What is the Incransom ransomware group?

Incransom is a ransomware-as-a-service (RaaS) operation active since at least mid-2023, also tracked under the names Tarnished Scorpion and GOLD IONIC.

How does Incransom’s double extortion tactic work?

Attackers exfiltrate data before encrypting systems, so even if an organization restores from backups, the stolen data can still be published or sold as leverage.

Has TrRAC Inc. publicly responded to the breach claim?

As of the article’s writing, TrRAC Inc. had not issued a public statement regarding the attack.

What types of personal information could be compromised in this breach?

The stolen 150GB dataset could include full names, email addresses, social security numbers, payroll records, HR files, benefits information, internal correspondence, and possibly client or customer records.

Does Incransom only go after large companies?

No, the group has targeted organizations of varying size and sector, including an attack on Bergen Community College in May 2026.

Incransom, TrRAC Inc.'e Saldırdı, 150 GB Veriyi Sızdırmakla Tehdit Ediyor

Fidye yazılımı grubu Incransom, trrac.net adresinde faaliyet gösteren ABD merkezli TrRAC Inc. şirketine yönelik bir siber saldırının sorumluluğunu üstlendi. Grubun 2 Haziran 2026 tarihli duyurusuna göre Incransom, şirket taleplerini karşılamazsa 150 GB hassas veriyi yayımlamakla tehdit ediyor. Bu yazının kaleme alındığı sırada TrRAC Inc. kamuya açık bir açıklama yapmamış olsa da iddia, bu grubun son aylarda diğer kuruluşlara karşı kullandığı yerleşik bir kalıbı takip ediyor.

TrRAC Inc. ile bağlantılı çalışanlar, yükleniciler veya müşteriler için bu durum, hangi verilerin ele geçirilmiş olabileceği, kimlerin etkilendiği ve bireylerin kendilerini korumak için ne gibi adımlar atabileceği konusunda acil soruları gündeme getiriyor.

Incransom Kimdir ve Neden Önemlidir?

En azından 2023 ortasından beri bir hizmet olarak fidye yazılımı (RaaS) operasyonu olarak faaliyet gösteren Incransom, Tarnished Scorpion ve GOLD IONIC gibi isimlerle de takip edilmektedir. Bu model, grubun altyapısını ve araçlarını bağlı kuruluşlara sağladığı ve bu kuruluşların bireysel saldırıları gerçekleştirip geliri paylaştığı anlamına gelir. Bunun pratik sonucu, sağlık, eğitim ve özel sektör de dâhil olmak üzere daha geniş bir sektör yelpazesinde daha yüksek sayıda hedefin ortaya çıkmasıdır.

Grubun Haziran 2026'da TrRAC Inc.'e yönelik saldırısı münferit bir olay değildir. Mayıs 2026'da Incransom, Bergen Community College'a yönelik bir saldırının sorumluluğunu kamuoyu önünde üstlenerek, grubun farklı büyüklük ve sektördeki kurumları hedef alma istekliliğini göstermiştir. Bu iddiaların tutarlılığı, fırsatçı bilgisayar korsanlığından ziyade örgütlü ve devam eden bir kampanyaya işaret etmektedir.

Incransom'un kullandığı çifte şantaj yöntemi tehdidi artırmaktadır. Saldırganlar yalnızca sistemleri şifreleyip erişimi geri yüklemek için ödeme talep etmekle kalmaz. Ayrıca önceden verileri sızdırarak ikinci bir koz elde ederler: Kuruluş sistemlerini yedeklerden geri yüklese bile, çalınan veriler yayımlanabilir veya satılabilir. 150 GB'lık bir veri kümesi binlerce çalışan kaydını, mali belgeyi, dâhili yazışmayı ve müşteri bilgisini içerebilir.

Kurumsal Bir Veri İhlalinde Hangi Veriler Risk Altında Olabilir?

Bir şirket veri sızdıran bir fidye yazılımı grubunun hedefi olduğunda, risk altındaki bilgi türleri kurumsal elektronik tabloların çok ötesine geçer. Bu saldırılarda çalınan tipik veri kümeleri arasında tam adlar, e-posta adresleri, sosyal güvenlik numaraları, bordro kayıtları, İK dosyaları, yan hak bilgileri ve dâhili yazışmalar bulunur. TrRAC Inc.'in faaliyetlerinin niteliğine bağlı olarak, müşteri veya müşteri kayıtları da tutulan 150 GB'ın bir parçası olabilir.

Verileri bir işverenin veya hizmet sağlayıcının sistemlerinde bulunan bireyler için bu, kişisel gizliliğin genellikle ancak bilgilerinizi işleyen kuruluşun gücü kadar güçlü olduğunu hatırlatır. Kendi cihazlarınız ve hesaplarınızla ilgili her türlü önlemi alabilirsiniz, ancak kayıtlarınızı tutan bir şirkette yaşanan bir ihlal, bu verileri yine de ifşa edebilir.

Kurumsal depoları etkileyen ihlaller bu noktayı defalarca göstermiştir. Kaynak kodunu ve 370 kart kaydını ifşa eden MoneyForward GitHub ihlali, güvenlik kontrolleri başarısız olduğunda, kamuya açık olması amaçlanmayan dâhili sistemlerin bile hassas kişisel ve mali verilere giden bir yol hâline gelebileceğinin bir örneğidir.

Bu Sizin İçin Ne Anlama Geliyor?

TrRAC Inc. çalışanı, yüklenicisi veya müşterisiyseniz, en acil adım hesaplarınızı yakından takip etmektir. Bu saldırılarda kimlik bilgisi hırsızlığı yaygındır; bu nedenle, şirketle paylaşmış veya şirket aracılığıyla kaydettirmiş olabileceğiniz kimlik bilgilerini kullanan tüm hesapların parolalarını değiştirin. Destekleyen her hesapta, özellikle e-posta, bankacılık ve tüm profesyonel platformlarda çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin.

Daha geniş anlamda bu olay, birçok çalışanın karşılaştığı yapısal bir güvenlik açığını hatırlatmaktadır: Kişisel verileriniz, işverenler, satıcılar ve hizmet sağlayıcılar tarafından kontrol edilen düzinelerce sistemde yaşar; bunların her biri potansiyel bir ifşa noktasıdır. Her hizmet için benzersiz e-posta adresleri kullanmak veya paylaşımlı ya da uzak ağlar üzerinden bağlanırken VPN kullanmak gibi dijital ayak izinizi sınırlayan araçlar, etkinliğinizin ne kadarının görülebildiğini ve bir ihlal durumunda ne kadarının ilişkilendirilebileceğini azaltır.

Ayrıca, e-posta adresinizin veya bilinen kimlik bilgilerinizin daha önce yayımlanmış ihlal veritabanlarında görünüp görünmediğini kontrol etmeye değer. Bazı saygın hizmetler ücretsiz sorgulama sunar ve bilgileriniz yeni bir sızıntıda ortaya çıkarsa sizi uyarabilir.

Eyleme Geçirilebilir Tavsiyeler

TrRAC Inc. ile herhangi bir bağlantınız varsa parolalarınızı hemen değiştirin ve bu parolaları başka hiçbir yerde tekrar kullanmayın.
E-posta ve finansal hizmetlere öncelik vererek tüm hesaplarda MFA'yı etkinleştirin.
Bir ihlal duyurusunu takip eden haftalarda oltalama girişimlerine karşı dikkatli olun; saldırganlar, inandırıcı takip dolandırıcılıkları hazırlamak için sık sık çalınan iletişim bilgilerini kullanır.
Özellikle bordro veya mali kayıtların dâhil olduğuna inanıyorsanız, kredinizi olağandışı hareketlere karşı izleyin.
Tek bir kimlik bilgisi setinin ifşa olması hâlinde etki alanını sınırlamak için her hizmette benzersiz kimlik bilgileri kullanın.
Bilgi sahibi olun: İhlalin kapsamı ve etkilenen bireylere sundukları destek hakkında güncellemeler için TrRAC Inc.'in resmî iletişim kanallarını takip edin.

Fidye yazılımı grupları son birkaç yılda operasyonlarını önemli ölçüde profesyonelleştirdi ve her büyüklükteki kuruluş kendini hedef tahtasında bulabilir. Incransom'un TrRAC Inc.'e yönelik iddiası, kişisel veri korumasının yalnızca bireysel alışkanlıklarla ilgili olmadığının zamanında bir hatırlatıcısıdır. Bilgilerinizin emanet edildiği kuruluşları yüksek bir güvenlik standardına tabi tutmayı ve bu standardın altında kaldıklarında neyi hızlıca yapmanız gerektiğini bilmeyi gerektirir.