Dolandırıcılık Yönetimi ve Siber Saldırı, Olay ve İhlal Yanıtı, Fidye Yazılımı
SafePay fidye yazılımı uzun süreli sistem kesintisi için suçlandı
Prajeet Nair (@prajeaetspeaks) •
7 Temmuz 2025
Global Tech Distribütörü ve Servis Sağlayıcısı Ingram Micro, fidye yazılımı saldırısının iç sistemleri bozduğunu yaygın bir durumdan günler sonra doğruladı.
Ayrıca bakınız: En son Geter ATT & CK değerlendirmeleri için tam kılavuz
California merkezli Ingram Micro, teknoloji ürünlerinin en büyük küresel distribütörleri arasında yer alıyor, işletmelere donanım ve yazılım sunuyor ve yönetilen bulut hizmetleri sunuyor. 2024 yılında yaklaşık 48 milyar dolarlık satış bildirdi.
Şirket şu anda yazılım lisanslamasını etkileyen ve müşterilerin Ingram Micro’nun arka uç sistemlerine bağlı belirli ürünlere erişimi durduran bir hizmet kesintisi yaşıyor. ABD federal düzenleyicilerine yapılan bir Pazartesi günü, yatırımcıları bilgi için bir Cumartesi basın bültenine yönlendiriyor. Bir şirket sözcüsü benzer şekilde bilgi güvenliği medya grubunun basın bültenine geri döndü.
Ingram Micro, olayı, SAFEPAY Fidye Yazılım Grubu ile ilişkili gasp taleplerinin çalışan cihazlarında göründüğünü bildiren raporları açıkladı. Ingram Micro, ilgili fidye yazılımı grubunu adlandırmayı bıraktı. Fidye notu formatı, Kasım 2024’te ortaya çıktığından beri 220’den fazla kurbanı toplayan giderek daha aktif bir operasyon olan SafePay tarafından daha önce kullanılanlarla eşleşti.
Reddit’te birden fazla kullanıcı, kesintinin çözülmediğini ve hala şirket web sitesine erişemediklerini bildirdi. Pazar gecesi yazısında bir diğeri, “Web siteleri bu AM’den (EST) ve departmanların hiçbiri e -postaları cevaplamıyor.”
Bu olayda herhangi bir verinin ortaya çıkıp kaynaklanmadığı veya sistemlerin şifrelenmediği belirsizliğini korumaktadır.
İsimsiz kaynaklar BleepingComputer’a bilgisayar korsanlarının Palo Alto GlobalProtect VPN aracılığıyla şirketi ihlal ettiğini söyledi. Bir açıklamada, siber güvenlik şirketi olayı araştırdığını söyledi. “Tehdit aktörleri, VPN ağ geçitleri aracılığıyla erişim elde etmek için rutin olarak çalınan kimlik bilgilerini veya ağ yanlış yapılandırmalarını kullanmaya çalışırlar.”
SafePay bilgisayar korsanları GlobalProtect aracılığıyla Ingram Micro’yu ihlal ettiyse, görünüşe göre Rusça konuşan grup bir şirketi hacklemek için çalıntı VPN kimlik bilgilerini ilk kez kullanmayacaktı. Yönetilen uç nokta güvenlik firması Huntress 2024’te bu tür iki olayı belgeledi. Zaman veri koruma firması Fortra, 27 Haziran blog yazısı SafePay’ı yazdığında, onu “çalıntı VPN veya RDP kullanarak kuruluşlara girdiği bilinen bir grup olarak nitelendirdi.”
Bu yılın başlarında Safepay, Kuzey Carolina merkezli bir laboratuvar hizmetleri sağlayıcısına yönelik fidye yazılımı saldırısına katıldı. Ocak ayında keşfedilen ve Mayıs ayında federal düzenleyicilere bildirilen olay yaklaşık 236.000 kişiyi etkiledi.
İlk olarak Ekim 2024’te gözlenen nispeten yeni bir fidye yazılımı suşu, SafePay o zamandan beri ABD, İngiltere, Avustralya, Kanada ve Almanya da dahil olmak üzere birçok sektör ve bölgeye saldırılara bağlanmıştır.
İşlem, dosyaları bir .safepay uzatma ve fidye notu bırakma başlıklı readme_safepay.txt. Maruz kalan uzak masaüstü protokol uç noktalarından ve yanlış yapılandırılmış eski sistemlerden yararlanarak, arazi ikili işlerinde yaşamı kullanarak güvenlik özelliklerini devre dışı bırakmak, kullanıcı erişim kontrolü bypass teknikleri aracılığıyla ayrıcalıkları artırmak ve iyileşmeyi önlemek için kritik süreçleri ve hizmetleri sonlandırmaktan başlayarak bir dizi gelişmiş taktik kullanır.
Ayrıca, şifrelemeye başlamadan önce, operasyonel bozulmayı ve gasp için kaldıraçları en üst düzeye çıkarmadan önce Winrar ve Filezilla gibi araçlar kullanarak veri açığa çıkması sağlar.