Dağınık Örümcek, kaotik veri sızıntılarından daha yapılandırılmış ve profesyonel bir siber suç modeline doğru ilerleyerek operasyonel stratejisini değiştirdi. Şimdi hizmet olarak fidye yazılımı (RAAS) ve içeriden gelen tehdit operasyonlarının bir melezi olarak işlev gören grup, Microsoft ve Apple dahil olmak üzere dünyanın en büyük teknoloji ve telekom şirketlerinde bir iç işbirlikçi ağı oluşturuyor.
Dağınık örümcek, yüksek sesle hacklerden sessiz erişim fırsatlarına geçer
Bir zamanlar yüksek profilli ihlalleri ve dikkat çekici sızıntıları, dağınık örümcek ve bağlı grupları, Lapsus $, Shinyhunters ve şemsiye dağılmış Lapsus $ avcılarıyla bilinir. Sadece verileri dışarı atmak yerine, kurumsal sistemlere aktif olarak ayrıcalıklı erişim satın alıyor ve satıyorlar.
Grup şimdi kilit endüstriler arasında içeriden öğreniyor: telekomünikasyon, bulut yazılımı, oyun, sunucu barındırma ve iş süreci dış kaynak kullanımı. Hedef şirketler arasında Microsoft, Apple, IBM, EA, Claro, Telefónica, OVH ve ABD, İngiltere, Avustralya, Kanada ve Fransa’daki diğerleri yer alıyor.
Gruptan gelen son yayınlara göre, Active Directory (AD) sistemlerine içeriden erişim için kârın% 25’ini ve OKTA, Azure veya AWS IAM kök kimlik bilgilerine erişim için% 10’u sunuyorlar. Bu, içeriden gelenlere basit veri kaynakları yerine suç ortakları olarak muamele edildiği daha kar paylaşımı, bağlı kuruluş tabanlı bir modele doğru bir hareketi temsil eder.
“Zaten verilerimiz var. Erişime ihtiyacımız var.”
Grubun kamuya açık bir açıklaması şunları okuyor:
“Zaten verilerimiz var. Erişime ihtiyacımız var.”
Bu, fırsatçı hacklemeden, yüksek değerli ortamlarda sürekli dayanaklar kazanmayı amaçlayan daha hesaplanmış bir siber gasp biçimine geçişlerini göstermektedir.
Ayrıca VPN kimlik bilgileri, Citrix oturumları ve AnyDesk kurulumları gibi uzaktan erişim araçlarını satın almayı teklif ettiler ve daha sonra daha fazla sömürü için fidye yazılım iştiraklerine satıldılar.
Daha ayrıntılı karanlık web yayınlarından biri – “SLSH 6.0 Bölüm 3 – Lapsus $ Hiny $ Scatterte…” adlı, içeriden gelenlerin SSH tuşları, openLDAP günlükleri ve sistem ağı yapılandırmaları da dahil olmak üzere erişim kanıtları göndermeleri çağrısında bulundu. Grup katılım için net kurallar belirler: 500 milyon doların altındaki şirketler ve Rusya, Çin, Kuzey Kore veya Belarus gibi ülkelerden hedef yok.
Salesforce, Microsoft, Apple hedeflenen firmalar arasında
Dağınık Lapsus $ Hunters, Salesloft ve Salesforce’daki ihlallerin ardından gasp çabalarının bir parçası olarak yeni bir karanlık web sızıntısı sitesi başlattı. Ekim 2025’in başından itibaren, fidye 10 Ekim’e kadar ödenmedikçe tam veri kümelerini serbest bırakma tehdidiyle yaklaşık 40 şirketten ödün verdiğini iddia ediyorlar.
Salesforce, 2 Ekim’de kamuya cevap verdi:
“Salesforce platformunun tehlikeye atıldığına dair bir gösterge yok… Bulgularımız bu girişimlerin geçmiş veya asılsız olaylarla ilgili olduğunu gösteriyor.”
Yine de grup, hassas kişisel olarak tanımlanabilir bilgiler (PII) içeren yaklaşık 1 milyar kayıt çaldığını iddia ederek yasal sonuçları tehdit etmeye devam ediyor. Veri gizliliği davaları ile bilinen bir hukuk bürosu olan Berger Montague, talepler karşılanmazsa Salesforce’a karşı hukuk davasında potansiyel bir ortak olarak adlandırdılar.
Ayrıca GDPR, CCPA, HIPAA ve diğer gizlilik yasaları kapsamında düzenleyici ihlalleri ortaya çıkarmakla tehdit ettiler. Bir açıklamada, grup şunları söyledi:
“Tam bir belge göndereceğiz… şirketinizin veri denetleyicisi olarak nasıl… bu tür müdahaleleri önleyebileceği.”
Bulut Güvenlik Modelinin Eleştirisi
The Cyber Express’in yorumlarında grup, “paylaşılan sorumluluk” bulut güvenliği modelini eleştirdi. Salesforce, diğer platformlar gibi, güvenlik yükünün çoğunu müşterilere kaydırdığını iddia ettiler.
“Salesforce, ‘Evet, hizmetlerimizi kullanabilirsiniz, ancak güvenlik söz konusu olduğunda çoğunun kendinizle uğraşmanız gerekir.’
Ayrıca, Mullvad VPN ve TOR IP’ler gibi bilinen tehdit göstergelerinin kullanımının, temel Yara kuralları kullanılarak engellenebileceğini iddia ettiler.
Sızıntı sitesi, Microsoft, Apple, Google Adsense, Cisco, Toyota, FedEx, Disney/Hulu, UPS, McDonald’s, KFC, Instacart, Chanel, Adidas, Air France/klm ve daha fazlası gibi ev isimlerini listeleyen grubun agresif taktiklerini sergiliyor.