Birleşik Krallık, ABD ve Avustralya’daki siber ve emniyet teşkilatları, Rus siber suç imparatorluğu Evil Corp’u ve onun LockBit fidye yazılımı operatörleriyle olan ilişkisini açığa çıkarmak için bir araya geldi. Bunu çeşitli kurumlardan en az sekiz duyuru, yaptırımlar, el koymalar ve tutuklamalar izledi.
Ortak uluslararası çaba, kötü şöhretli siber suç grubu Evil Corp ile bağlantılı kişilere karşı yeni bir yaptırım dalgasına yol açtı ve bu grubun LockBit ile olan bağlılığını açığa çıkardı. Aralarında Rus devlet kurumları ve LockBit fidye yazılımı grubuyla bağlantısı olan yüksek profilli üyelerin de bulunduğu 16 kişiye yaptırım uygulandı.
Uzun süredir en gelişmiş siber suç örgütlerinden biri olarak kabul edilen Evil Corp’un operasyonlarında aksamalar yaşandı. Ancak grubun suç etkisi, özellikle BitPaymer gibi fidye yazılımı türlerinin geliştirilmesindeki rolü ve LockBit fidye yazılımını kullanma yönündeki evrimi yoluyla dünya çapında yankılanmaya devam ediyor.
Köklü Bir Siber Suç Mirası
Birleşik Krallık Ulusal Suç Ajansı (NCA) tarafından yürütülen bir soruşturmaya göre, Evil Corp’un geçmişi hem mali suçlarla hem de ulus devlet çıkarlarıyla iç içe geçmiş durumda. Başlangıçta Moskova merkezli bir mali suç örgütü olan örgüt, daha sonra tam teşekküllü bir siber suç örgütüne dönüştü ve dünya çapında sağlık hizmetlerinden, kritik altyapılardan ve hükümet mağdurlarından 300 milyon doların üzerinde para topladı.
Grubun lideri Maksim Yakubets ve yakın ortağı Igor Turashev, 2019 yılında ABD tarafından, bankacılık kimlik bilgilerini çalmak ve fidye yazılımı yükleri dağıtmak için tasarlanmış bir araç olan Dridex kötü amaçlı yazılımını kullanarak saldırı düzenlemedeki rolleri nedeniyle suçlanmıştı.
Bu haftaki yaptırımlar, Yakubets’in babası Viktor Yakubets ve LockBit fidye yazılımının arkasındaki önemli isimlerden Aleksandr Ryzhenkov da dahil olmak üzere ABD tarafından 2019’da suçlanan yedi üyenin dışında yedi üyeyi daha hedef alıyor.
Ryzhenkov, LockBit tarafından gerçekleştirilen en zararlı fidye yazılımı saldırılarından bazılarından sorumlu önemli bir operatör olarak tanımlanıyor. Kendisi aynı zamanda ABD Adalet Bakanlığı tarafından, Amerikan kuruluşlarına şantaj yapmak için BitPaymer fidye yazılımını dağıtmadaki rolü nedeniyle de suçlandı.
Yaptırımlar Ortasında Gelişen Taktikler
Evil Corp, 2019 yaptırımlarına yanıt olarak yöntemlerini ayarladı, daha sıkı güvenlik önlemleri benimsedi ve yüksek hacimli fidye yazılımı saldırılarından yüksek gelirli işletmelere yönelik daha hedefli saldırılara geçti. Bu evrim, grubun kolluk kuvvetlerinin radarı altında faaliyetlerini sürdürmesine olanak tanıdı. Grup, BitPaymer ve Dridex gibi orijinal araçlarının güvenlik sistemleri tarafından iyi tanınması ve savunulabilir hale gelmesinin ardından yenilik yapmak zorunda kaldı.
LockBit’in yükselişi eski Evil Corp üyelerine kazançlı bir alternatif sundu. Hizmet olarak fidye yazılımı modeli kapsamında geliştirilen LockBit, siber suçluların fidye yazılımı altyapısını kiralamasına olanak tanıyor ve bu da yaratıcıların saldırılara doğrudan karışmasını önlemeye yardımcı oluyor. Evil Corp ile LockBit arasındaki bağlantı, büyük fidye yazılımı gruplarının ayrılık iddialarına rağmen sıklıkla işbirliği yaptığı siber yeraltı dünyasındaki değişen eğilimi gösteriyor.
Küresel Geri Tepme
Uluslararası bir yasa uygulama çabası olan Cronos Operasyonunun son aşaması, LockBit’in yeteneklerini aşındırmaya devam ediyor. Fransa, İspanya ve Birleşik Krallık, aralarında bir geliştirici ve kurşun geçirmez barındırma altyapısı yöneticisinin de bulunduğu LockBit bağlı kuruluşlarını hedef alan bir dizi tutuklamayı koordine etti. Bu tutuklamalar, LockBit tarafından kullanılan dokuz anahtar sunucunun ele geçirilmesiyle birleştiğinde, grup için önemli bir gerilemeye işaret ediyor.
Son iki yılda LockBit, finanstan enerjiye kadar çeşitli sektörleri hedef alarak küresel çapta en aktif fidye yazılımı grubu olarak ortaya çıktı. Altyapısı ve saldırı modeli dayanıklıydı; kolluk kuvvetleri operasyonlarını tamamen kesintiye uğratma konusunda zorluklarla karşı karşıyaydı. Ancak NCA, Evil Corp ve LockBit bağlı kuruluşlarının etrafındaki ilmiği sıkılaştırdıkça, fidye yazılımı olaylarının sıklığı ve yoğunluğu azalmaya başladı.
‘Artık Fidye Yok’ Girişimi Hız Kazanıyor
Fidye yazılımı gruplarının ortadan kaldırılması, siber şantajla mücadeleye yönelik küresel çabaların yalnızca bir parçasıdır. Europol, Japonya’nın siber güvenlik ekipleriyle işbirliği içinde, fidye yazılımı kurbanları için şifre çözme araçları geliştirme çabalarını ilerletti. 6 milyondan fazla kullanıcı bu araçlara “Artık Fidye Yok” portalı aracılığıyla erişerek milyarlarca dolarlık olası zarardan tasarruf etti.
Europol ayrıca fidye yazılımı operasyonlarıyla bağlantılı kripto para birimi işlemlerinin izlenmesinde kritik destek sağlamaya devam ediyor. Europol, yedi özel teknik sprint aracılığıyla kilit finansal değişimleri takip ederek LockBit ve Evil Corp aktörlerinin belirlenmesine yardımcı oldu.
Dünya Liderlerinden Güçlü Mesaj
İngiltere Dışişleri Bakanı David Lammy, bu yaptırımların Rusya’nın siber suç ekosistemi üzerindeki etkisini vurguladı. “Putin’in yozlaşmış rejimi, suç ağları aracılığıyla kötü niyetli etkisini sürdüremez. Bugünkü eylem, müttefiklerimize yönelik siber saldırıları durdurmak için elimizdeki her aracı kullanacağımıza dair güçlü bir mesaj veriyor.”
Washington’da Hazine’nin Yabancı Varlıklar Kontrol Ofisi (OFAC), kritik altyapıyı siber tehditlere karşı korumaya yönelik kararlılığını yineledi. Müsteşar Vekili Bradley T. Smith, yaptırımların fidye yazılımı aktörlerini engellemeye yönelik kolektif uluslararası kararlılığın altını çizdiğini belirtti. “Birleşik Krallık ve Avustralya ile koordineli çabalarımız, bu suç gruplarının gelişmesine olanak tanıyan ekonomik çerçeveyi ortadan kaldırmayı amaçlıyor.”
Kritik Bir Dönüm Noktası mı?
Evil Corp’un etkisi 2019’dan bu yana azalmış olsa da, küresel fidye yazılımı ortamında gölgesi hala büyük görünüyor. Müfettişler, üst düzey operatörlerin çoğunun diğer suç örgütleriyle işbirliği yapmaya devam ederek karmaşık siber suç faaliyetleri ağları oluşturduğuna inanıyor. LockBit’in geliştiricileri kendilerini Evil Corp’tan açıkça uzaklaştırdı ancak yaptırımlar ve tutuklamalar aksini gösteriyor.
Fransa’da bir LockBit geliştiricisinin tutuklanması ve fidye yazılımı saldırılarını kolaylaştırmak için kullanılan sunuculara el konulması, bu suç ağlarının üzerine duvarların yaklaştığının işaretleri. Yine de fidye yazılımının milyarlarca dolarlık bir sektör olduğu göz önüne alındığında, Evil Corp veya LockBit’in bir gecede ortadan kaybolması pek olası değil. Onların evrimi, siber suç örgütlerinin uyum sağlama yeteneğini yansıtıyor; her harekette riskin daha da arttığı bir kedi-fare oyunu.
İleriye Doğru
Siber güvenlik uygulayıcıları ve kolluk kuvvetleri sınırlar ötesinde işbirliği yaptıkça, fidye yazılımı saldırganları giderek daha az saklanacak yer buluyor. Cronos Operasyonu’nda görülen işbirlikçi çabalar, hükümetlerin, özel şirketlerin ve uluslararası kuruluşların siber suçları her düzeyde engellemek için birlikte çalıştığı siber savunmanın geleceğine bir bakış sunuyor.
CISO’lar, ağ mühendisleri ve güvenlik uygulayıcıları için bu operasyondan çıkarılacak sonuçlar açıktır: fidye yazılımı yalnızca teknolojik bir tehdit değil, aynı zamanda küresel bir jeopolitik silahtır. Gelişen bu tehditlere hazırlanmak yalnızca teknik savunmayı değil, aynı zamanda küresel siber ortamın derinlemesine anlaşılmasını da gerektirir.
Cronos Operasyonu ve muadilleri operasyonun hala devam ettiğini söylediğinden bu hikaye gelişmeye devam edecek.