MSP’LER TEHLİKE ALTINDA!

Siber güvenlik uzmanları, fidye yazılımı grupları Akira ve Lynx’in saldırılarını yönetilen servis sağlayıcılarına (MSP) doğru yoğunlaştırdığı konusunda uyarıyor. Acronis Threat Research Unit ve sektörel raporlar; Ransomware-as-a-Service (RaaS) modeli ve çift fidye (şifreleme + veri sızıntısı) taktiklerinin bu iki grupta belirginleştiğini aktarıyor. Akira’nın yüzlerce mağdur duyurduğu, Lynx’in ise 2024 ortasından beri hızla yükseldiği kaydediliyor.

Neden MSP’ler?

MSP’ler, çoklu müşteri ortamlarına erişim sağladıkları için saldırganlar açısından çarpan etkisi yaratır. Tek bir MSP’nin ele geçirilmesi; yama, izleme veya uzak erişim araçları üzerinden birden fazla kuruma sıçrama imkânı verebilir. Bu nedenle hem itibar, hem de tedarik zinciri riski büyür. Acronis, bu tabloyu MSP’ler için “en sıcak tehdit alanı” olarak nitelendiriyor. Acronis

Akira: Kimlik Bilgileri ve VPN’den, Güvenlik Araçlarını Devre Dışı Bırakmaya

Akira; geçmişte VPN zafiyetlerinden yararlanmasıyla öne çıktı. Son dönemde ise çalıntı kimlik bilgileri ve yönetici hesapları üzerinden içeri sızıp, EDR/AV süreçlerini devre dışı bıraktıktan sonra şifreleme + sızıntı akışını işletiyor. Bazı olaylarda MSP’lerin de listelendiği, hatta Hitachi Vantara gibi büyük kurumların 2025’te fidye vakası duyurduğu biliniyor. IT ProHitachi Vantara LLC

Lynx: INC’in Yeniden Markalanmış Hâli, Oltalama ile İlk Temas

Araştırmalara göre Lynx, 2024’te görülen INC fidye yazılımının rebrand edilmiş bir sürümü olarak değerlendiriliyor. Taktiğinde oltalama e-postaları üzerinden zararlı yük bırakma, sistem bilgisini toplama, kimlik bilgisi hırsızlığı ve güvenlik yazılımlarını kaldırma gibi adımlar var. Küresel istihbarat notlarında çift fidye yöntemi ve veri sızıntı siteleri ile birlikte hareket ettiği aktarılıyor. Unit 42Fortinet

Taktikler, Teknikler, Prosedürler (Yüksek Düzey)

  • İlk erişim: Oltalama / kimlik bilgisi çalma / VPN cihaz zafiyetleri
  • Yanal hareket: Uzak yönetim araçları ve meşru araç kötüye kullanımı
  • Savunma kaçınma: EDR/AV durdurma, log temizleme
  • Etki: Kritik sistemlerin şifrelenmesi + veri sızıntısı ile şantaj
    Bu akış, MSP’ler için müşteri ortamlarına yayılma riskini artırır. IT Pro

MSP’ler İçin Savunma Kontrol Listesi

  • MFA her yerde: Özellikle VPN, uzaktan yönetim ve panel erişimlerinde zorunlu MFA.
  • Zafiyet ve yama yönetimi: VPN/edge cihazları ve uzak yönetim yazılımları için SLA’lı yama; risk temelli önceliklendirme.
  • Ayrıcalıkların sınırlandırılması: Least-privilege, ayrı break-glass hesaplar, parolasız/anahtarlı kimlik.
  • EDR/XDR korelasyonu: Kimlik, uç nokta ve ağ telemetrisini birleştirip anomalik davranış yakalama.
  • Yedekleme & kurtarma: 3-2-1 stratejisi, offline/immutable kopyalar ve düzenli geri-yükleme testleri.
  • Tedarikçi zinciri hijyeni: Üçüncü parti eklenti ve uzaktan erişim araçları için kabul listesi, imza/doğrulama kontrolleri.
  • İnsider & oltalama eğitimi: Yüksek riskli ekipler (NOC/Helpdesk) için sürekli simülasyon.

Watch list: Sektörel Görünüm

Sektör kaynakları, Akira ve Lynx’in KOBİ’ler ve MSP’ler üzerinde yoğunlaştığını; çift fidye taktiğinin standart hâle geldiğini; bazı durumlarda yüzlerce kurbanın listelendiğini raporluyor. MSP’lerin uzaktan erişim altyapısı (RMM, PSA, VPN) bu bağlamda kritik korunması gereken katmanlar. IT ProAcronis

Not: Bu içerik bilgilendirme amaçlıdır; saldırı gerçekleştirmeye yönelik teknik talimat içermez.

Related Posts

İran Bağlantılı Tehdit Aktörlerinden Yeni Operasyon: Cavern Zararlı Yazılımı İsrail’i Hedef Alıyor

İran İstihbaratına bağlı çalışan bir hack grubu (MuddyWater/Cavern Manticore), İsrail’deki devlet kurumlarını ve teknoloji firmalarını hedef almak için “Cavern” adında yepyeni ve çok gelişmiş bir siber silah kullanmaya başladı. Saldırı…

15 Yıldır Fark Edilmeyen Linux Açığı Ortaya Çıktı: GhostLock Root Yetkisi Kazandırabiliyor

Siber güvenlik araştırmacıları, yaklaşık 15 yıldır Linux çekirdeğinde bulunan kritik bir güvenlik açığını ortaya çıkardı. CVE-2026-43499 olarak takip edilen ve GhostLock adı verilen açık, yerel erişime sahip saldırganların sistemde root…

One thought on “MSP’LER TEHLİKE ALTINDA!

  1. Akira ve Lynx gibi fidye yazılımı gruplarının MSP’leri hedef alması gerçekten tedarik zinciri için ciddi bir tehdit. Yazıda belirtildiği gibi Akira, VPN açıkları ve çalıntı kimliklerle sızıp EDR/AV sistemlerini devre dışı bırakıyor; Lynx ise oltalama ve veri sızıntı siteleriyle benzer taktikler kullanıyor. MSP’lerin çoklu müşteriye erişimi olduğu için çarpan etkisi büyüyor. Bu nedenle makalede sıralanan MFA zorunluluğu, yamaların hızlı uygulanması, ayrıcalıkların sınırlandırılması, EDR/XDR korelasyonu, sağlam yedekleme ve kullanıcı farkındalığı gibi savunma kontrolleri hayati önem taşıyor. Faydalı bilgiler için teşekkürler!

  2. Akira ve Lynx gibi çift fidye modeli kullanan fidye yazılımı gruplarının MSP’lere yönelmesi, tek bir servis sağlayıcının ele geçirilmesiyle birden fazla kuruma sıçrama imkânı vermesi nedeniyle kritik bir tedarik zinciri riski yaratıyor. Makalede, Akira’nın çalıntı kimlik bilgileri ve VPN zafiyetlerinden yararlanarak EDR/AV sistemlerini devre dışı bırakması; Lynx’in INC adıyla yeniden markalanan bir grup olarak oltalama e-postaları ve kimlik hırsızlığı ile başlayan kampanyalar yürüttüğü belirtiliyor. Bu tehditlere karşı MSP’ler için MFA’nın her yerde uygulanması, VPN ve uzak yönetim cihazlarının hızla yamalanması, en az yetki ilkesiyle sınırlı kimlik kullanımı, EDR/XDR korelasyonu, 3-2-1 yedekleme stratejisi ve tedarik zinciri hijyeni gibi kontrollerin önemi vurgulanıyor. Ayrıca kullanıcı farkındalığı ve oltalama eğitimi de unutulmamalı. Daha fazla siber güvenlik haberleri için diğer yazılara göz atabilirsiniz.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir