İngilizce konuşan üyeleriyle bilinen bir hacker topluluğu, kurbanlarını tehdit etmek için yeni bir fidye sitesi yayına aldı. Grup, Salesforce üzerinde barındırılan bulut veritabanlarını hedefleyerek, farklı şirketlere ait yaklaşık 1 milyar kaydı ele geçirdiğini öne sürüyor.
“Scattered LAPSUS$ Hunters” adıyla sızıntı portalı
Daha önce Lapsus$, Scattered Spider ve ShinyHunters adlarıyla anılan gevşek örgütlenmiş ekip, dark web’de “Scattered LAPSUS$ Hunters” isimli bir veri sızıntı sitesi kurdu. Amaç, çalındığı iddia edilen verileri ifşa etmekle tehdit ederek şirketleri fidye ödemeye zorlamak. Sitede kurbanlara yönelik mesajda, “Veri yönetişiminin kontrolünü geri almak ve kamuya ifşayı önlemek için bizimle iletişime geçin… Bir sonraki manşet olmayın” ifadeleri yer alıyor; iletişimin kimlik doğrulamalı ve gizlilik içinde yürütüleceği vurgulanıyor.
Hedefte bulut veritabanları
Son haftalarda ShinyHunters’ın, Salesforce üzerinde barındırılan çok sayıda bulut veritabanına sızarak onlarca büyük şirketi vurduğu iddia ediliyor. Allianz Life, Google, Kering, Qantas, Stellantis, TransUnion ve Workday gibi kurumlar, verilerinin bu toplu saldırılarda çalındığını doğruladı. Sızıntı sitesinde ayrıca FedEx, Disney’e ait Hulu ve Toyota gibi başka kurumların isimleri de yer alıyor; ancak bu şirketler yorum yapmadı.
Hangi şirketlerin isminin özellikle listelenmediği belirsiz. Grup adına konuşan bir temsilci, “Listede olmayan çok sayıda şirket daha var” derken, nedenini açıklamadı. Bu durum, listede görünmeyen bazı kurumların verilerinin yayımlanmaması için fidye ödemiş olabileceği ihtimalini akla getiriyor; kesinlik ise yok.
Salesforce’tan “platform etkilenmedi” mesajı
Sitenin üst kısmında saldırganlar doğrudan Salesforce’u hedef alarak, şirketin kendileriyle pazarlık yapmaması halinde “tüm müşterilerinin verilerini sızdırma” tehdidinde bulunuyor. Bu ton, taraflar arasında henüz bir temas olmadığını ima ediyor.
Salesforce cephesinden paylaşılan açıklamada, son dönemdeki şantaj girişimlerinin farkında olunduğu belirtilirken, “bulguların geçmişte yaşanan ya da doğrulanmamış olaylara karşılık geldiği” ve etkilenen müşterilerle destek için temas halinde olunduğu ifade ediliyor. Salesforce, platformun ihlal edildiğine dair bir gösterge bulunmadığını ve bu faaliyetlerin teknolojiye dair bilinen bir güvenlik açığıyla ilişkili olmadığını vurguluyor.
Fidye çetelerinin taktik evrimi
Güvenlik araştırmacıları haftalardır bu grubun, kamuya açık görünürlükten genelde kaçınmasına rağmen, bir veri sızıntı/fidye sitesi hazırlığında olduğuna dikkat çekiyordu. Son yıllarda uluslararası fidye çeteleri, “veriyi çal–şifrele–özel kanaldan fidye iste” modelinden, “veriyi sızdırmakla tehdit et–fidye iste” modeline kaydı. Bu yöntem, şifreleme olmadan da kurbanları baskı altına almaya yetiyor.
Özet
- Saldırgan grup, dark webde kurduğu sitede 1 milyar kaydı ele geçirdiğini iddia ederek şirketleri ödeme yapmaya zorluyor.
- Allianz Life, Google, Kering, Qantas, Stellantis, TransUnion ve Workday verilerinin çalındığını doğruladı; listede adı geçen başka şirketler yorum yapmadı.
- Salesforce, kendi platformunun ihlal edildiğine dair bir bulgu görmediklerini, olayların geçmiş ya da doğrulanmamış vakalarla ilişkili olabileceğini söylüyor.
Kurumlarsa şu anda iki cephede hareket ediyor: Hasarın kapsamını netleştirmek ve verilerin kamuya sızmasını engellemek için pazarlık baskısıyla başa çıkmak.