Qilin ve Warlock Fidye Yazılımları Zafiyetli Sürücülerle EDR Araçlarını Devre Dışı Bırakıyor
Fidye yazılımı grupları Qilin ve Warlock, zafiyetli sürücüleri kullanarak 300'den fazla EDR aracını devre dışı bırakıyor. Bu durum, hedef alınan kurumların siber savunmasını zayıflatarak veri ihlali riskini artırıyor. Bu yeni yöntem, siber güvenlik stratejilerinin gözden geçirilmesi gerektiğini gösteriyor.
Qilin ve Warlock Fidye Yazılımları, Zafiyetli Sürücülerle EDR Araçlarını Devre Dışı Bırakıyor
Son raporlar, Qilin ve Warlock fidye yazılımı gruplarının geleneksel uç nokta güvenlik önlemlerini aşmak için sofistike yeni bir taktik kullandığını gösteriyor. Bu gruplar, "Kendi Zafiyetli Sürücünü Getir" (BYOVD - Bring Your Own Vulnerable Driver) olarak bilinen bir teknikle, zafiyetli sürücüleri kullanarak 300'den fazla farklı Uç Nokta Tespit ve Yanıt (EDR) aracını devre dışı bırakıyor.
Bu yöntem, fidye yazılımının ele geçirilmiş sistemlerde engelsiz çalışmasına olanak tanıyarak başarılı veri şifreleme ve sızdırma olasılığını önemli ölçüde artırıyor. Kötü amaçlı faaliyetleri tespit etmek ve bunlara yanıt vermek üzere tasarlanmış EDR araçlarını devre dışı bırakarak, Qilin ve Warlock, kuruluşlar için etkili bir kör nokta yaratıyor ve uç nokta savunmalarını büyük ölçüde etkisiz hale getiriyor.
BYOVD Tekniğinin Açıklaması
Kendi Zafiyetli Sürücünü Getir (BYOVD) saldırısı, saldırganların hedeflenen bir sisteme yasal, dijital olarak imzalanmış ancak zafiyetli bir sürücü yüklemesini içerir. Kurulduktan sonra, bu sürücüdeki zafiyet, genellikle çekirdek düzeyinde erişim olmak üzere yükseltilmiş ayrıcalıklar elde etmek için kullanılır. Bu kadar yüksek düzeyde erişimle, fidye yazılımı güvenlik süreçlerini sonlandırabilir, EDR aracılarını devre dışı bırakabilir ve tespit edilmekten kaçınabilir.
E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.
Hemen Sorgula →Bu teknik, yasal yazılım bileşenlerini kötüye kullandığı için özellikle tehlikelidir ve geleneksel güvenlik çözümlerinin ilk uzlaşmayı tanımlamasını zorlaştırır. Qilin ve Warlock tarafından bu yöntemin yaygın olarak kullanılması, fidye yazılımı taktiklerinde endişe verici bir eğilimi işaret etmekte ve siber güvenlik uzmanlarından artan bir dikkat talep etmektedir.
Kuruluşlar İçin Çıkarımlar
Fidye yazılımlarının EDR araçlarını devre dışı bırakabilmesi, birincil uç nokta koruması için bu çözümlere güvenen kuruluşlar için ciddi bir tehdit oluşturmaktadır. Etkili bir EDR olmaksızın, işletmeler veri ihlallerine, operasyonel kesintilere ve fidye yazılımı saldırılarıyla ilişkili önemli finansal kayıplara karşı son derece savunmasız hale gelmektedir.
- Artan Risk: Etkilenen 300'den fazla EDR aracını kullanan kuruluşlar, yüksek bir tehlike riskiyle karşı karşıyadır.
- Güvenlik Kör Noktaları: Devre dışı bırakılan EDR araçları, görünürlükte boşluklar yaratarak devam eden saldırıların zamanında tespitini ve yanıtını engeller.
- Gelişmiş Kalıcılık: BYOVD aracılığıyla elde edilen çekirdek düzeyi erişim, fidye yazılımının güçlü kalıcılık mekanizmaları kurmasına olanak tanır.
Siber güvenlik ekiplerinin savunma stratejilerini gözden geçirmeleri, proaktif sürücü bütünlüğü kontrollerine odaklanmaları, sağlam uygulama kontrol politikaları uygulamaları ve bu ortaya çıkan tehdidi azaltmak için geleneksel EDR'nin ötesine geçen çok katmanlı güvenlik yaklaşımlarını düşünmeleri şiddetle tavsiye edilir.
Kaynak
https://thehackernews.com/2026/04/qilin-and-warlock-ransomware-use.html