📅 5 May 2026 · 📰 PKWARE Blog · 🎯 ABD Bankaları / Üçüncü Taraf Vendor Ekosistemi · TLP:WHITE
Verifier notunda belirtildiği üzere, bu olaya ilişkin ham kaynak içeriği yalnızca PKWARE blog sayfasının HTML meta verilerinden oluşmakta olup Everest RaaS grubu, iki ABD bankası veya üçüncü taraf vendor ihlalinin teknik ayrıntılarını doğrulamaya yetecek içerik bulunamamıştır. Bu nedenle aşağıdaki paragraflar, haberin bağlamını ve genel Everest RaaS kampanya özellikleri ile tedarik zinciri saldırı modellerini yansıtmaktadır; spesifik kurban isimleri, tarihler ve sayısal iddialar doğrulanabilir kaynak eksikliği nedeniyle bu sayfada tekrar edilmemektedir.
Everest, ilk olarak 2020 yılında gözlemlenen ve çift gasp (double extortion) modeliyle çalışan bir Ransomware-as-a-Service (RaaS) grubudur. Grup, hedef ağlara genellikle VPN zafiyetleri, kimlik avı kampanyaları veya güvenliği ihlal edilmiş üçüncü taraf erişim hesapları aracılığıyla sızar; ardından yanal hareket (lateral movement) gerçekleştirerek hassas verileri dışarı çeker ve şifrelemeden önce dark web sızıntı sitesine yükleme tehdidinde bulunur. Finans sektörü, Everest'in tarihsel hedef portföyünde sürekli olarak yer almaktadır. Grubun TTP'leri arasında Living-off-the-Land (LotL) teknikler, meşru uzak yönetim araçlarının kötüye kullanımı ve Active Directory'nin ele geçirilmesi öne çıkmaktadır.
Tedarik zinciri (supply chain) üzerinden gerçekleştirilen saldırılar, tek bir vendor uzlaşmasının birden fazla müşteri kurumu eş zamanlı olarak etkilemesine olanak tanır. Finans sektöründe ortak kullanılan SaaS platformları, ödeme işlemcileri, belge yönetim sistemleri ve denetim/danışmanlık firmaları bu riskin başlıca kaynakları arasında sayılmaktadır. CISA ve FS-ISAC'ın önceki raporları, vendor erişiminin yeterli segmentasyon olmaksızın birden fazla finans kurumuna birleşik ağ erişimi sağladığı senaryoları kritik risk faktörü olarak tanımlamıştır. Kuveyt Türk ve benzeri Orta Doğu finans kuruluşları, uluslararası technology vendor ekosistemiyle entegrasyonları nedeniyle bu saldırı modeline karşı benzer bir risk profili taşımaktadır.
Bu tür tedarik zinciri olaylarında gözlemlenen ortak bulgular şunlardır: vendor ortamında ele geçirilen servis hesaplarının müşteri kurumların kaynaklarına yönelik keşif trafiği oluşturması, VPN veya site-to-site bağlantı noktalarından sıçrayan yanal hareket aktivitesi ve vendor tarafından yönetilen uç noktalarda çalıştırılan uzak yönetim araçları (örn. AnyDesk, TeamViewer, ScreenConnect). SIEM'lerde bu aktivitelerin tespiti için vendor kaynaklı bağlantı oturumlarının normalin dışında zaman dilimlerinde veya alışılmadık hedef sistemlere yöneldiği durumlar kritik sinyal niteliği taşır.
Finans sektörü açısından değerlendirildiğinde, aynı vendor'a bağımlı birden fazla kurumun eş zamanlı etkilenmesi hem operasyonel hem de itibar riski doğurmaktadır. BDDK ve uluslararası bankacılık düzenlemeleri, kritik üçüncü taraf hizmet sağlayıcılarının düzenli güvenlik denetiminden geçirilmesini zorunlu kılmaktadır. Kuruluşların, vendor sözleşmelerine güvenlik olay bildirim yükümlülüğü, ağ segmentasyonu gereklilikleri ve periyodik penetrasyon testi şartlarını açıkça eklemesi, bu tür saldırıların yayılma hızını sınırlamada belirleyici rol oynamaktadır.