Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Fidye Yazılımı
Kaos Teorisi ve Fidye Yazılımının Aşk Çocuğu Kesintisiz Tahmin Edilemezliğe Hizmet Ediyor
Mathew J. Schwartz (euroinfosec) •
17 Ekim 2025
Uzun zamandır kolluk kuvvetlerinin ulaşamayacağı yerlerde faaliyet gösteren Rus suçluların yaşadığı çok sayıda fidye yazılımı kampanyasının izleri artık “ne olursa olsun işe yarar” anlayışını benimseyen pervasız Batılı gençlere dayanıyor.
Ayrıca bakınız: Kimlik Koruması Başarısız Olduğunda: Modern Tehdit Ortamı İçin Dayanıklılığı Yeniden Düşünmek
Birçoğu, siber suç topluluğu The Com’dan ortaya çıkan gevşek bir kolektif olan Scattered Lapsus$ Hunters’ın bayrağı altında örgütleniyor ve hem teknik hem de teknik olmayan çeşitli taktiklerde uzmanlaşıyor. Bunlar arasında yardım masalarına karşı sosyal mühendislik ve teknik uzmanlığın kullanılmasının yanı sıra Oracle, SAP ve Salesforce gibi şirketler tarafından oluşturulan kurumsal uygulamaları hedefleme eğilimi de yer alıyor.
Bu yerli bilgisayar korsanları, bazı suçluların zaten birçok kez kripto para birimi milyoneri olmasına rağmen, büyük işletmeleri sekteye uğratmaktan, şirketleri ve işleri riske atmaktan hiç çekinmiyor gibi görünüyor. Grubun son zamanlarda listelediği iddia edilen mağdurlar arasında büyük perakendeciler, havayolları ve sigorta şirketlerinin yanı sıra Home Depot, Marriott, Kanada Ulusal Bankası ve Tata Motors’un Jaguar Land Rover’ı yer alıyor.
Scattered Lapsus$ Hunters, uç noktalara kötü amaçlı yazılım bulaştırmaya ve fidye talep etmeye odaklanan saf bir hizmet olarak fidye yazılımı operasyonu olmaktan ziyade veya toplu saldırı saldırılarından sonra çalınan verileri fidye olarak alma konusunda uzmanlaşmak yerine, mevcut en kazançlı seçenek gibi görünen her şeye uyum sağlayan bir esneklik gösterdi.
Grup üyelerinin yarı tutarlı rant yapma eğilimi, kendini abartılı bir şekilde tanıtma ve kaos yaratma becerisi, bilgisayar korsanlarının çoğunun henüz yeni çıktığı veya hala devam etmekte olduğu geç ergenlik döneminin bir yan etkisi olabilir.
Aynı zamanda, yine bir an yaşayan “deli adam teorisinin” -bilerek veya bilmeyerek- uygulanması da olabilir. Teori, liderlik pozisyonunda bulunan ve deli gibi görünen biri tarafından yapılan tehditlerin, rakiplerden taviz koparma olasılığının daha yüksek olduğunu savunuyor. İlk olarak ABD Başkanı Richard Nixon’u ve son zamanlarda Başkan Donald Trump’ı tanımlamak için kullanılan dış politika uzmanları, bunun etkinliğini tartışmaya devam ediyor. Bu, birisinin, rakibinin kesinlikle deli olduğuna gerçekten ama gerçekten inanmasına ve daha fazla çılgınlığı kışkırtmak yerine tavizler sunmaya karar vermesine bağlı.
Grubun teknik açıdan gelişmiş olduğu ve kurbanlardan şantaj parası alma becerisinin arttığı inkar edilemez.
Tehdit istihbarat firması FalconFeeds, “Gürültü ve tiyatro olarak başlayan şey, ilk erişim komisyonculuğunu, içeriden bilgi toplamayı, fidye yazılımı işbirliklerini ve küresel kuruluşlar genelinde hedefli sızıntıları harmanlayan koordineli bir siber suç ekosistemine dönüştü” dedi.
Tüm bu faaliyetlerin “sosyal mühendislik çeteleri ile olgun izinsiz giriş operasyonları arasındaki çizgiyi bulanıklaştırdığı ve erişimin yeni yük olduğunu kanıtladığı” belirtildi.
Hack saldırıları ve sarsılma çabaları, yalnızca satıcıları ve kurbanları hedef alan grubun değil, aynı zamanda onları avlayan siber güvenlik araştırmacıları ve emniyet teşkilatlarının da desteklediği alışılmadık düzeyde bir öngörülemezlik ortaya koyuyor.
404 Media’nın ilk bildirdiği gibi, bu hafta Dağınık Lapsus$ Avcılarının, aralarında FBI ve Göçmenlik ve Gümrük Muhafaza ajanlarının da bulunduğu İç Güvenlik Bakanlığı’ndan 600’den fazla kişinin de aralarında bulunduğu yüzlerce ABD hükümeti yetkilisinin “görünen telefon numaralarını ve adreslerini” sızdırdığına tanık olun.
Bu, grubun geçen hafta, chatbot AI araçlarını Salesforce örneklerine entegre eden Salesloft’un 39 müşterisinden çalınan verileri, fidye ödemedikleri takdirde yayınlamakla tehdit etmesinin ardından geldi. FBI ve Fransız kolluk kuvvetlerinin grubun özel veri sızıntısı sitelerini engellemeye başlamasının ardından suçlular, altı kurbandan çalınan CRM verilerini sızdırmaya başladı ve hepsi bu kadardı.
Kısa bir süre önce siber güvenlik gazetecisi Brian Krebs, Scattered Spider, Lapsus$ ve ShinyHunters’ın bazı unsurları tarafından imzalanmış ve taleplerini görüntülemek için Limewire dosya paylaşım sitesindeki bir sayfayı ziyaret etmesini talep eden bir mesaj aldığını bildirdi.
Bunun yerine Krebs, mesajı Google Cloud’un Mandiant olay müdahale grubuna iletti ve bu grup mesajın, ekran görüntüsü olarak gizlenen ve görüntülendiğinde otomatik olarak çalıştırılacak olan “Asyncrat olarak bilinen ticari olarak satılan bir arka kapı” olan bir Windows truva atına yol açtığını tespit etti. Mandiant, Krebs’e araştırmacılarının da benzer şekilde hedef alındığını söyledi.
Bunu, siber güvenlik firması ReliaQuest’in söylediğine göre, grup ağustos ayının sonlarında “ShinySp1d3r RaaS” adlı bir hizmet olarak fidye yazılımı programının lansmanını ön izlemesini takip etti; bu program doğruysa “İngilizce konuşan siber suçlulardan gelen ilk büyük RaaS” olacaktı.
“Bu hizmet henüz resmi olarak piyasaya sürülmedi, ancak eğer öyleyse, geleneksel olarak DragonForce, Alphv ve RansomHub gibi Rusça konuşan fidye yazılımı sağlayıcılarına güvenen ve İngilizce konuşanlarla işbirliği yapmaktan veya operasyonel güvenlik endişeleri nedeniyle bir güven işareti olarak depozito talep etmekten çekinen İngilizce konuşan, Batı merkezli siber suçlular için büyük bir değişime işaret edecek” dedi.
Çıtayı İndirmek
Bu seviyedeki oynaklık, fidye yazılımı kullanan gençlerden geldiğinde daha inandırıcı görünüyor. Sağlık hizmeti sağlayıcıları ve diğer çocuklar gibi kişileri hedeflemek de dahil olmak üzere çıtayı düşük tutmaya devam ediyorlar.
Londra Metropolitan Polisi, Kido anaokulu zincirindeki 8.000 çocuğa ait fotoğrafların, isimlerin ve adreslerin çalınmasına ilişkin soruşturma kapsamında 7 Ekim’de İngiltere’de 17 yaşındaki iki çocuğu tutukladı. Kendisine Radiant adını veren yeni bir grup, geçen ay çalınan çocuk fotoğraflarından 10 tanesini sızdırdı ve daha fazlasını sızdırmaması için Kido’dan 800.000 dolar talep etti.
Açık olmak gerekirse, bu grubun Scattered ve arkadaşlarının ekibiyle bilinen bir bağı yoktur, ancak grupların kolektif limit eksikliğini göstermektedir, bu da muhtemelen en azından bazı kurbanların ödeme yapmasına yardımcı olmaktadır. Ve kazançlar çok büyük: Sadece bir Scattered Spider üyesi olan 19 yaşındaki Thalha Jubair, fidye ödemelerinden alınan 36 milyon dolarlık kripto para birimini kontrol etmekle suçlandı (bkz: Dağınık Örümcek Sokması: 2 İngiliz Genç Saldırıyla Suçlanıyor).
Böyle bir potansiyel cömertlik daha yeni yüzlü Batılı gençleri cezbetmeye devam ediyor gibi görünse de, bu denklemin sadece bir kısmı.
İngiliz siber güvenlik uzmanı Kevin Beaumont, büyük işletmelerin, bu “ileri düzey inatçı gençlerin” elindeki temel veri ihlallerini, sessizlikleri karşılığında büyük fidyeler ödeyerek örtbas etme eğilimlerine doğrudan işaret ediyor.
Mastodon sosyal platformunda yaptığı bir paylaşımda, “Gençler daha sonra bitcoin’i istismarlara harcıyor” – ayrıca bir vakada büyükanne ve büyükbabalarının evine pizza sipariş etmek için çalıntı kripto para kullanıyor – bu da toplumu “gençleri roketatarlarla silahlandırmak için dibe doğru bir yarışta” bırakıyor, dedi.
Açıkça görülüyor ki, bu gençlerin finansmanlarının kesilmesi gerekiyor, ancak bu yakın zamanda gerçekleşebilecek bir hayal olarak kalıyor.
Geriye ne kaldı? Kuruluşların, bu grupların kullandığı en son stratejiler ışığında savunmalarını geliştirmeye devam etmeleri gerekiyor.
İşin iyi tarafı, siber güvenlik firmaları saldırganların taktiklerini belgeleme konusunda giderek daha iyi hale geliyor ve aynı anda tek bir sektöre odaklanarak sıklıkla tekrarlayan hedeflemeler yapıyor. Bu, daha derinlemesine savunma yapmaları koşuluyla, başkalarına zaman kazandırabilir. FalconFeeds, “Odak noktası artık uç noktaların ve altyapının ötesine geçerek kimlik koruması, kimlik bilgileri izleme ve içeriden risk tespitine kadar uzanmalı” dedi.
Buna, çalışanları saldırganların nasıl çalıştığı konusunda – özellikle telefonda – eğitme ihtiyacını da ekleyin. Başka bir deyişle, “her şey, her yerde, hepsi aynı anda” gibi hissedilebilen ve görünüşe göre mutfak lavabosu dışında tüm araçları içerebilen saldırılara karşı koymak, yalnızca bu tür saldırıları durdurmak için tasarlanmış araçlar ve iş akışları değil, aynı zamanda çalışanlara “bir şey görme, bir şey söyleme” yetkisi veren yukarıdan aşağıya bir yetkiyle desteklenen daha paranoyak bir savunma zihniyeti geliştirmeyi de gerektirir.
Veya tehdit istihbaratı firması Resecurity’nin ifadesiyle: “Potansiyel zararları azaltmak için hızlı eylem ve daha fazla dikkat şarttır.”
Kaos oyun kitabının bir parçasıdır.