ByteToBreach takma adı altında faaliyet gösteren bir siber suçlu, dünya çapında kritik sektörleri hedef alan bir dizi yüksek profilli ihlali yöneterek yeraltı veri ticaretinde öne çıkan bir figür olarak ortaya çıktı.
En azından Haziran 2025’ten bu yana aktif olan ByteToBreach, son aylarda en çok duyurulan tehdit aktörlerinden biri olmak için teknik yeterlilik, agresif kendini tanıtma ve platformlar arası operasyonların bir karışımından yararlandı.
ByteToBreach’in operasyonları havayolları, finans kurumları, devlet kurumları ve sağlık hizmeti sağlayıcıları dahil olmak üzere çok çeşitli hedefleri etkiledi.
Havayolu yolcu manifestoları, banka çalışanlarının kayıtları, dahili hükümet belgeleri ve sağlık veritabanları gibi yüksek değerli veri kümeleri yeraltı forumlarında, Telegram gibi mesajlaşma platformlarında ve hatta meşru bir “Pentesting Ltd” hizmeti gibi görünen halka açık bir WordPress sitesinde satıldı veya sızdırıldı.
Kapsam tamamen küreseldir ve ihlallerin Ukrayna, Kazakistan, Kıbrıs, Polonya, Şili, Özbekistan, ABD ve diğer ülkelerdeki kuruluşları etkilediği doğrulanmıştır.
Tehdit aktörünün sızıntıları boş iddialar değil: birden fazla olay mağdur kuruluşlar tarafından doğrulandı veya bunların gerçekliğini doğrulayan teknik eserler içeriyor.
Örneğin, Özbekistan Havayolları’nın dahil olduğu yakın tarihli bir ihlal, önemli miktarda gerçek pasaport verisi içeriyordu; ele geçirilen bir Polonya bankası ise sızdırılan çalışan verilerinin meşruluğunu kabul etti.
Bu riskler, etkilenen kuruluşlar ve müşterileri için kimlik hırsızlığı, dolandırıcılık, tedarik zinciri saldırıları ve kamu güveninin erozyona uğraması risklerini keskin bir şekilde artırıyor.
Yöntemler, Ticaret ve Kriminal Markalama
Araştırmalara göre ByteToBreach çeşitli izinsiz giriş teknikleri kullanıyor.
Siber suçlu, bulut ve kurumsal altyapıdaki bilinen güvenlik açıklarından yararlanır, bilgi hırsızları ve kimlik avı yoluyla toplanan kimlik bilgilerini yeniden kullanır ve hedeflere sızmak için kaba kuvvet veya yanlış yapılandırmaya dayalı erişimden yararlanır.
ByteToBreach, sağlam bir yer edindikten sonra hassas veri tabanlarını sızdırmaya odaklanır ve bu veri tabanları daha sonra satışa sunulur veya orijinalliklerini kanıtlamak için sızdırılır.
Siber suçlular için alışılmadık bir hamleyle ByteToBreach, suça yönelik “hizmetlerin” reklamını yapmak ve “Verilerinize Zarar Vermeme İzin Verin” ve “Sektör Lideri Tehdit Aktörü” gibi sloganların yer aldığı pankartlar yayınlamak için profesyonel görünümlü bir web sitesi oluşturarak güçlü bir pazarlama merkezli yaklaşım benimsedi.
Site, uydurma müşteri memnuniyeti istatistikleri ve çalıntı verilerin satın alınması konusunda ciddi olmadıkça iletişim kurulmaması yönünde açık uyarılar içeriyor; bu da yer altı ticareti ile açık reklamcılık arasındaki çizgiyi daha da bulanıklaştırıyor.
Soruşturmalar, ByteToBreach’in şifreli e-posta sağlayıcıları (ProtonMail, Tuta, Gmail), Telegram tanıtıcıları, Pastebin ve DarkForums ve Dread gibi karanlık web forumları dahil olmak üzere birden fazla takma ad ve iletişim kanalı kullandığını ortaya koyuyor.
Bilgi hırsızlığının bulaştığı ilgili makinelerin (öncelikle Cezayir kaynaklı) analizi, yeniden kullanılan hesapları, platformlar arası tanıtıcıları ve ikincil suçlu profillerine olan bağlantıları ortaya çıkardı.
Gelişen ve Fırsatçı Bir Tehdit Aktörü
Kuruluşlarla temasa geçerek onları “gerçek mağdurların masum insanlar” olduğu yönündeki ihlaller konusunda “uyarmak” yönündeki iddialara rağmen, ByteToBreach’in eylemleri, saldırganların çalınan verilere erişim ve açığa çıkmadan kâr elde ederken şirketlerden sorumluluk talep etmesiyle ciddi zararlarla sonuçlandı.
ByteToBreach, teknik beceri, cesaret ve pazarlama anlayışını birleştiren yeni bir siber suçlu türüne örnek teşkil ediyor.
Aktörün açık bir şekilde faaliyet gösterme, verileri en yüksek teklif verene satma ve maksimum etki sağlayan sektörleri hedefleme isteği, küresel dijital altyapıya yönelik süregelen riskin altını çiziyor.
Dünya çapındaki kuruluşların güvenlik duruşlarını güçlendirmeleri ve ByteToBreach gibi yeni ortaya çıkan tehditlere karşı yer altı ekosistemlerini izlemeleri isteniyor; çünkü bu tür ihlallerin sonuçları anlık mali kaybın çok ötesine geçerek potansiyel olarak gelecekteki siber saldırıları körüklüyor ve dijital güveni büyük ölçekte zayıflatıyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.