Giriş
Son dönemde yapılan bir siber saldırı, Scattered Spider grubunun lüks bir mücevher perakendecisine suçüstü yakalanmasıyla gündeme geldi. Bu olay, siber suçların nasıl organize bir şekilde gerçekleştirilebileceğini ve tespit edilmenin ne kadar zor olduğunu gözler önüne seriyor.
Saldırı Nasıl Çalışıyor?
Saldırı, 12-15 Mayıs 2025 tarihleri arasında gerçekleşti. Saldırganlar, mücevherci perakendecinin IT yardım masasıyla iletişime geçerek kendilerini sıkıntıdaki çalışanlar olarak tanıttılar. Bu süreçte, çalışanların parolalarını güncelleyerek multifaktör kimlik doğrulama için bağlı olan mobil cihazları kontrol altına aldılar.
- İki IT yöneticisine ait hesaplar dahil üç farklı hesabı ele geçirdiler.
- Ngrok ve Teleport adında iki tünelleme aracı kullanarak verileri Amazon bulut depolama alanına aktardılar.
- En az 77 gigabayt veri çaldılar.
Saldırganlar, şifreleme yazılımı dağıtmaya çalıştılar ancak mücevherci güvenlik ekibi buna engel oldu. Buna rağmen, “VERİLERİ ÇALDIK, HEMEN İLETİŞİME GEÇİN” başlıklı bir fidye e-postası göndererek 8 milyon dolarlık bir talepte bulundular. Şirket, herhangi bir ödeme yapmadı; ancak saldırı yaklaşık 2 milyon dolarlık bir kayba yol açtı.
Etkilenen Sistemler
Bu saldırı, yazılım hata veya açıklarından ziyade, bir süreç eksikliğinden kaynaklanmıştır. Dolayısıyla, savunma, bir yazılım güncellemesinden çok daha fazlasını gerektirir:
- Herhangi bir sıfırlama işlemi öncesinde kimliği doğrulamak için mevcut numaralardan geri arama yapılmalı.
- Yönetici onayı veya ayrıcalıklı hesaplar için video doğrulamaları isteği gerekli kılınmalıdır.
- Phishing’e dayanıklı MFA (çok faktörlü kimlik doğrulama) kullanımı önemlidir; örneğin, FIDO2 anahtarları bu tür saldırılara karşı daha dirençlidir.
Stokes’a Giden İz
Soruşturma, saldırının arkasındaki kişi olan Peter Stokes’a ulaşmış durumda. Saldırıda kullanılan cihaz, Microsoft’un Global Device Identifier’ı (ID: g:6755467234350028) ile tanımlanmıştır; bu, Windows kurulumuna bağlı kalıcı bir tanımlayıcıdır. Bu ID, belirli zamanlarda çeşitli IP adreslerinden Stokes’a ait çevrimiçi hesaplara erişim sağlamıştır.
Bir Tutuklama, Ama Tehdidi Durdurmaz
Yapılan bu tutuklama, sadece bir kişinin yakalanmasıyla sınırlıdır. Grup-IB’ye göre Scattered Spider, tek bir organizasyon değil, daha çok bağımsız hücrelerden oluşan bir kolektif olarak tanımlanmaktadır. Bu nedenle, bir hücrenin çökertilmesi, tüm grubun faaliyetlerini sona erdirmeyecektir.
- Scattered Spider’ın 100’den fazla siber saldırıya karıştığı ve 100 milyon dolardan fazla fidye talep ettiği iddia edilmektedir.
- Son yıllarda her tutuklama, grubun aynı eylem planları ile devam ettiğini göstermektedir.
Sonuç
Mücevherperakendecisi için bu olay, siber güvenlik önlemlerini gözden geçirme ihtiyacının aciliyetini vurgulamaktadır. Şirketler, kendi sistemlerini korumak adına şunları yapmalıdır:
- Tüm yazılımları ve sistemleri günce tutmak.
- Riski azaltmak için ağ erişimini sınırlamak ve port kapatmak.
- Çalışanları sosyal mühendislik saldırılarına karşı eğitmek.
Bu tür bir saldırının tekrarlanmaması için önleyici tedbirler almak kritik önem taşımaktadır.


