ABD, kötü şöhretli Phobos fidye yazılımının arkasındaki beyni olduğu iddia edilen Güney Kore’den bir Rus vatandaşının iadesini sağladı.
42 yaşındaki Evgenii Ptitsyn, dünya çapında 1.000’den fazla kamu ve özel kuruluşun mağdur edilmesinden sorumlu bir kötü amaçlı yazılım türü olan Phobos fidye yazılımı operasyonunu yönetmekle suçlanıyor. Bu kötü amaçlı yazılım türünden kaynaklanan fidye yazılımı saldırıları, sağlık, eğitim, kritik altyapı ve devlet hizmetleri gibi çeşitli sektörleri hedef alarak 16 milyon dolardan fazla fidye ödemesi sızdırdı.
Güney Kore’de tutuklanan Rus vatandaşı Ptitsyn, ilk kez 4 Kasım’da ABD Maryland Bölge Mahkemesi’ne çıktı. 13 maddelik iddianamede kendisini komplo, elektronik dolandırıcılık, bilgisayar korsanlığı ve gaspla suçluyor.
Phobos Fidye Yazılımı Planında Rol İddiası
Phobos fidye yazılımı modeli, “hizmet olarak fidye yazılımı” (RaaS) platformu olarak çalışıyordu. Adalet Bakanlığı’na (DOJ) göre Ptitsyn, bağlı kuruluşlar için fidye yazılımı satışını, dağıtımını ve desteğini kolaylaştıran bir yönetici olarak görev yaptı. Bu bağlı kuruluşlar, kurbanların ağlarına sızmak, hassas verileri şifrelemek ve zorla ödeme almak için Phobos fidye yazılımını kullandı.
Her saldırı, ele geçirilen sistemlere, şifre çözme anahtarları karşılığında kripto para birimi ödemeleri talep eden bir fidye notu bıraktı. Bağlı kuruluşların, fidye ödenmediği takdirde çalınan verilerin yayınlanacağı veya müşterilerle paylaşılacağı konusunda mağdurları uyararak tehditleri artırdıkları da biliniyordu.
Ptitsyn ve suç ortaklarının, bağlı kuruluşların şifre çözme anahtarları satın aldığı, ücret ödediği ve fidye yazılımı saldırılarını koordine ettiği bir darknet platformu işlettiği iddia ediliyor. Adalet Bakanlığı, Ptitsyn’in takma adlarını “derxan” ve “zimmermanx” olarak tanımladı ve bildirildiğine göre bu takma adları yeraltı forumlarında yasa dışı hizmetlerin reklamını yapmak ve kolaylaştırmak için kullandı.
Tutuklama ve İade
İddianame ve suçluların iadesi, Güney Kore, Avrupa, Japonya ve ABD’deki emniyet teşkilatlarının dahil olduğu uluslararası bir işbirliği sayesinde mümkün oldu. FBI’ın Baltimore Saha Ofisi, Europol ve Savunma Bakanlığı Siber Suç Merkezi tarafından desteklenen soruşturmayı yönetti.
Başsavcı Yardımcısı Lisa Monaco, yalnızca Phobos fidye yazılımı ağlarının dağıtılmasına değil, aynı zamanda Ptitsyn’in tutuklanmasına da yol açan çok uluslu çabayı övdü. “Dünya çapındaki ortaklarımızla birlikte siber suçluları sorumlu tutmaya ve masum kurbanları korumaya devam edeceğiz” dedi.
Başsavcı Yardımcısı Başsavcı Yardımcısı Nicole M. Argentieri, Phobos operasyonunun küresel ölçeğinin yol açtığı yıkıma dikkat çekti. Fidye yazılımının yalnızca şirketleri değil aynı zamanda okulları, hastaneleri ve kar amacı gütmeyen kuruluşları da hedef aldığını ve bu saldırıların ayrım gözetmeyen doğasını gösterdiğini belirtti.
Phobos Fidye Yazılımının Teknik Detayları
İlk kez 2019’da gözlemlenen Phobos, genellikle güçlü siber güvenlik savunmalarına sahip olmayan küçük ve orta ölçekli kuruluşlara karşı kullanılıyor. Fidye yazılımı, yetkisiz erişim elde etmek için çalınan kimlik bilgileri ve yama uygulanmamış sistemler gibi yaygın güvenlik açıklarından yararlanır. İçeri girdikten sonra dosyaları şifreler ve aşağıdaki gibi uzantıları ekler: .phobos veya .adame etkilenen verilere.
RaaS modeli, bağlı kuruluşların karlarını, operasyonel destek ve şifre çözme araçları sağlayan Ptitsyn gibi yöneticilerle paylaşmasına olanak tanıdı. Kripto para işlemleri takip edildi; bağlı kuruluşlar şifre çözme anahtarları için yöneticilere ödeme yaparak istikrarlı bir gelir akışı sağladı.
Siber tehdit istihbarat şirketi Cyble, The Cyber Express’e Phobos fidye yazılımının başka bir taktik kullanılarak konuşlandırıldığını gözlemlediklerini söyledi. Cyble, “Genellikle saldırıya uğramış Uzak Masaüstü (RDP) bağlantıları aracılığıyla dağıtıldığını ve bu yayılma vektörünün erişilebilirliği ve maliyet verimliliğinden yararlanıldığını” söyledi.
Phobos’un kalıcı etkisinin en belirgin örneklerinden biri Romanya’daki sağlık hizmetlerine yapılan fidye yazılımı saldırısıydı. Cyble, “Finansal kazanç motivasyonuyla tehdit aktörleri, Hipocrate Bilgi Sistemine Phobos fidye yazılımını bulaştırdı ve bu yazılım daha sonra Romanya’daki 100’den fazla hastane ve sağlık merkezine yayıldı” dedi.
Şubat ayında yayınlanan ortak bir federal danışma belgesinde, Phobos fidye yazılımı operatörlerinin ilk erişimi elde etmek için açığa çıkan RDP bağlantılarından benzer şekilde yararlanıldığı tespit edildi. Uyarı, Phobos’un muhtemelen Elking, Eight, Devos, Backmydata ve Faust fidye yazılımı dahil olmak üzere diğer birçok varyantla bağlantılı olduğunu da ekledi. Muhtemelen keşif amacıyla Phobos varyantını konuşlandırmadan önce SmokeLoader kötü amaçlı yazılımını dağıttıkları da sıklıkla gözlemlendi.
Masraflar ve Yasal Sonuçlar
Ptitsyn elektronik dolandırıcılık, bilgisayar sahtekarlığı yapmak için komplo kurmak, korunan bilgisayarlara kasıtlı zarar vermek ve gasp suçlamalarıyla karşı karşıya bulunuyor. Suçlu bulunması halinde, her elektronik dolandırıcılık suçundan 20 yıla kadar, bilgisayar korsanlığı suçundan ise 10 yıla kadar hapis cezasına çarptırılabilir.
ABD Başsavcısı Erek L. Barron, hükümetin siber suçluları takip etme konusundaki kararlılığını yineleyerek şunları söyledi: “Bu sadece bir zaman meselesi; Siber suçlular yakalanacak ve adalet önüne çıkarılacak.”
Mağdurlar Üzerindeki Etki ve Etki Azaltma Çabaları
Phobos fidye yazılımının etki alanı çeşitli sektörlere yayıldı, temel hizmetleri kesintiye uğrattı ve hassas verileri tehlikeye attı. Kurbanlar arasında sağlık tesisleri, eğitim kurumları ve kritik altyapı işletmecileri yer aldı. Bu saldırılar, uzun süreli kesintileri veya hassas bilgilerin kamuya ifşa edilmesini önlemek için çoğu zaman kuruluşları fidye ödemeye zorladı.
Bu tür tehditlere karşı koymak için DOJ, kuruluşları düzenli yedeklemeler, güçlü erişim kontrolleri ve zamanında yazılım güncellemeleri dahil olmak üzere proaktif siber güvenlik önlemlerini almaya teşvik eder. Fidye yazılımı saldırılarını azaltmaya yönelik ek kaynaklar, Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) rehberliğini sunan StopRansomware.gov adresinde mevcuttur.
İlgili