Qilin fidye yazılımı, Scientology Kilisesi’ni karanlık web sızıntı sitesinde listeledi, ihlalin sorumluluğunu üstlendi ve erişimin kanıtı olarak 22 ekran görüntüsü yayınladı. Grup, ne kadar veri çaldığını veya ihlalin nasıl gerçekleştiğini açıklamadı.
Sızdırılan ekran görüntülerinin analizi
Qilin tarafından paylaşılan ekran görüntüleri, Kilisenin ana merkezlerinden biri olan Advanced Organization Saint Hill UK (AOSH UK) içindeki dahili erişime işaret ediyor. Çok sayıda belge, Birleşik Krallık Din Görevlisi vizesine başvuran kişiler de dahil olmak üzere, din görevlilerine yönelik vize işleme kayıtlarını göstermektedir.
Çeşitli onaylar, kişi başı 2.600 £, 4.500 £ ve 1.800 £ dahil olmak üzere göçmenlik masrafları için tahsis edilen kesin miktarları özetlemektedir. Birleştirilmiş bir özet, tek bir finansman döngüsünde birden fazla vize başvurusu için onaylanan 11.500 £’dan fazlasını gösterir. Bu belgeler tarihleri, dahili imzaları, personel adlarını ve departman referanslarını içerir ve dahili İK ve finans iş akışlarına erişim önerir.
Sızan malzemenin bir diğer büyük kısmı operasyonel harcamalar, posta kampanyaları ve etkinlik lojistiğiyle ilgili. Bir dosya seti, haftalık mektuplar, 4.000 alıcıya toplu posta gönderimi, takvim gönderimi ve 12.000 kişiye tatil kartı dağıtımı için 30.000 £’luk bütçe talebini ayrıntılarıyla anlatıyor.
Ek kayıtlar, uluslararası posta gönderimi ve posta ücreti için 6.351 £ tutarında yetki vermektedir. Etkinlik lojistiği belgeleri, büyük ölçekli etkinlikler için 6.000 £ değerinde AV ekipmanı satın alma ve kiralamanın yanı sıra Yeni Yıl etkinlikleri için TV ekranları, stantlar ve hoparlörler için 1.550 £ değerindeki satın alımları ve kiralamaları listeliyor. Bu onaylar kampanya planlama, satın alma ve iç mali kontrollere ilişkin görünürlük sağlar.
Güvenlik planlamasının açığa çıkan verilerde yoğun bir şekilde temsil edildiği görülüyor. İki ayrı e-tabloda 2024 ve 2025 güvenlik bütçeleri özetleniyor ve toplam tutarlar 100.000 £’a yaklaşıyor. Girişler arasında devriye ve bomba tespit köpeği hizmetleri, yönetici koruma ekipleri, ek araçlar, yerel güvenlik yüklenicileri, ambulanslar, telsizler, çitler, metal dedektörleri, çevre inşaatı ve kapı yönetimi yer alıyor.
Bireysel satır öğeleri, yönetici koruma ekipleri için 74.326 £, yerel çevre güvenliği için 29.217 £ ve köpek arama operasyonları, lojistik araçlar ve geçici gözetim kurulumları için daha binlercesi gibi tahsisleri gösteriyor. Her giriş, sorumlu görevlileri ve onay durumunu içerir; bu, bu verilerin rastgele dosyalardan ziyade yapılandırılmış iç bütçe sistemlerinden kaynaklandığını gösterir.
Birkaç ekran görüntüsü aynı zamanda mali faturaları ve banka ayrıntılarını da ortaya çıkarıyor. Bir Çek firmasından gelen bir fatura, alıcı hesabının IBAN ve SWIFT ayrıntılarıyla birlikte 75 saatlik kişisel gelişim ve iletişim danışmanlığı için 12.565 Euro faturalandırıldı. Diğer dahili satın alma siparişleri, kuruluş içinde kullanılan yönetici malzemeleri, dini materyaller ve belge işleme sistemleri için ayrılan fonları göstermektedir.
Kişisel ve üyeyle ilgili veriler de görülebilir. Bir “Saint Hill Hizmetleri Anketi” el yazısıyla yazılan tam adı, hizmet seçimlerini ve belirli dahili programlara katılma niyetini içerir. Ayrı bir el yazısı giriş formu, seyahat geçmişini, önceki kurs katılımını, yerel organizasyonu ve dahili vaka geçmişini listeler.
“Latinoles Clear Band Kasım 2025” başlıklı başka bir e-tablo, Arjantin, Brezilya, Şili ve Kolombiya’dan düzinelerce kişiyi listeleyerek tam adlarını, telefon numaralarını, işlem düzeylerini, bakiyelerini, seyahat geçmişini ve dahili durum notlarını gösteriyor. Eğer gerçekse bu, dini katılım ve dahili sınıflandırmayla bağlantılı hassas kişisel verileri açığa çıkarır.
Ayrıca iç yönetimle bağlantılı materyaller de bulunmaktadır. Bir etik raporu, üyeler arasındaki dahili ödeme düzenlemelerine atıfta bulunur ve imzalı bir doğrulama içerir. Bu tür belgeler normalde herkese açık değildir ve idari veya uyumlulukla ilgili depolamaya erişimi gösterir.
Birlikte ele alındığında, ekran görüntüleri oturum açma portallarını veya kimlik bilgilerini göstermiyor. Bunun yerine finans, İK, güvenlik ve üye yönetimi materyallerini içeren dahili belge havuzlarına yapılandırılmış erişim gösterirler. Orijinalse bu, tek bir uç nokta yerine dosya sunucusu, ortak sürücü veya belge yönetimi düzeyinde bir uzlaşma olduğunu gösterir.
Qilin Fidye Yazılımı Hakkında
Daha önce Agenda olarak da bilinen Qilin Ransomware, 2022’nin ortalarında ortaya çıktı ve hizmet olarak fidye yazılımı (RaaS) modeli altında çalışıyor. Yeraltı forum faaliyetleri ve kurban hedefleme kalıplarına dayanarak, grubun Rusça kökenli olduğu veya Rusça konuştuğuna inanılıyor.
Çoğu modern gasp grubu gibi, Qilin de dosya şifrelemeyi veri hırsızlığıyla birleştiren çifte şantaj modeli çalıştırıyor. Mağdurlara, sistemleri kurtarmak ve sızdırılan verilerin yayınlanmasını durdurmak için para ödemeleri yönünde baskı yapılıyor.
Qilin bağlı kuruluşları genellikle çalınan kimlik bilgileri, açığa çıkan uzak hizmetler veya kimlik avı yoluyla erişim elde ediyor. İçeri girdikten sonra yana doğru hareket ederler, büyük hacimli verileri çıkarırlar, kurtarma sistemlerini devre dışı bırakırlar ve ardından uygun ölçekte fidye yazılımı dağıtırlar. Ödemeyi reddeden kurbanlar, Qilin’in sızıntı portalında koz olarak yayınlanan örnek dosyalar ile birlikte listeleniyor.
Qilin son iki yılda sağlık, üretim, kamu hizmetleri ve altyapı sektörlerindeki saldırılarla ilişkilendirildi. Birleşik Krallık’ta grup, tıbbi teşhis hizmetlerini kesintiye uğratan bir saldırının ardından küresel ilgi topladı. Haziran 2025’te Birleşik Krallık yetkilileri, Qilin fidye yazılımının Haziran 2024’te NHS’ye yaptığı saldırıyla bağlantılı bir hastanın ölümünü doğruladı.
Uluslararası alanda da lojistik, profesyonel hizmetler ve büyük kurumsal ortamlarda mağduriyetler yaşandı. Tehdit izleme grupları, 2025 yılına kadar Qilin’i dünya çapındaki en aktif fidye yazılımı operasyonları arasında listeliyor.
Scientology İddiasının Durumu
Bu aşamada Scientology Kilisesi’ne yönelik iddia edilen ihlal henüz doğrulanmadı. Halka açık tek kanıt, Qilin’in sızıntı sitesinde yayınladığı ekran görüntülerinden oluşuyor. Bağımsız bir adli tıp onayı yayınlanmadı ve harici doğrulama için hiçbir veri arşivi kamuya açıklanmadı. Ekran görüntüleri bütçeleme, form şablonları, imzalar ve AOSH Birleşik Krallık’a bağlı departman adlandırma kuralları açısından dahili olarak tutarlı görünüyor.
Hackread.com yorum almak için Scientology Kilisesi ile temasa geçti. Doğrulanması halinde, ifşa kapsamı hassas finansal planlamayı, güvenlik operasyonlarını, personel göç kayıtlarını ve üyelerin kişisel bilgilerini içerecektir.
Onay alınana veya ek veriler yayınlanana kadar olay, yalnızca saldırganın sağladığı materyallerle desteklenen bir iddia olarak kalacaktır. Durum geliştikçe daha fazla güncelleme gelecektir.