beast gang'in opsec faili, fidye yazılımı sunucusu ifşa oldu

Posted on 21 Mar 2026

arkadaşlar, bugün biraz farklı bir haberle geldim. beast gang diye bir fidye yazılımı çetesi var, bunlar opsec (operasyonel güvenlik) konusunda tam bir fiyasko yaşamış. merkezi bulut sunucuları açıkta kalmış ve içinden ne çıktıysa çıkmış.

ne olmuş peki

beast gang’in kullandığı merkezi bulut sunucusu ifşa olmuş. sunucudaki dosyalar incelendiğinde, bu grubun saldırı taktikleri, teknikleri ve prosedürleri (ttp’leri) ortaya çıkmış. özellikle ilginç olan şu: bunlar sistematik bir şekilde ağ yedeklerine saldırıyormuş. yani kurbanların “en kötü ihtimalde yedekten döneriz” dediği senaryonun tam içine sıçıyorlar.

spoiler: bu tip opsec hatası genelde çetelerin çöküşünün başlangıcı oluyor.

beast gang’in ana taktikleri

sunucudan çıkan bilgilere göre, bu grubun ana stratejisi şöyle:

  1. yedek sistemlere öncelikli saldırı: veeam, veritas, commvault gibi yedekleme çözümlerini hedef alıyorlar
  2. sistematik imha: yedekleri sadece şifrelemiyorlar, tamamen siliyorlar
  3. agresif yaklaşım: kurbanın recovery seçeneğini tamamen ortadan kaldırmaya çalışıyorlar

saldırı akışı

1. ağa sızma (genelde phishing veya zayıf rdp)
2. yedekleme sunucularını tespit etme
3. yedekleme admin hesaplarını ele geçirme
4. yedekleri silme/şifreleme
5. ana sistemleri şifreleme
6. fidye talebi (artık başka seçenek kalmadığı için)

sistem yöneticileri ne yapmalı

agalar, bu haber aslında bir uyarı niteliğinde. beast gang yakalanmış olabilir ama taktikleri diğer gruplar tarafından kullanılmaya devam edecek. şunları mutlaka yapın:

yedekleme güvenliği

3-2-1 kuralını uygulayın:

  • 3 kopya veri
  • 2 farklı ortam
  • 1 tanesi offsite/offline

immutable (değiştirilemez) yedekler:

# veeam için immutable backup ayarı
# settings > backup repository > advanced > 
# make recent restore points immutable for X days

# commvault için
# storage > disk > advanced > enable worm

erişim kontrolü

yedekleme sistemlerine erişimi sıkı tutun:

# yedekleme sunucusuna sadece belirli ip'lerden erişim
# iptables örneği
iptables -A INPUT -p tcp --dport 6160 -s 10.0.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 6160 -j DROP

# yedekleme admin hesapları için mfa zorunlu
# her yedekleme çözümünün kendi mfa ayarı var, mutlaka aktif edin

monitoring ve alerting

# yedekleme loglarını izleyin
# örnek: veeam backup silme işlemlerini logla

# splunk/elk için örnek query
index=veeam action=delete OR action=remove
| stats count by user, backup_name, time

network segmentation

yedekleme ağını production ağdan ayırın:

sistemvlanerişim
production sunucularvlan 10sınırlı
yedekleme sunucularıvlan 20çok sınırlı
yedekleme storagevlan 30sadece backup sunucuları

air-gap yedekleme

# günlük yedekleri offline tape'e alın
# veya offline disk'e kopyalayıp fiziksel olarak ayırın

# örnek: rsync ile offline diske kopyalama
rsync -avz /backup/daily/ /mnt/offline-disk/
# sonra diski fiziksel olarak çıkarın

bu olaydan çıkarılacak dersler

  1. kendi güvenliğinizi sağlayın: saldırganlar bile opsec hatası yapıyor, siz de yapabilirsiniz
  2. yedekler kutsaldır: fidye yazılımına karşı en iyi savunma sağlam yedekleme stratejisi
  3. immutable yedek: silinemeyen, değiştirilemeyen yedekler hayat kurtarır
  4. offline is king: hiçbir ağa bağlı olmayan yedek, en güvenli yedektir
  5. test edin: yedeklerinizi düzenli test edin, yoksa kriz anında “yedek bozukmuş” diye ağlarsınız

pratik checklist

şunu yapın agalar, hemen:

  • yedekleme sistemlerine mfa ekleyin
  • immutable backup aktif mi kontrol edin
  • offline/air-gap yedek stratejisi oluşturun
  • yedekleme loglarını monitoring sisteminize ekleyin
  • yedekleme ağını segmente edin
  • yedekten restore testi yapın (son 3 ayda yaptınız mı?)
  • yedekleme admin hesaplarını audit edin
  • 3-2-1 kuralına uyuyor musunuz kontrol edin

edit: beast gang’in sunucusunda bulunan bilgiler, diğer fidye yazılımı gruplarının da benzer taktikler kullandığını gösteriyor. yani bu sadece beast gang sorunu değil, genel bir trend.

dikkat: yedekleme sistemlerinizi production sistemler kadar ciddiye alın. hatta daha da ciddiye alın, çünkü kriz anında tek çareniz o.

kaynaklar

son söz: arkadaşlar, saldırganlar bile hata yapıyor. ama siz hata yapma lüksünüz yok, çünkü sizin hatanız şirketin batması demek. yedeklerinizi koruyun, test edin, offline tutun. beast gang gibi gruplar her gün yeni taktikler geliştiriyor, siz de savunmanızı güncel tutun.

hadi kolay gelsin, sağlıcakla kalın.

Bu içerik yapay zeka tarafından oluşturulmuştur.