Avustralya, ABD ve İngiltere hükümetleri, 2022 Medibank hacklemesinden sorumlu olduğu düşünülen Rus vatandaşı ve REvil fidye yazılımı grubunun bir üyesi olan Aleksandr Gennadievich Ermakov’a yönelik yaptırımları duyurdu.
Medibank, Avustralya’da Ekim 2022’de bir fidye yazılımı saldırısına maruz kalan ve operasyonel ve ticari aksamalara neden olan büyük bir sağlık sigortası sağlayıcısıdır.
Dahili bir soruşturmanın ardından, bilgisayar korsanlarının müşterilerin kişisel verilerine eriştiği belirlendi. Kasım 2022’nin başlarında saldırgan, yaklaşık 10 milyon kişinin çalınan verilerini sızdırdı.
Sızan veriler arasında isimler, e-posta adresleri, telefon numaraları, fiziksel adresler, pasaport numaraları, sağlık talepleri bilgileri ve sağlık sağlayıcı ayrıntıları yer alıyordu.
Uzun bir soruşturmanın ardından Avustralyalı yetkililer, Ermakov’u Medibank hacklemesinden ve veri hırsızlığından sorumlu kişi olarak belirledi. Yetkililer ayrıca birden fazla çevrimiçi takma adı Ermakov’la ilişkilendirdi ve kişinin fotoğraflarını yayınladı.
Özerk Yaptırımlar belgesindeki en son değişikliğe göre (sürüm F2024L00099), Ermakov birden fazla takma ad kullandı: Gustave Dore, aiiis_ermak, bıçak SırtıVe Jim Jones.
ABD ve İngiltere de Avustralya ile koordineli bir açıklama yaparak Ermakov’a yönelik yaptırımları duyurdu.
Hazine Müsteşarı Brian E. Nelson, “Rus siber aktörler, hassas verileri çalmak için kritik altyapılar da dahil olmak üzere işletmelerimizi hedef alarak ABD ve müttefik ülkelere karşı yıkıcı fidye yazılımı saldırıları düzenlemeye devam ediyor” dedi.
“Bugün Avustralya ve Birleşik Krallık ile bu türden ilk koordineli eylem olan üçlü eylem, bu suçlulardan hesap sorma konusundaki ortak kararlılığımızın altını çiziyor.”
Ermakov hakkında pek bir şey bilinmese de BleepingComputer, tehdit aktörünün ‘GustaveDore’ takma adını kullanarak Rusça konuşulan XSS hack forumunda paylaşım yapan ve PHP geliştirme hizmetleri sunan birini buldu.
Yerel medyanın tanımladığı şekliyle Avustralya tarihindeki en zarar verici siber saldırının sorumlusu, Medibank’a yapılan saldırıyı üstlenen ‘BlogXXX’ adlı bir fidye yazılımı çetesiydi.
Ancak BlogXXX’in, Rus hükümetinin alışılmadık şekilde duyurulan tutuklamalarının ardından Ekim 2021’de kapatılan REvil operasyonunun kısa ömürlü bir yeniden başlatılması olduğuna inanılıyor.
Avustralya İçişleri ve Siber Güvenlik Bakanı, Canberra’da düzenlediği basın toplantısında, Ermakov’un REvil fidye yazılımı operasyonunun bir üyesi olduğunu ve Rusya’nın 2022’nin başlarında REvil grubu üyesi oldukları şüphesiyle gözaltına aldığı kişiler arasında olmadığını doğruladı.
Her ne kadar Ermakov yaptırımları önemsemese ya da bunlardan kurtulmanın yollarını bulmasa da, yasadışı faaliyeti muhtemelen bu kısıtlamaların etkisini hissedecektir. Avustralya Siber Güvenlik Merkezi Başkanı Abigail Bradshaw, “siber suçluların anonimlik ticareti yaptığını” açıklıyor.
Ermakov, ona isim vererek artık sınırsız faaliyet gösteremez. Avustralya Başbakan Yardımcısı konferansta yaptığı açıklamada, onun kimliğinin artık yalnızca “dünya çapındaki her kurum tarafından değil, aynı zamanda onunla çalışmak isteyen herkes tarafından” bilindiğini söyledi.
Medibank Private siber olayına yanıt olarak uygulanan yaptırımların mali bir bileşeni olduğundan, bu, Ermakov’a kripto para birimi veya fidye yazılımı ödemeleri de dahil olmak üzere varlık sağlayan kişinin bir suç işlemiş olacağı anlamına geliyor.
Avustralya hükümeti, bunun, yasal olsun ya da olmasın, başkalarını mali kazanç için Ermakov’la ilişki kurmaktan caydırmak için yeterli olduğuna inanıyor.