Siber suç dünyası gölgeler içinde faaliyet gösteriyor ancak içeridekiler birbirine düşman olduğunda bu gölgeler küçülüyor.
Şubat 2025’te ExploitWhispers takma adını kullanan bir kişi Telegram’da ortaya çıktı ve BlackBasta fidye yazılımı grubunun dahili iletişimlerini yayınladı.
Sızıntı, Eylül 2023’ten Eylül 2024’e kadar bir yıl boyunca yaklaşık 200.000 mesaj içeren bir JSON dosyası içeriyordu.
Açığa çıkan ayrıntılar arasında, yeraltı forumlarında daha çok Slim Shady olarak bilinen Kirill Zatolokin’in de bulunduğu gerçek kimlikler vardı. Bu açıklama, tüm suç altyapı ağını çözecek bir zincirleme reaksiyonun başlangıcına işaret ediyordu.
İlk sızıntıyı, Mart 2025’te bilinmeyen bir aktörün, görünüşte meşru görünen bir Rus şirketi olan Media Land’e bağlı bir veritabanını yayınlamasıyla bir başka sızıntı takip etti.
Veritabanı, sunucu yapılandırmalarını, müşteri satın alma kayıtlarını, kullanıcı hesap bilgilerini ve kripto para birimi cüzdan adreslerini ortaya çıkardı.
Şu soru ortaya çıktı: Sözde meşru bir şirket neden fidye yazılımı operasyonlarına karışsın ki? Cevabın basit ama bir o kadar da yıkıcı olduğu ortaya çıktı: Media Land aslında 2009’un sonlarından bu yana faaliyet gösteren ve siber suç faaliyetleri için kritik bir omurga görevi gören, kurşun geçirmez bir barındırma sağlayıcısı olan Yalishanda’ydı.
Analist1 analistleri, bu iki sızıntının BlackBasta ile onu destekleyen altyapı arasındaki noktaları nasıl birleştirdiğini belirledi.
Rusya’daki siber suçlar, fidye yazılımı gruplarının koruma hizmetlerine, koruma şirketlerine ve genellikle tüzel kişilik gibi davranan altyapı sağlayıcılarına güvendiği çok katmanlı bir ekosistem olarak faaliyet göstermektedir.
Yalishanda, Media Land’in meşru cephesi altında, BlackBasta’nın saldırılarını müdahale olmadan gerçekleştirmesini sağlayan barındırma ve teknik desteği sağladı.
Bu ilişki, her bileşenin özel bir rol oynadığı profesyonelleşmiş bir suç tedarik zincirini temsil ediyordu.
Sızıntılar, düzenleyici tedbirlerin hızla alınmasına yol açtı. 19 Kasım 2025’te ABD Hazine Bakanlığı’nın Yabancı Varlıklar Kontrol Ofisi, Avustralya ve Birleşik Krallık’taki yetkililerle birlikte çalışarak Media Land ve yan kuruluşu Data Center Kirishi’ye yaptırımlar uyguladı.
İki kişi doğrudan sonuçlarla karşı karşıya kaldı: Şirketin suç çevrelerinde Yalishanda olarak bilinen yöneticisi Aleksandr Volosovik ve BlackBasta’nın operasyonlarının desteklenmesinde uygulamalı rol oynayan Kirill Zatolokin.
Volosovik tehdit aktörlerine altyapı pazarlarken, Zatolokin Slim Shady takma adı altında müşteri desteği ve teknik koordinasyonu üstleniyordu.
Fidye Yazılımı Operasyonlarında Kurşun Geçirmez Hosting’in Rolü
Yalishanda gibi kurşun geçirmez barındırma sağlayıcıları tek bir sözle başarılı oluyor: kötüye kullanım şikayetlerini görmezden geliyorlar.
Fidye yazılımı operatörleri için bu, komuta ve kontrol sunucularının, veri sızma altyapısının ve ödeme portallarının kesintisiz çalışabileceği güvenli bir sığınak oluşturur.
Yalishanda, sunucu barındırma, alan adı kaydı, teknik destek ve en önemlisi yayından kaldırma taleplerine karşı korumayı içeren kapsamlı bir hizmet paketi sundu.
Sızan BlackBasta sohbetleri, grubun Media Land’in altyapısı üzerinden yaklaşık 200 sunucunun bakımını yaptığını, saniyede 17 ila 20 gigabit bant genişliği tükettiğini ve saniyede 50 gigabit’e kadar ölçeklendirme planlarını ortaya çıkardı.
.webp)
Bilinmeyen takma adını kullanan REvil üyesi Yalishanda temsilcisiyle sohbet etti (Kaynak – Analist1)
Zatolokin, BlackBasta ve Media Land arasında birincil teknik iletişim sorumlusu olarak görev yaptı ve Telegram hesabı @ohyehhellno aracılığıyla altyapı ihtiyaçlarını koordine etti.
Sızan sohbetlerdeki mesajlar onun hız testi sonuçları, bant genişliği hesaplamaları ve yükseltme önerileri sağladığını gösteriyordu.
Bir görüşmede Media Land’in hizmetlerinin kiralık ağlardan ziyade “özel bir veri merkezinden” geldiğini tanımlayarak BlackBasta’nın gördüğü VIP muamelesini vurguladı.
Bu seviyedeki özel altyapı desteği, modern fidye yazılımı gruplarının kendi teknik operasyonlarını yönetmek yerine profesyonel hizmet sağlayıcılara nasıl güvendiklerini gösteriyor; bu da onların esnek, kötüye kullanıma dayanıklı altyapıyı korumanın karmaşıklığını dış kaynaktan alırken kurban hedefleme ve şifrelemeye odaklanmalarına olanak tanıyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
