Siber Suçlardaki Yeni Dönem: Vect Ransomware ve TeamPCP İş Birliğiyle Endüstrileşmiş Saldırılar Windows

Siber Suçlardaki Yeni Dönem: Vect Ransomware ve TeamPCP İş Birliğiyle Endüstrileşmiş Saldırılar

Vect ransomware ve TeamPCP iş birliğiyle siber suçlar endüstrileşiyor. Tedarik zinciri saldırıları ve kimlik avıyla milyonlarca kullanıcı hedefte.

Siber güvenlik dünyası, son yılların en dikkat çekici iş birliklerinden birine tanıklık ediyor. Fidye yazılımı grubu Vect ile tedarik zinciri saldırıları yoluyla kimlik bilgileri çalma konusunda uzmanlaşmış TeamPCP siber suç örgütü, güçlerini birleştirdi. Sophos araştırmacılarına göre bu ortaklık, "endüstrileşmiş fidye yazılımının eşi benzeri görülmemiş bir modeli" olarak tanımlanıyor. Bu iş birliği, siber suç dünyasında yeni bir dönemin başlangıcı olabilir. Özellikle geliştiricileri hedef alan büyük ölçekli tedarik zinciri saldırıları, artık fidye yazılımı saldırılarıyla birleşerek çok daha tehlikeli bir tehdit oluşturuyor.

Sophos, 2 Temmuz'da yayımladığı blog yazısında, TeamPCP'nin büyük ölçekli tedarik zinciri kimlik bilgisi hırsızlığı ile Vect'in hizmet olarak fidye yazılımı (RaaS) operasyonunun birleşmesinin, fidye yazılımı tehdit ortamında "anlamlı bir değişim" olduğunu belirtti. Bu ortaklık sayesinde, TeamPCP tarafından kimlik bilgileri çalınan herhangi bir kuruluş, Vect tarafından gerçekleştirilecek bir fidye yazılımı saldırısına karşı ek risk altında. Bu durum, siber suçluların artık işletmeler gibi iş birliği yaparak uzmanlık alanlarını birleştirdiğini ve yeni saldırı hatları oluşturduğunu gösteriyor.

Her iki grubun da geçmişte başka siber suç örgütleriyle iş birliği yaptığı biliniyor. Vect, 2025'in sonunda ortaya çıkmış ve 2026'nın başlarında popüler siber suç forumu BreachForums ile anlaşma yapmıştı. TeamPCP ise daha önce kötü şöhretli Lapsus$ gibi gasp çeteleriyle çalışmıştı. Ancak TeamPCP ile Vect arasındaki ortaklık, özellikle TeamPCP'nin tehlikeye attığı çok sayıda hesap nedeniyle oldukça güçlü. Örneğin, Mart 2026'da TeamPCP, Aqua Security'nin Trivy güvenlik açığı tarayıcısını hedef alarak 10.000 CI/CD iş akışını tehlikeye attı ve 500.000'den fazla kimlik bilgisi (bulut tokenları dahil) çaldı.

Sophos araştırmacıları, TeamPCP kaynaklı kimlik bilgileri kullanılarak en az bir doğrulanmış Vect fidye yazılımı dağıtımı tespit ettiklerini belirtti. Sophos X-Ops Karşı Tehdit Birimi (CTU) tehdit istihbaratı direktörü Rafe Pilling, "Tehdit grupları giderek işletmeler gibi hareket ediyor, ilgili uzmanlık yeteneklerini birleştirerek yeni saldırı hatları oluşturuyor. Yapay zeka daha erişilebilir hale geldikçe, fidye yazılımı ortamının daha da hızlı endüstrileşeceğini ve saldırı başlatma işinin büyük kısmını otomatikleştirerek giriş engelini düşüreceğini tahmin ediyoruz" dedi. Bu, siber suçların artık küçük grupların işi olmaktan çıkıp organize bir endüstri haline geldiğinin açık bir göstergesi.

Bu araştırmanın yayımlandığı gün, FBI da TeamPCP'nin faaliyetleriyle ilgili bir FLASH uyarısı yayımladı. FBI uyarısında, "TeamPCP aktörleri, yaygın olarak kullanılan geliştirici ve güvenlik araçlarını hedef alarak büyük ölçekli yazılım tedarik zinciri ihlalleri gerçekleştirdi. Bu saldırılarda, kurban ortamlarına erişerek bulut erişim tokenları, SSH anahtarları ve Kubernetes sırları dahil hassas verileri çaldılar" ifadelerine yer verildi. FBI ayrıca TeamPCP kampanyalarıyla ilişkili kötü amaçlı yazılımları da detaylandırdı: CanisterWorm, Sandclock, açık kaynak depolarını hedef alan kendi kendini kopyalayan solucan Mini Shai-Hulud ve Mini Shai-Hulud'un bir varyantı olan Miasma.

Sonuç ve Değerlendirme

TeamPCP'nin yazılım tedarik zincirlerini tehlikeye atma odaklı çalışmaları ve Vect fidye yazılımı grubuyla ortaklığı göz önüne alındığında, Sophos kuruluşların bu birleşik tehdide karşı mümkün olduğunca iyi korunmasının kritik önem taşıdığını vurguluyor. Pilling, "Yazılım geliştirme ortamı, sessiz sedasız kurumsal dünyanın en önemli ve en az yönetilen saldırı yüzeylerinden biri haline geldi. Kuruluşlar, maruziyeti hızlıca değerlendirebilecekleri ve tedarik zinciri saldırılarına yanıt verebilecekleri bir duruşa geçmelidir. Üçüncü taraf güncellemelerini ortamlarına dağıtmadan önce bütünlüklerini ve güvenliklerini dikkatlice doğrulamak çok önemli" dedi.

Bu yeni tehdit karşısında alınabilecek önlemler arasında, çok faktörlü kimlik doğrulama (MFA) kullanımı, düzenli güvenlik taramaları, çalınan kimlik bilgilerinin izlenmesi ve tedarik zinciri güvenliğine yönelik sıkı politikalar yer alıyor. Ayrıca, geliştirici araçlarına ve CI/CD hatlarına erişim kontrolü, güvenlik açığı taramaları ve olay müdahale planlarının güncellenmesi de önemli. Siber suçluların yapay zeka destekli otomasyonla saldırılarını hızlandırdığı bir dönemde, kuruluşların proaktif bir savunma stratejisi benimsemeleri hayati önem taşıyor.

Kaynak: infosecurity-magazine.com

Paylaş: