Siber Muhbir

2025'e girerken, güvenlik ekipleri güvenlik açıklarını ortaya çıkarmak, sürekli izleme için SSPM araçlarını benimsemek ve sistemlerini proaktif olarak savunmak için SaaS güvenlik riski değerlendirmelerine öncelik vermelidir.

İşte dikkat etmeniz gereken Siber Tehdit All-Star'ları: Oyunu şekillendiren MVP'ler, yükselen yıldızlar ve usta stratejistler.

1. ShinyHunters: En Değerli Oyuncu

• Oyun tarzı: Hassas Atışlar (Siber Suç Örgütü)
• En Büyük Kazançlar: Kar Tanesi, Ticketmaster ve Authy
• Önemli Drama: 165+ kuruluşu ihlal etmek için bir yanlış yapılandırmadan yararlanıldı.

ShinyHunters, 2024'e amansız bir SaaS ihlali çılgınlığıyla girdi ve Authy ve Ticketmaster gibi platformlarda hassas verileri açığa çıkardı. Kampanyaları, bir satıcı güvenlik açığından yararlanmakla ilgili değildi, ancak Snowflake müşterileri tarafından gözden kaçırılan bir yanlış yapılandırmadan yararlanmakla ilgiliydi. Sonuç olarak, ShinyHunters, MFA'yı zorlamadan ve SaaS ortamlarını düzgün bir şekilde güvence altına almadan bu kar tanesi kullanıcılarına sızabilir, sızdırabilir ve şantaj yapabilir.

Oyunun Arkasında: ShinyHunters, karanlık ağın tüm yıldızları gibi çalıştı ve SaaS yanlış yapılandırmalarından zahmetsizce yararlandı. Çalınan veri dökümleri sessiz işler değildi - ihale savaşları ve özel sızıntılar içeren cüretkar tiyatro sürümleriydi. Tek başına Snowflake ihlali, kimlik bilgilerinin kritik sistemlerde yaygın güvenlik açıklarına dönüşmesiyle yaygın bir paniği tetikledi.

SaaS Güvenlik Dersleri: Snowflake kampanyası, satıcı hatalarını değil, kritik istemci tarafı güvenlik gözetimlerini ortaya çıkardı. Kuruluşlar MFA'yı zorunlu kılamadı, kimlik bilgilerini düzenli olarak döndüremedi ve izin verilenler listelerini uygulayamadı ve sistemleri yetkisiz erişime karşı savunmasız bıraktı.

2. ALPHV (Kara Kedi): Aldatma Ustası

• Oyun tarzı: Stratejik Manevra (Hizmet Olarak Fidye Yazılımı, RaaS)
• En Büyük Kazançlar: Change Healthcare, Prudential (Sağlık ve Finans)
• Önemli Drama: RansomHub ile 22 milyon dolarlık çıkış dolandırıcılığı skandalı.

ALPHV, diğer adıyla BlackCat, 2024'te yılın en cesur hamlelerinden birini oynadı. Grup, güvenliği ihlal edilmiş kimlik bilgileri yoluyla Change Healthcare'den 22 milyon dolar gasp ettikten sonra, çok cesur bir hareketle, hem yetkilileri hem de bağlı kuruluşları yanıltmak için sızıntı sitelerinde sahte bir FBI yayından kaldırma numarası yaptı. Ancak asıl drama, bir bağlı kuruluş olan RansomHub'ın ALPHV'yi fidyeyi almak ve onları eli boş bırakmakla alenen suçlaması, hatta bir Bitcoin işlemini kanıt olarak paylaşmasıyla başladı. İhanete rağmen, bağlı kuruluş çalınan verileri yayınladı ve Change Healthcare'i fidye ödenmiş ve veriler kaybolmuş olarak bıraktı.

Oyunun Arkası: ALPHV ve RansomHub arasındaki serpinti, karanlık web forumlarında çelişkili hikayeler ve hararetli suçlamalarla bir siber suç pembe dizisi gibi oynandı. Kaosa rağmen, ALPHV'nin Prudential ve diğerlerine yönelik saldırıları, yılın en zorlu fidye yazılımı oyuncularından biri olarak ünlerini sağlamlaştırdı.

SaaS Güvenlik Dersleri: Önleme için, darknet izleme ile kimlik bilgisi sızıntılarını izleyin ve kimlik doğrulamasını kolaylaştırmak ve kimlik bilgisi risklerini azaltmak için Tek Oturum Açma'yı (SSO) zorunlu kılın. Algılama ve yanıt için kimlik doğrulama etkinliklerini izleyin, güvenliği ihlal edilmiş kimlik bilgilerini erkenden tespit edin ve deneme yanılma saldırılarını önlemek için hesap askıya alma ilkeleri uygulayın.

3. RansomHub: Yılın Çaylağı

• Oyun tarzı: Fırsatçı Suç (Hizmet Olarak Fidye Yazılımı, RaaS)
• En Büyük Kazanç: Frontier Communications (Telekom ve Altyapı)
• Önemli Drama: ALPHV'nin 22 milyon dolarlık dolandırıcılığının serpintisine yakalandı.

RansomHub, 2024'ün başlarında en aktif fidye yazılımı aktörlerinden biri olarak Knight Ransomware'in küllerinden doğdu. Fırsatçı taktikleriyle tanınan grup, ALPHV (BlackCat) ile olan ilişkileriyle manşetlere çıktı. Change Healthcare ihlalindeki rolleri 100 milyondan fazla ABD vatandaşını etkiledi ve yanlış yapılandırmalar, zayıf kimlik doğrulama ve üçüncü taraf entegrasyonları dahil olmak üzere SaaS güvenlik açıklarından yararlanma yeteneklerini vurgulayarak erişimlerini ve etkilerini en üst düzeye çıkardı.

Oyunun Arkasında: ALPHV tarafından yedek kulübesine alındıktan ve Change Healthcare ihlalinden elde edilen 22 milyon dolarlık fidyenin payını kaybettikten sonra, RansomHub çalınan verileri elinde tutmaya devam etti ve bu onları oyunda tutan güçlü bir oyundu. İhanete rağmen, bu çaylak tehdit aktörü, Frontier Communications da dahil olmak üzere yıl boyunca yüksek profilli ihlaller elde ederek yenilenmiş bir kararlılıkla sahaya çıktı. Zorlu bir ilk sezonun ardından bile fidye yazılımı liginde kalma konusunda kararlılar.

SaaS Güvenlik Dersleri: Daha inandırıcı saldırılar oluşturmak için çalınan kişisel bilgilerden yararlanan kimlik avı girişimlerine karşı tetikte olun. Hesap ele geçirme belirtilerini ve kullanıcı etkinliklerindeki anormallikleri izlemek için kimlik tehdidi algılama araçlarını uygulayın ve olası ihlallerin zamanında tanımlanmasını ve bunlara yanıt verilmesini sağlayın.

4. LockBit: Yılın Clutch Oyuncusu

• Oyun tarzı: Acımasız Saldırı (Hizmet Olarak Fidye Yazılımı, RaaS)
• En Büyük Kazançlar: Evolve Bank & Trust'tan (Fintech) tedarik zinciri etkisi
• Önemli Drama: FBI'ın Cronos Operasyonu onları tamamen kapatamadı.

LockBit, fidye yazılımı mahkemesine hakim oluyor ve FBI ve NCA'nın altyapılarını sökmek için devam eden çabalarına rağmen, Steph Curry gibi durmaksızın ihlal üstüne ihlal puanı alıyor - hatta çok şey olduğunda sürekli olarak iyi performans gösteriyor. Evolve Bank & Trust gibi Fintech şirketlerine karşı yüksek profilli oyunlar, tedarik zincirinin Affirm ve Wise gibi daha fazla şirketi etkilemesiyle, LockBit'in SaaS saldırı ligindeki en tutarlı hücum oyuncusu statüsünü sağlamlaştırdı.

Oyunun Arkası: 'Cronos' Operasyonu sunucularını kesintiye uğratmış ve kritik altyapıyı ele geçirmiş olsa da, grup kararlılıkla geri döndü ve sızıntı sitelerinde yetkililerle "Beni durduramazsınız" gibi cesur iddialarla alay etti. Aralık 2024'te, LockBit geliştiricisi olduğu iddia edilen bir kişinin daha önce tutuklanmasıyla ilgili güncellemeler gördük ve bu da 'Cronos' Operasyonunun devam eden doğasını vurgulayarak bu küresel acının bitmekten çok uzak olduğunun sinyalini verdi.

SaaS Güvenlik Dersleri: Açıklardan yararlanma yollarını erkenden tespit etmek için üçüncü taraf satıcı risk değerlendirmelerine öncelik verin ve SaaS uygulama bağlantısının görünürlüğünü koruyun. Şüpheli davranışları gerçek zamanlı olarak tespit etmek için tehdit algılama, UEBA (Kullanıcı ve Varlık Davranışı Analizi) ve anormallik algılama özelliklerine sahip etkinlik izleme araçlarını kullanın.

5. Midnight Blizzard (APT29): Sessiz Operatör

• Oyun tarzı: Savunma Sızması (Gelişmiş Kalıcı Tehdit, APT)
• En Büyük Kazanç: TeamViewer (Uzaktan Erişim Aracı)
• Önemli Drama: Sessiz casusluk için bir geçit olarak bir ihlal.

Devlet destekli casusluk söz konusu olduğunda, Midnight Blizzard (diğer adıyla APT29), Kawhi Leonard'ın kusursuz bir savunma oyunu yürütmesi, verileri sessizce ele geçirmesi ve dikkat çekmeden stratejik hamleler yapması gibi oynuyor. Rus devlet kaynakları tarafından desteklenen bu grup, kritik sistemleri hackleme konusunda uzmanlaşmıştır ve TeamViewer 2024'te öne çıkmaktadır. Bu grup gösterişli değil - fidye notları bırakmıyorlar veya karanlık web forumlarında övünmüyorlar. Bunun yerine, hassas verileri sessizce sızdırırlar ve dijital ayak izlerini o kadar soluk bırakırlar ki, izlenmesi neredeyse imkansızdır. Fidye yazılımı gruplarının aksine, Midnight Blizzard gibi devlet destekli aktörler siber casusluğa odaklanıyor ve herhangi bir alarmı tetiklemeden istihbarat toplamak için gizlice çalışıyor.

Oyunun Arkasında: Midnight Blizzard hızlı kazançlar için oynamıyor - sızıyorlar, bekliyorlar ve izliyorlar. Devlet düzeyindeki taktikleri kullanarak, yıllarca olmasa da aylarca ağlarda gizli kalırlar ve herhangi bir alarm vermeden değerli istihbarat elde ederler. Şirket nihayetinde TeamViewer ihlalini kontrol altına almış olsa da, hedefin doğası Midnight Blizzard'ın niyetini ortaya koyuyor - kapsamlı kullanıma sahip yüksek değerli kuruluşlara odaklanmak ve bu dayanakları aşağı akış hedeflerine yönelik daha geniş saldırılar için fırlatma rampaları olarak kullanmayı amaçlıyor.

SaaS Güvenlik Dersleri: Genellikle ulus devlet aktörleri tarafından hedef alınan kritik SaaS uygulamalarındaki ihlallere karşı tetikte olun. Riskleri azaltmak ve çok faktörlü kimlik doğrulama (MFA) gibi güvenli erişim denetimlerini sağlamak için düzenli yapılandırma denetimleri gerçekleştirin. Proaktif denetim, ihlal etkisini en aza indirmeye yardımcı olur ve açıklardan yararlanma yollarını sınırlar.

Altıncı Adam: İzlenecek Kişi ve Yedek Yetenek#

• Hellcat (İzlenecek Olanlar): 2024'ün sonlarında ortaya çıkan ve Schneider Electric'e onaylanmış bir isabet kaydeden bir fidye yazılımı grubu. Hızlı ortaya çıkışları ve ilk başarıları, 2025'te daha agresif bir oyun kitabı için potansiyele işaret ediyor.
• Dağınık Örümcek (Benched Talent): Bir zamanlar siber suçlarda önemli bir oyuncu olan bu hibrit sosyal mühendislik grubu, şimdi tutuklamalar ve yasal baskıların ardından yedek kulübesinde oturuyor. Aktiviteleri yavaşlarken, uzmanlar onları saymak için henüz çok erken olduğu konusunda uyarıyor.

Her iki grup da göz önünde bulundurulmaya değer - biri ivmesi, diğeri itibarı ve potansiyel geri dönüş hikayesi için.

2025 için Önemli Çıkarımlar:

1. Yanlış yapılandırmalar ana hedef olmaya devam ediyor: Tehdit aktörleri, gözden kaçan SaaS yanlış yapılandırmalarından yararlanmaya devam ederek kritik sistemlere ve hassas verilere erişim elde ediyor. Düzenli denetimler, zorunlu MFA ve kimlik bilgisi rotasyonu temel savunmalardır.
2. Saldırı Altındaki Kimlik Altyapısı: Saldırganlar, savunmaları atlamak için çalınan kimlik bilgilerinden, API manipülasyonlarından ve gizli sızıntıdan yararlanır. Sızan kimlik bilgilerini izleme, güçlü MFA zorlamasına sahip olma, anormallik algılama ve kimlik izleme, ihlalleri önlemek için kritik öneme sahiptir.
3. Giriş Noktaları Olarak Gölge BT ve Tedarik Zinciri: Yetkisiz SaaS uygulamaları ve uygulamadan uygulamaya entegrasyonlar gizli güvenlik açıkları oluşturur. Riske maruz kalmayı azaltmak için sürekli izleme, proaktif gözetim ve otomatik iyileştirme çok önemlidir.

Çok katmanlı bir SaaS güvenlik çözümünün temeli, otomatik sürekli risk değerlendirmeleri ve sürekli izleme araçlarının güvenlik yönetiminize entegrasyonu ile başlar.

Bu onların son dansı değil. Güvenlik ekipleri bilgili, tetikte olmalı ve dünyanın en üretken tehdit aktörlerine karşı bir yıl daha savunma için hazırlanmalıdır.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.