ShinyHunters siber suç grubu, iddia edilen fidye müzakerelerinin başarısız olmasının ardından ticari emlak devi Cushman & Wakefield’dan çalınan devasa bir Salesforce bağlantılı veri seti olduğunu iddia ettiği bir şeyi yayımladı.
Grubun karanlık web sızıntı sitesinde yayımlanan gönderilere, saldırganlar kişisel tanımlanabilir bilgiler ve şirketle bağlantılı iç kurumsal veriler içeren 500.000’den fazla Salesforce kaydını ele geçirdiklerini iddia ediyor. ShinyHunters, sızdırılan arşivin yaklaşık 50GB boyutunda olduğunu söylüyor.
Grup, bu ayın başlarında Cushman & Wakefield’ı mağdur olarak listeledi ve verilerin kamuya açıklanmasından önce şirketin müzakere yapmasını talep eden bir son tarih yayınladı. Son tarih geçtikten sonra, ShinyHunters sızıntı sayfasını iddia edilen veri seti için indirme bağlantılarıyla güncelledi.
Cushman & Wakefield daha önce, bir vishing saldırısı nedeniyle “sınırlı” bir güvenlik olayı olarak tanımladığını doğrulamıştı, ancak şirket, hackerların Salesforce veri hırsızlığı veya iddia edilen ihlalın büyüklüğüyle ilgili iddialarını doğrulamadı. Firma, olay müdahale prosedürlerini etkinleştirdiğini ve soruşturma için dış siber güvenlik uzmanlarını çağırdığını belirtti.
Araştırmacılar, sızdırılan dosyaları hâlâ analiz ederek tam olarak hangi bilgilerin ortaya çıkmış olabileceğini belirlemeye çalışıyor. İlk raporlar, arşivin müşteri kayıtlarını, iç iş bilgilerini ve Salesforce sistemleriyle bağlantılı potansiyel olarak hassas kurumsal iletişimleri içerebileceğini öne sürüyor.
Olay, ShinyHunters’ın bulut ve SaaS platformlarını sosyal mühendislik saldırılarıyla hedef alan daha geniş kampanyasıyla bağlantılı görünüyor. Güvenlik araştırmacıları ve Google tehdit analistleri, grubun çalışanları kimlik bilgilerini ve çok faktörlü kimlik doğrulama kodlarını vermeye kandırmak için giderek daha fazla sesli oltalama operasyonlarına güvendiğini uyarmıştı.
Son zamanlarda gerçekleşen birkaç olayda, saldırganların BT personeli gibi davrandığı ve çalışanları kurumsal kimlik bilgilerini ele geçirmek için tasarlanmış sahte giriş portallarına yönlendirdiği bildirildi. İçeri girdikten sonra, tehdit aktörleri Salesforce, Okta, Microsoft 365 ve Google Workspace gibi bulut tabanlı platformlara yoğun şekilde odaklandı.
Cushman & Wakefield sızıntısı, Salesforce ortamlarını içeren ShinyHunters bağlantılı şantaj olaylarının giderek artan bir dizisi parçası. Saldırganlar bulut bağlantılı sistemlerden büyük miktarda müşteri ve iç iş verisini çaldıklarını iddia ettikleri için grubun sızıntı sitesinde son zamanlarda birden fazla şirket ortaya çıktı.
Durumu daha da karmaşıklaştıran ise, Qilin adında başka bir fidye yazılımı grubu da ShinyHunters iddiası ortaya çıktıktan birkaç gün sonra Cushman & Wakefield’ı kendi sızıntı sitesinde listeledi. Ancak Qilin, destekleyici kanıt veya ek detaylar yayımlamadı ve araştırmacular şu anda iki grup arasında kesin bir bağlantı olmadığını söylüyor.
Siber güvenlik uzmanları, sızdırılan Salesforce veri setlerinin genellikle ayrıntılı müşteri kayıtları, iletişim bilgileri, satış hatları, sözleşmeler ve iç iletişimler içerdiği için önemli riskler yaratabileceği konusunda uyarıda bulunuyor. Finansal bilgiler olmasa bile, saldırganlar açığa çıkan iş verilerini oltalama kampanyaları, dolandırıcılık, taklit saldırıları ve takip eden sosyal mühendislik operasyonları için kullanabilirler.
Bu olay ayrıca SaaS güvenliği ve bulut tabanlı kimlik sistemleri ile ilgili artan endişeleri de gözler önüne seriyor. Geleneksel yerel altyapıyı ihlal etmek yerine, modern siber suçlu grupları giderek daha fazla çalışan kimlik bilgilerini ve hassas kurumsal verilere erişimi merkezileştiren bulut platformlarını hedef alıyor.
Şu aşamada, iddia edilen Cushman & Wakefield sızıntısının tam kapsamı belirsiz ve yayımlanan veri setinin bağımsız doğrulaması hâlâ devam ediyor.