Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Dağınık Lapsus $ Hunters 1 milyar çalıntı rekor, kurbanların ödemeleri için baskı yapıyor
Mathew J. Schwartz (Euroinfosec) •
3 Ekim 2025
Kötü şöhretli bir fidye yazılımı grubu Cuma günü, büyük bir Salesforce veri ihlalinin kurbanlarına gasp parası ödemeye baskı yapmak için tasarlanmış bir veri sızıntısı sitesi başlattı.
Ayrıca bakınız: En son Geter ATT & CK değerlendirmeleri için tam kılavuz
Dağınık Lapsus $ Hunters Operasyonunun yeni DarkWeb veri sızıntısı sitesi, Salesforce Müşteri İlişkileri Yönetim Yazılımını Salesloft Drift Yapay Zeka Chatbot ile entegre eden 39 kurbanı listeliyor. Adlandırılmış kurbanlar arasında Cisco, Disney, KFC, IKEA, Marriott, McDonald’s, Walgreens, bakkal dev Albertsons ve perakendeci Saks Fifth Avenue yer alıyor.
Grup – Shinyhunters Kısa – Geçen ay 760 Salesloft Drift kullanan şirketten 1,5 milyar Salesforce rekoru çaldığını iddia etti. Shinyhunters’a göre, sızıntı sitesinde listelenen şirketler bu kayıtların büyük kısmını hesaba katıyor. Özel bir telgraf kanalında, Grup Cuma günü Salesforce’dan diğer 721 kurbanla ilgili verileri sızdırmamak için ayrı bir fidye istedi.
Yayınlanan çalıntı veri örnekleri, isimler, doğum ve milliyet verileri, pasaport numaraları, tam iletişim bilgileri ve istihdam geçmişleri dahil olmak üzere kişisel olarak tanımlanabilir kapsamlı bilgileri içerir. Sızan verilerin birden fazla örneğini test etti ve geçerliliklerini doğruladı.
Diğer veriler, nakliye bilgileri, pazarlama olası satış verileri, müşteri destek vaka kayıtları, sohbet transkriptleri, uçuş ayrıntıları, araba sahipliği kayıtları ve daha fazlasını içerir.
Siber güvenlik uzmanları, dağınık örümcek, Lapsus $ ve Shinyhunters’ın son yıllarda İngilizce konuşan siber suç topluluğundan kendisine “com” adını verdiğini söylüyor. Bu gevşek organize edilmiş ağ, son bir raporda tehdit istihbarat firması yeniden güvenliğini, geniş ve sürekli değişen bir aktör yelpazesini kapsayan siber suç gençlik hareketi olarak daha fazla faaliyet gösteriyor.
Resecurity, “Her üç grup da, Vishing – sesli kimlik avı, kimlik avı ve BT personelinin çalışanlara erişim veya kötü amaçlı yazılım yüklemeleri için kandırmak için taklit edilmesi de dahil olmak üzere gelişmiş sosyal mühendislik yetenekleriyle ünlüdür.” Dedi.
Kolektif suçlu üyeleri tutuklamaya devam eden kolluk kuvvetlerine rağmen saldırıları devam etti.
Saldırganlar ilk olarak Salesloft Drift
12 Eylül’de FBI, saldırganların Salesloft Drift e -postasının AI chatbot’unu Salesforce örnekleriyle entegre etmek için kullanılan çalıntı OAuth jetonları kullandığı konusunda uyardı. Google’ın Tehdit İstihbarat Grubu daha önce saldırıların 8 Ağustos’ta başladığını ve 18 Ağustos’a kadar sürdüğünü ve yaklaşık 700 Salesloft müşterinin kurban düştüğünü bildirdi.
Shinyhunters, Blewing bilgisayarı ilk olarak Salesloft’un GitHub deposuna hacklediğini ve özel kaynak koduna eriştiğini iddia etti. Kodu taradıktan sonra, saldırganlar 760 Salesloft kullanan Salesforce müşterileri de dahil olmak üzere OAuth jetonlarını kurtardıklarını söyledi.
Siber güvenlik uzmanları, saldırganların Google çalışma alanı da dahil olmak üzere diğer bulut kaynaklarına erişim sağlayan OAuth tokenlerini de çaldığını söyledi.
Shinyhunters, güvenlik araştırmacıları tarafından UNC6040 kodlu bir tehdit kümesi olarak izlenen çeşitli taktikleri kullanarak Salesforce verilerini hedefliyor.
FBI, “UNC6040 tehdit aktörleri, kurumsal çapta bağlantı sorunlarına hitap eden çalışanları desteklediğinden, kurbanların çağrı merkezlerini pozlamaya çağırıyor.” Dedi. “Otomatik olarak üretilen bir bileti kapatma kisvesi altında, UNC6040 aktörler, müşteri destek çalışanlarını saldırganlara erişim sağlayan veya çalışan kimlik bilgilerinin paylaşılmasına yol açarak, hedeflenen şirketlerin müşteri verilerini sunmak için hedeflenen şirketlerin örneklerine erişmelerine izin veren eylemleri almaya yönlendirir.”
Google, bir kurbanın ağına erişim sağladıktan sonra, birçok durumda UNC6040’ın yanal olarak hareket ettiğini ve ayrıca bir kurbanın Microsoft 365 ve OKTA platformlarında saklanan verileri dışarı atmaya çalıştığını söyledi.
Kuruluşların bu saldırıları daha iyi itmelerine yardımcı olmak için, Google’ın Salesforce ile çalışan Maniant Olay Müdahale Grubu, proaktif sertleştirme önlemlerini, kapsamlı kayıt protokollerini ve gelişmiş algılama yeteneklerini kapsayan yapılandırılmış bir savunma çerçevesi yayınladı.
Shinyhunters, Salesloft’tan OAuth Jetons’u da Drift ile entegre ettikleri diğer uygulamalara erişmesini sağladığını söyledi. Saldırganlar, “Ayrıca 100’den fazla isimsiz örneği attık çünkü 2FA veya başka bir OAuth uygulaması güvenliğini zorlamıyorsunuz.”
Tekrarla Hedef: Üçüncü Taraf Yazılımı
Salesforce müşterilerine yönelik veri açma saldırıları, son zamanlarda verilerin kitlesel hırsızlığına neden olan tek tedarik zinciri saldırıları değildir.
Oracle E-Business Suite kullanan kuruluşlar da ateş altında, saldırganlar Temmuz ayında piyasaya sürülen Oracle Security güncellemelerini kurmamış olan yüzlerce kuruluştan çalınmış gibi görünüyor (bakınız: Oracle, müşteri gaspına bağlı sıfır günlük istismar görmüyor).
Yaygın olarak kullanılan yazılım, aynı anda birçok farklı kuruluştan veri çalmaya çalışan suçlular için yüksek profilli bir hedeftir. Yararlı olmasına rağmen, aynı zamanda, “üçüncü taraf yazılımı şirketler için tehlikelidir, çünkü saldırganların kullandığı güvenlik açıklarını – genellikle şirketin kontrolünün ötesinde” dedi.
Saldırılar, müşterilerin “üçüncü taraf satıcılarının kapsamlı güvenlik değerlendirmelerini ve düzenli denetimlerini yapmaları,” toplu olarak “güçlü erişim kontrollerini” kullandıklarını ve satıcıların mallarını dikkatlice izlediklerini ve yamaladıklarını doğruladıklarını hatırlatıyor.
Her şey başarısız olduğunda, “potansiyel hasarı azaltmaya yardımcı olmak için” Rajić, müşterilerin hazır, üçüncü taraf tedarikçi bir ihlal olay müdahale planına hazır olmasını önerir.