında olmaması için kullanıldığını belirtiyor. Hackerlar daha sonra oturum açma bilgilerini çalıyor ve cihazın RAM, CPU çekirdekleri ve GPU'ları hakkında bilgi toplayarak, kripto madencisini dağıtmadan önce optimal şekilde yapılandırıyor.

Madenci çalışırken, hackerlar madencilik havuzuyla bağlantıyı sürdürüyor ve her 60 saniyede bir istek gönderiyor. Kaspersky, saldırganların sadece veri sızdırma değil, aynı zamanda uzaktan erişim araçları dağıtma ve e-posta hesaplarını ele geçirmek için kimlik avı siteleri kullanma taktiklerini sürekli olarak geliştirdiğini belirtiyor. Aralık ayında başlayan ve hala devam eden bu kampanya, özellikle endüstriyel kuruluşlar ve mühendislik okulları olmak üzere yüzlerce Rus kullanıcısını etkiledi. Ayrıca, Beyaz Rusya ve Kazakistan'da da ek kurbanlar tespit edildi.

Grubun kökeni henüz belirlenmedi, ancak Kaspersky, kimlik avı e-postalarının Rusça olarak yazıldığını ve Rusça dosya adlarına sahip arşivler ile Rusça sahte belgeler içerdiğini söylüyor. Bu durum, kampanyanın birincil hedeflerinin Rusya'da yaşayan veya Rusça konuşan kişiler olma olasılığını artırıyor. Kaspersky, Librarian Ghouls'un, hacklemeyi siyasi bir gündemi teşvik etmek için sivil itaatsizlik biçimi olarak kullanan hacktivistler olabileceğini düşünüyor. Grup, kendi kötü amaçlı ikililerini geliştirmek yerine, meşru üçüncü taraf yazılımları kullanmayı tercih ediyor. Başka bir Rus siber güvenlik firması BI. ZONE, Rare Werewolf'un en az 2019'dan beri faaliyet gösterdiğini belirtiyor.

Sonuç olarak, Librarian Ghouls adlı hacker grubunun Rusya'daki cihazları hedef alarak gerçekleştirdiği kripto madenciliği faaliyetleri, siber güvenlik dünyasında önemli bir endişe kaynağı oluşturuyor. Bu tür saldırılar, sadece bireysel kullanıcıların değil, aynı zamanda şirketlerin ve kurumların da kaynaklarını ve verilerini riske atıyor. Olay, siber güvenlik önlemlerinin ve farkındalığının önemini bir kez daha vurguluyor.