2017’den bu yana aktif olan suç ağı, özellikle sahte güncelleme uyarılarıyla kullanıcıları hedef alıyordu. Operasyon, fidye yazılımı saldırılarının önemli bir giriş noktasını ortadan kaldırdı.

Avrupa ve Kuzey Amerika’daki güvenlik kurumlarının koordinasyonuyla yürütülen Operation Endgame kapsamında, uzun süredir faaliyet gösteren SocGholish altyapısı ciddi ölçüde devre dışı bırakıldı. ABD, Almanya, Hollanda ve Kanada’nın ortak çalışmasıyla gerçekleştirilen operasyonda, siber suç grubunun komuta-kontrol sistemleri hedef alındı.

106 sunucuya el konuldu, botnet dağıtıldı

18 Haziran’da gerçekleştirilen operasyon kapsamında toplam 106 sunucu ele geçirildi. Yetkililer, SocGholish’in bağlı olduğu botnet yapısının dağıtıldığını ve tehdit aktörlerinin altyapısının işlevsiz hale getirildiğini açıkladı.

FBI’a göre bu zararlı yazılım, ele geçirilen cihazları daha büyük saldırılar için “ilk giriş noktası” olarak kullanıyordu. Bu sistem üzerinden ransomware (fidye yazılımı) saldırıları ve casusluk faaliyetleri yürütülüyordu.

15 bine yakın WordPress sitesi temizlendi

Operasyonun dikkat çeken ayağı ise 14.971 WordPress sitesinin zararlı kodlardan arındırılması oldu. Saldırganlar, özellikle küçük işletmelere ait web sitelerine sızarak ziyaretçilere sahte “tarayıcı güncellemesi” uyarıları gösteriyordu.

Bu yöntemle kullanıcılar zararlı yazılım indirmeye yönlendiriliyor ve sistemlere erişim sağlanıyordu. Hollanda Polisi, etkilenen sitelerin çoğunun restoran, tamirhane gibi günlük hizmet sunan küçük işletmelere ait olduğunu belirtti.

Fidye yazılımı zincirine kritik darbe

Siber güvenlik şirketi Infoblox’a göre SocGholish, LockBit, DoppelPaymer, WastedLocker ve RansomHub gibi büyük fidye yazılımı gruplarına erişim sağlayan bir “ilk adım” aracıydı. Bu nedenle operasyon, yalnızca bir zararlı yazılımı değil, aynı zamanda geniş bir siber suç ekosistemini hedef aldı.

Proofpoint ise bu yapının arkasındaki Evil Corp grubunu, trafik yönlendirme sistemleri üzerinden çalışan modern siber saldırı modelinin öncülerinden biri olarak tanımlıyor.

Suç ağı için site sahiplerine kritik uyarılar

Yetkililer, etkilenen site sahiplerine doğrudan bildirim gönderirken, genel güvenlik önlemleri konusunda da uyarılarda bulundu. Öne çıkan öneriler arasında yönetici hesapları için çok faktörlü kimlik doğrulama kullanılması, yönetim paneline IP bazlı erişim kısıtlaması getirilmesi ve kullanılmayan eklenti ile temaların kaldırılması yer alıyor.

Ayrıca, daha önce enfekte olmuş sitelerde kullanılan tüm şifrelerin risk altında olduğu ve mutlaka değiştirilmesi gerektiği vurgulanıyor.

Bu operasyon, siber suçla mücadelede uluslararası iş birliğinin etkisini bir kez daha ortaya koyarken, özellikle WordPress tabanlı sitelerin güvenliğinin ne kadar kritik olduğunu hatırlatıyor. Önümüzdeki süreçte benzer altyapılara yönelik operasyonların devam etmesi ve site güvenliğine yönelik standartların daha da sıkılaşması bekleniyor.