foxconn'a nitrogen ransomware saldırısı, kuzey amerika fabrikaları etkilendi

Posted on 13 May 2026

arkadaşlar, dünyanın en büyük elektronik üreticisi foxconn’a siber saldırı olmuş. nitrogen ransomware çetesi bu işin altından çıkmış. kuzey amerika fabrikalarını vurmuşlar, şu an normal operasyonlara dönmeye çalışıyorlar.

ne olmuş peki

foxconn (bilirsiniz, iphone’unuzu falan üreten tayfa) kuzey amerika fabrikalarında siber saldırıya uğramış. nitrogen ransomware grubu bu saldırının sorumluluğunu üstlenmiş. şirket açıklama yapmış, “evet saldırı oldu, şu an normale dönmeye çalışıyoruz” demiş.

spoiler: nitrogen ransomware grubu son dönemde oldukça aktif. ransomware-as-a-service (RaaS) modeli ile çalışıyorlar yani fidye yazılımını kiralıyorlar başkalarına.

nitrogen ransomware nedir

nitrogen (n2) ransomware grubu, 2023’ten beri aktif olan bir fidye yazılımı operasyonu. özellikle büyük kurumları hedef alıyorlar. çift haraç (double extortion) yöntemi kullanıyorlar:

  • önce verileri çalıyorlar
  • sonra şifreliyorlar
  • hem şifre çözme hem de veri sızdırmama için para istiyorlar

genelde vmware esxi sunucularını, windows sistemlerini hedef alıyorlar. python tabanlı bir şifreleyici kullanıyorlar ki bu da linux/unix sistemlerinde de çalışabiliyor.

etki alanı

SistemDurum
Foxconn Kuzey Amerika Fabrikaları🔴 Etkilendi
Üretim Sistemleri🔴 Kesintiye Uğradı
Diğer Bölgeler🟡 Bilinmiyor

sistem yöneticileri ne yapmalı

eğer siz de büyük bir üretim/imalat firmasında çalışıyorsanız, şunlara dikkat edin:

1. ransomware’e karşı temel savunma

# yedeklerinizi kontrol edin (offline yedek şart)
# son yedek tarihini kontrol
ls -lah /backup/

# vmware esxi sunucularınızı güncel tutun
esxcli software vib list | grep -i esx

# smb/rdp gibi servisleri gereksiz yere açık tutmayın
netstat -tulpn | grep -E '445|3389'

2. ağ segmentasyonu

  • üretim ağını ofis ağından ayırın
  • kritik sistemlere erişimi kısıtlayın
  • firewall kurallarını gözden geçirin

3. erişim kontrolü

# privileged hesapları kontrol edin
# mfa olmayan admin hesapları varsa hemen düzeltin

# şüpheli giriş denemelerini izleyin
last -f /var/log/wtmp | grep -v "still logged in"

4. izleme ve log yönetimi

  • siem kullanıyorsanız nitrogen ioc’lerini ekleyin
  • anormal dosya şifreleme aktivitelerini izleyin
  • esxi sunucularında python process’lerini kontrol edin
# linux sistemlerde şüpheli python processleri
ps aux | grep python | grep -v grep

# büyük dosya değişikliklerini izleyin
find /opt -type f -mtime -1 -size +100M

geçici çözümler ve önlemler

yamayı/güncellemeyi hemen uygulayamayanlar için:

ağ seviyesi:

  • kuzey-güney trafiği (north-south) sıkı filtreleyin
  • esxi yönetim arayüzlerine sadece vpn üzerinden erişim
  • rdp/smb portlarını internete kapatın (zaten kapalı olmalıydı ama neyse)

sistem seviyesi:

  • gereksiz servisleri durdurun
  • script execution policy’leri sıkılaştırın
  • powershell/python gibi interpreter’ların loglarını aktifleştirin

yedekleme:

  • 3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 offline
  • yedekleri düzenli test edin (restore çalışıyor mu?)
  • immutable backup kullanın (değiştirilemez yedekler)

edit: foxconn gibi dev bir firma bile yemiş bu saldırıyı. “bize olmaz” demeyin, herkes hedef olabilir.

nitrogen ransomware ioc’leri

şunları izleyin sistemlerinizde:

  • .n2 uzantılı dosyalar (şifrelenmiş dosyalar)
  • NITROGEN-RECOVER.txt fidye notları
  • python tabanlı şifreleme scriptleri
  • vmware esxi snapshot’larının silinmesi
  • volume shadow copy’lerin silinmesi
# linux'ta şüpheli dosya uzantıları
find / -name "*.n2" 2>/dev/null

# fidye notu araması
find / -name "*NITROGEN*" -o -name "*RECOVER*" 2>/dev/null

öneriler

agalar şimdi yapmanız gerekenler:

  1. yedeklerinizi kontrol edin - offline yedek yoksa hemen yapın
  2. vmware esxi güncellemelerini yapın - bilinen açıklar var
  3. ağ segmentasyonunu gözden geçirin - üretim izole mi?
  4. mfa’yı her yere koyun - admin hesaplarında şart
  5. incident response planınızı test edin - böyle bi durum olursa ne yapacaksınız?
  6. siber sigorta poliçenizi kontrol edin - ransomware kapsıyor mu?

dikkat: fidye ödemeyin. hem paranız gidiyor hem de tekrar hedef oluyorsunuz. fbi de tavsiye etmiyor zaten.

kaynaklar

sonuç olarak: büyük üretim firmasıysanız hedefsiniz demektir. foxconn gibi devler bile yiyorsa, siz de yiyebilirsiniz. yedek alın, güncel kalın, ağınızı segmente edin. ransomware artık “olur mu” değil “ne zaman olur” meselesi.

bkz: double extortion ransomware
bkz: vmware esxi ransomware saldırıları
bkz: offline backup neden önemli

şimdi gidin sistemlerinizi kontrol edin, sonra “bize de oldu” demeyin.

Bu içerik yapay zeka tarafından oluşturulmuştur.