Kendisine Kaosun Üçlüsü adını veren yeni kurulan bir fidye yazılımı topluluğu, TOR ağında Google Adsense, CISCO, Toyota, FedEx ve Disney/Hulu’nun da aralarında bulunduğu 39 önde gelen şirketin çalınan kayıtlarını açığa çıkaran bir veri sızıntısı sitesi (DLS) yayınladı.
İttifak, Lapsus$, Scattered Spider ve ShinyHunters gibi tehdit aktörlerinden oluşuyor ve geleneksel fidye yazılımı gasp taktiklerine doğru bir geçişin sinyalini veriyor ve birçok sektörde alarm veriyor.
Kaos Üçlüsü ilk olarak üç kötü şöhretli grubun itibarını ve teknik yeteneklerini birleştirerek ortaya çıktı.
Her ne kadar yeni bir izinsiz giriş iddia edilmese de, kolektif geçmiş ihlallerden daha önce mevcut olmayan veri örneklerini yayınlayarak, sızdırılan kayıtların kanıtlarını ortaya koydu.
Öne çıkan bir örnekte grup, Salesloft’un Drift AI sohbet entegrasyonuna bağlı çalıntı OAuth token’ları aracılığıyla örneklerinin istismar edildiği iddiasının ardından Salesforce’u tehdit etti.
Salesforce iddiaları küçümsedi ancak müşteri ortamlarından kaynaklanan olası riskleri kabul etti. Tehdit aktörleri, açıklamalardan kaçınmak, GDPR yükümlülüklerine başvurmak ve düzenleyicilerin uyarılması halinde “cezai ihmal suçlamaları” konusunda uyarıda bulunmak için şirketle müzakerelerde bulunmaya çalıştıklarını iddia etti.
DLS’nin yanında yayınlanan pazarlama materyalleri üçlünün becerisini övüyor: Otomotiv, finans, sigorta, teknoloji, telekomünikasyon ve ISP sektörlerindeki uzmanlığa atıfta bulunarak “Yüksek değerli kurumsal veri toplama ve stratejik ihlal operasyonlarında uzmanlaştıklarını” ilan ettiler.
Grup, uzun vadeli izinsiz giriş kampanyalarının karmaşıklığının altını çizerek 2019’a kadar uzanan operasyonlar yürütüyor.
Veri örnekleri paylaşılan geçmiş kurbanlar arasında, 2020’nin sonlarından başlayarak üç yıl boyunca sızan Vietnam Havayolları ve 160 milyondan fazla kaydın açığa çıktığı Vietnam Ulusal Kredi Bilgi Merkezi yer alıyor.
Bu dönemde “1973cn” takma adı altında faaliyet gösteren ve henüz kamuoyuna açıklanmayan grup, Noi Bai Havaalanı ve Tan Son Nhat Havaalanı’na düzenlenen saldırılardan da sorumlu olabilir.
İttifak ayrıca Temmuz 2025’te Aeroméxico ve Eylül ayında araç üretimi ve perakende faaliyetlerini kesintiye uğratan Jaguar Land Rover’daki ihlallerin sorumluluğunu da üstlendi. Resecurity’in tehdit istihbarat ekibi bu ihlalleri doğruladı ve tespit ve müdahale için teknik göstergeler sağladı.
Şirketler ve Müzakere Son Tarihleri
3 Ekim 2025, Fortune 100 şirketleri için kritik bir tarihti. DLS, daha fazla veri yayınlanmasını önlemek için 10 Ekim’e kadar fidye müzakerelerine girmesi gereken 39 kuruluşu listeliyor.
Etkilenen kuruluşlar arasında UPS, Home Depot, Marriott, McDonald’s, Adidas, Cartier, Chanel ve IKEA gibi küresel markalar yer alıyor. Özellikle otomotiv devi Stellantis, Eylül ayında Kuzey Amerika müşteri verilerini etkileyen bir ihlali doğruladı ve bunu üçüncü taraf sağlayıcıların uzlaşmasından kaynakladı.
Mağdurlar, özellikle gizlilik yasalarının sıkı olduğu bölgelerde potansiyel düzenleyici soruşturmalarla, yasal işlemlerle ve itibar kaybıyla karşı karşıya kalıyor.
Google’ın kurumsal Salesforce örneğinin Haziran başında ele geçirildiği ve bunun dünya çapındaki Google AdWords kullanıcılarını ve dijital medya ortaklarını etkilediği bildirildi, ancak Google başlangıçta etkilenen hizmeti belirtmedi.
Cisco’nun durumunda, sızdırılan Salesforce kayıtları, FBI, DHS ve NASA gibi kuruluşların yanı sıra uluslararası savunma kuruluşlarından kolluk kuvvetleri ve askeri personele ilişkin veriler de dahil olmak üzere dahili iletişimleri ve müşteri bilgilerini ortaya çıkardı.
Aktörler, daha önce Dark Web forumlarında ve Telegram kanallarında dolaşan resmi bir iletişim e-postası sunarak kurbanlara kimliklerini doğrulamak ve fidye şartlarını tartışmak için kurumsal e-posta adreslerini kullanmaları talimatını verdi.
Grup, DLS lansmanının yanı sıra Telegram varlığını “SLSH 6.0 Bölüm 3” kapsamında yeniden etkinleştirdi ve taleplerin karşılanmaması durumunda sızıntı sitesini 10 Ekim’den sonra 760 şirketten 1,5 milyardan fazla kaydı içerecek şekilde genişletme sözü verdi.
Gelecekteki Riskler ve Uzman Uyarıları
Siber güvenlik uzmanları, bu kayıtların yayınlanmasının büyük ölçekli sosyal mühendisliği, kimlik avı kampanyalarını ve kimlik hırsızlığını körükleyebileceği konusunda uyarıyor.
Yoğun bir şekilde kişisel olarak tanımlanabilir bilgilerle (PII) doldurulmuş ancak şifreleri eksik olan sızdırılmış veri setleri, hedefli istismarlar veya yapay zeka odaklı saldırılar gerçekleştirmek isteyen kötü niyetli aktörler için bir hazine sandığı sunuyor.
FBI’ın Salesforce ve Salesloft entegrasyonlarının kötüye kullanılmasına ilişkin flaş uyarısı, kuruluşların bulut ortamlarını denetlemelerinin ve güçlü izleme uygulamalarının aciliyetinin altını çiziyor.
Endüstri analistleri ayrıca, ABD hükümetinin kapanması sırasında DLS’nin piyasaya sürülmesinin talihsiz zamanlamasının federal kurumların siber suçlara yanıt verme yeteneğini potansiyel olarak engellediğine dikkat çekiyor.
Dayanıklılık sergileyen etkilenen kuruluşlar, serpintiyi kontrol altına almak, adli tıp ekipleriyle iletişime geçmek ve daha fazla DDoS veya gasp girişimine karşı savunmayı güçlendirmek için yarışıyor.
Kaos Üçlüsü ittifakı, kooperatif kurbanlarından fidye almama niyetinin sinyallerini verirken, önümüzdeki haftalar büyük şirketlerin hassas verileri korumak ve müşteri güvenini korumak konusunda ne kadar ileri gidebileceğini test edecek.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.