Siber güvenlik dünyası, son yılların en çarpıcı iş birliklerinden birine tanıklık ediyor. Vect ransomware grubu, büyük ölçekli tedarik zinciri saldırılarıyla tanınan TeamPCP ile güçlerini birleştirdi. Sophos araştırmacıları bu ortaklığı 'endüstriyel ransomware'ın benzeri görülmemiş bir modeli' olarak nitelendiriyor. Bu iş birliği, siber suçluların artık tek başlarına değil, birer işletme gibi hareket ederek uzmanlıklarını birleştirdiklerini gösteriyor.
Ortaklık, TeamPCP'nin özellikle geliştiricileri hedef alan büyük ölçekli tedarik zinciri kimlik avı saldırıları ile Vect'in ransomware-as-a-service (RaaS) operasyonunu bir araya getiriyor. Sophos'un 2 Temmuz'da yayınladığı blog yazısına göre, bu birleşim ransomware tehdit ortamında 'anlamlı bir değişim' anlamına geliyor. Sonuç olarak, TeamPCP tarafından çalınan oturum açma bilgilerine sahip herhangi bir kuruluş, Vect tarafından düzenlenecek bir ransomware saldırısına karşı ek risk altında.
Her iki grup da geçmişte diğer siber suç örgütleriyle iş birliği yapmıştı. Vect, 2025'in sonunda ortaya çıktı ve 2026 başında BreachForums ile ortaklık kurdu. TeamPCP ise daha önce Lapsus$ gibi ünlü gasp çeteleriyle çalıştı. Ancak TeamPCP ve Vect arasındaki ortaklık, TeamPCP'nin ele geçirdiği hesap sayısının büyüklüğü nedeniyle özellikle tehlikeli. Örneğin, Mart 2026'da TeamPCP, Aqua Security'nin Trivy güvenlik açığı tarayıcısını hedef alarak 10.000 CI/CD iş akışını ve 500.000'den fazla oturum açma bilgisini (bulut tokenları dahil) çaldı.
Detaylar ve Etkileri
Sophos araştırmacıları, TeamPCP kaynaklı kimlik bilgileri kullanılarak en az bir doğrulanmış Vect ransomware dağıtımı olduğunu belirtti. Sophos X-Ops Tehdit İstihbarat Birimi direktörü Rafe Pilling, 'Tehdit grupları giderek daha fazla işletme gibi hareket ediyor, uzmanlık alanlarını birleştirerek yeni saldırı hatları oluşturuyor. Yapay zeka daha erişilebilir hale geldikçe, ransomware ortamının daha da hızlı endüstrileşmesini ve saldırı başlatma işinin büyük kısmını otomatikleştirerek giriş engelini düşürmesini bekliyoruz' dedi.
Bu araştırma, FBI'ın TeamPCP faaliyetleri hakkında bir FLASH uyarısı yayınladığı gün yayınlandı. FBI uyarısında, 'TeamPCP aktörleri, yaygın olarak kullanılan geliştirici ve güvenlik araçlarını hedef alarak büyük ölçekli yazılım tedarik zinciri ihlalleri gerçekleştirdi, kurban ortamlarına erişim sağladı ve bulut erişim tokenları, SSH anahtarları ve Kubernetes sırları dahil olmak üzere hassas verileri çıkardı' ifadeleri yer aldı. FBI ayrıca TeamPCP kampanyalarıyla ilişkili kötü amaçlı yazılımları da detaylandırdı: CanisterWorm, Sandclock, kendi kendine çoğalan solucan Mini Shai-Hulud ve onun bir varyantı olan Miasma.
Önemli Gelişmeler
TeamPCP'nin yazılım tedarik zincirlerini hedef alması ve Vect ransomware grubuyla ortaklığı göz önüne alındığında, Sophos kuruluşların bu birleşik tehdide karşı mümkün olduğunca iyi korunmalarının kritik olduğu konusunda uyarıyor. Pilling, 'Yazılım geliştirme ortamı, sessizce kurumsal alandaki en önemli ve en az yönetilen saldırı yüzeylerinden biri haline geldi. Kuruluşlar, maruziyetlerini hızla değerlendirebilecek ve tedarik zinciri saldırılarına yanıt verebilecek bir duruşa geçmelidir. Üçüncü taraf güncellemelerini ortamlarına dağıtmadan önce bütünlüklerini ve güvenliklerini dikkatlice doğrulamaları çok önemlidir' dedi.
Kaynak: infosecurity-magazine.com