Dolandırıcılık Yönetimi ve Siber Suçlar , Sektöre Özel , Fidye Yazılımı
DOJ: Şüpheliler, 3’ü Sağlık Sektöründe Olmak Üzere 5 Firmayı Saldırdı ve 1,3 Milyon Dolar Fidye Parası Elde Etti
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği), Greg Sirico •
5 Kasım 2025
İki siber güvenlik firmasının üç eski çalışanı, aralarında üç sağlık kuruluşunun da bulunduğu beş ABD şirketine şantaj yapmak için Alphv/BlackCat fidye yazılımını bir komploda kullanmakla suçlanıyor. ABD federal savcıları, mağdur şirketlerden birinin – tıbbi cihaz üreticisinin – yaklaşık 1,3 milyon dolarlık bir gasp talebinde bulunduğunu söyledi.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
ABD Adalet Bakanlığı’nın mahkeme belgelerinde, Mayıs ve Kasım 2023 arasında Roanoke, Teksas’tan Ryan Clifford Goldberg ve Watkinsville, Georgia’dan Kevin Tyler Martin’in BlackCat veya ALPHV fidye yazılımı türünü beş firmaya karşı kullandıkları iddia ediliyor: Tampa, Florida merkezli bir tıbbi cihaz şirketi, Maryland’de bir ilaç şirketi, bir doktor muayenehanesi ve her ikisi de Kaliforniya’da bulunan bir mühendislik şirketi ve Virginia’da bir drone üreticisi.
Bu hafta açıklanan 2 Ekim iddianamesinde yer almayan, adı henüz açıklanmayan üçüncü bir suç ortağının da bu olaya karıştığından şüpheleniliyor.
ABD’li savcılara göre, üç kişi de iddia edilen gasp saldırılarını gerçekleştirirken siber güvenlik hizmetleri şirketlerinde çalışıyordu.
Savcılar, Martin ve adı açıklanmayan işbirlikçinin DigitalMint’te fidye yazılımı müzakerecileri olduğunu, Goldberg’in ise Sygnia’da olay müdahale yöneticisi olarak çalıştığını ve savcıların iddiasına göre üç kişiye de savunmacıları alt etmek için önkoşul bilgileri veriyordu.
Mahkeme belgelerine göre, iki zanlının – Martin ve Goldberg – şirket ağlarını ihlal ederek, verileri çalarak, dosyaları şifrelemek için BlackCat fidye yazılımını kullanarak ve kurbanları zorla kripto para birimi ödemeleri göndermeye zorlayarak bilgilerini ve içeriden bilgi sahibi olma konumlarını kullanarak kendilerini zenginleştirdikleri iddia ediliyor.
Birden Fazla Kurban
13 Mayıs 2023’te veya buna yakın bir tarihte, bir tıbbi cihaz şirketine karşı ilk gasp girişimi gerçekleştirildi ve 10 milyon dolarlık fidye talebinde bulunuldu. Şirket pazarlık yaptı ve sonunda saldırganlara yaklaşık 1,3 milyon dolar ödedi.
Aynı ayın ilerleyen saatlerinde, açıklanmayan bir fidye talebiyle bir ilaç şirketi de hedef alındı. Temmuz 2023’e gelindiğinde saldırganlar dikkatlerini Kaliforniya’daki bir tıbbi muayenehaneye kaydırdı ve 5 milyon dolar talep etti. Ekim ve Kasım 2023 arasında saldırganlar Kaliforniya merkezli bir mühendislik şirketini ve Virginia’daki bir drone üreticisini hedef aldı. Bugüne kadar mahkeme belgeleri yalnızca Florida merkezli tıbbi cihaz şirketinin fidye talebini ödemeyi kabul ettiğini gösteriyor.
Martin ve Goldberg’in her biri gasp, eyaletlerarası ticarete gasp yoluyla müdahale etmek için komplo kurmak ve korunan bir bilgisayara kasıtlı olarak zarar vermekle suçlandı. Eski siber güvenlik görevlilerine karşı uygulanan suçlamalar, federal hapishanede maksimum 50 yıla kadar ceza taşıyabilir.
Sygnia Çarşamba günü ISMG’ye yaptığı açıklamada Goldberg’in şirkette bir çalışan olduğunu doğruladı. “Durumun öğrenilmesi üzerine işine son verildi. Sygnia bu soruşturmanın hedefi olmasa da FBI ile yakın çalışmaya devam ediyoruz. Devam eden federal soruşturma hakkında daha fazla yorum yapamayız.”
Goldberg’in savunma avukatı Bilgi Güvenliği Medya Grubu’nun yorum talebini reddetti.
DigitalMint, çarşamba günü ISMG’ye yaptığı açıklamada, iddianamede adı geçen çalışanlarından biri olan Martin ve muhtemelen ikinci bir çalışanın, şirketin hiçbir kaynağını içermeyen ve bilgisi dışında fidye yazılımı saldırılarına “düzenlemek ve katılmakla” suçlandığını da doğruladı.
“Eski çalışanın, tamamen kendi işinin kapsamı dışında hareket ederek, iddiaya göre biri isimli iki kişiyle komplo kurduğu ortaya çıktı. [Goldberg] DigitalMint, “ve adı verilmeyen bir kişinin (sonuncusu aynı zamanda bir şirket çalışanı olabilir) saldırıları gerçekleştirmek için AlphV/Blackcat fidye yazılımını kullandığını” söyledi.
Şirket, “Beklendiği gibi iddianame, şirketin suç faaliyeti hakkında herhangi bir bilgisi veya katılımı olduğunu iddia etmiyor. DigitalMint, soruşturmanın hedefi değil, soruşturmada işbirliği yapan bir tanık olmuştur ve olmaya devam etmektedir” dedi.
Açıklamada, “Suçlama, DigitalMint’in altyapısı ve sistemleri dışında gerçekleşti. İşbirlikçileri, suçlanan davranışın bir parçası olarak müşteri verilerine erişmedi veya bu verileri tehlikeye atmadı” denildi.
“Kayıtlı bir Para Hizmeti İşletmesi olarak DigitalMint, gerekli tüm federal uyumluluk standartlarına uyuyor ve SOC 2 Tip 2 onayına ek olarak güçlü iç kontrolleri sürdürüyor. Suçlanan programa dahil olma potansiyeli olan hiç kimse, dört aydan fazla bir süredir şirkette çalışmadı.”
Martin’in avukatı ISMG’nin yorum talebine hemen yanıt vermedi.
Davanın görüldüğü Florida’nın güney bölgesindeki ABD adalet bakanlığı ofisi, ISMG’nin davayla ilgili yorum taleplerine hemen yanıt vermedi.
FBI, ISMG’ye yaptığı açıklamada şunları söyledi: “Ödeneklerdeki mevcut kesinti sırasında, Adalet Bakanlığı operasyonları ulusal güvenliğe, federal yasa ihlallerine ve temel kamu güvenliği işlevlerine yöneliktir. Bu işlevler dışındaki soruşturmalar, ödeneklerdeki kesinti sona erdiğinde dikkate alınacaktır.”
Planlanan Denemeler
Mahkeme kayıtları Goldberg’in 7 Ekim’de mahkemeye çıkarıldığını ve halen gözaltında tutulduğunu gösteriyor. Martin de 7 Ekim’de mahkemeye çıkarıldı ve 400.000 dolarlık kefalet karşılığında serbest bırakıldı. Goldberg’in 17 Kasım’da Miami federal adliyesinde başlayacak iki haftalık duruşması planlanıyor. Martin’in iki haftalık duruşmasının 1 Aralık’ta aynı mahkemede başlaması planlanıyor.
Düzenleme avukatı Rachel Rose, fidye yazılımı saldırıları düzenlediği iddiasıyla suçlanan iki eski siber güvenlik firması çalışanına yönelik iddialarla ilgili bazı hususların öne çıktığını söyledi.
“Bu, kümesleri koruyan tilkinin klasik bir örneği olarak göze çarpıyor. Tilkiyi kim izliyor? Başlamak için ilk adım, yeterli geçmiş araştırması yapmaktır” dedi.
Şu ana kadar ne DigitalMint ne de Sygnia, Martin ve Goldberg aleyhindeki iddialara dahil edilmemiş olsa da, “şirketlerin, gelişmiş bir siber veya teknoloji uzmanının erişemeyeceği veya bağımsız ve bilinmeyen bir üçüncü taraf tarafından izlenmesi gereken erişimi izleyebilen yazılımı değerlendirmesi gerekiyor” dedi.
Siber güvenlik firmalarının “çok bilgili siber profesyonellerin kontrolsüz kalmaması için yeterli teknik önlemlerin mevcut olmasını” sağlamaları kritik önem taşıyor.
Ayrıca Rose, şirketlerin özellikle tatil yaklaşırken hem iç hem de dış saldırılara karşı özellikle dikkatli olmalarını öneriyor.
“Siber suçlular, insanların dikkati başka bir yerde olduğunda, ne zaman saldıracaklarını biliyorlar. Güvenilir bir üçüncü taraf adli tıp şirketinin devreye girmesini gerektirebilecek mevcut politikaları ve prosedürleri, eğitimleri ve teknik önlemleri şimdi değerlendirmek, aşağı yöndeki birçok endişeyi ortadan kaldırabilir.”
BlackCat veya AlphV, ilk olarak 2021’in sonlarında ortaya çıktı ve başta sağlık sektörü olmak üzere kritik altyapı sağlayıcılarına yönelik çok sayıda yüksek profilli saldırıyla bağlantılı, üretken bir fidye yazılımı ve gasp grubudur.
BlackCat’in arkasındaki grup, geçen yıl UnitedHealth Group’un yan kuruluşu Change Healthcare’e düzenlenen ve 22 milyon dolarlık fidye ödemesiyle ve 193 milyon kişinin kişisel verilerinin ele geçirilmesiyle sonuçlanan saldırının sorumluluğunu üstlendi.