Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Operasyon Checkmate, Rusça konuşan büyük fidye yazılımı gruplarından birini bozar
Mathew J. Schwartz (Euroinfosec) •
28 Temmuz 2025
Uluslararası bir kolluk operasyonu, yüzlerce kurbana bağlı bir fidye yazılımı grubu ve yarım milyar doları aşan fidye taleplerini bozdu.
Ayrıca bakınız: En son Geter ATT & CK değerlendirmeleri için tam kılavuz
ABD İç Güvenlik Bakanlığı soruşturmaları Perşembe günü, grubun kara web veri sızıntısı blog ve müzakere sitelerini ele geçirdi ve bu da bir yayından kaldırma bildirimine karar verdi.
Operasyon checkmate’i kodladı, baskı, FBI ve ABD Adalet Bakanlığı ve İngiltere’nin ulusal suç ajansı ve Ukrayna’nın Siber Polisi de dahil olmak üzere bir düzineden fazla kolluk kuvvetini içeriyordu.
Blacksuit genellikle 1 milyon ila 10 milyon dolar arasında – ancak bir durumda 60 milyon dolar – her yeni kurbandan Bitcoin’de ödenmesi istedi, FBI ve CISA’dan Ağustos 2024 ortak uyarısı uyardı. Federal hükümet, grubu bilinen fidye taleplerinde 500 milyon dolardan fazla bağladı.
Tehdit istihbaratını paylaşarak operasyonu desteklediğini söyleyen güvenlik firması Bitdefender, Blacksuit’in ilk olarak 2023 yazında ortaya çıktığını kaydetti. Tehdit oyuncusu, veri sızıntısı sitesinde 185’ten fazla ödeme yapmayan kurban listeledi. Bir kurban fidye ödese bile, bu, suçluların vaatlerini tuttuğu anlamına gelmiyordu. “2024’ün sonlarında grup, yaklaşık 3 milyon dolarlık bir fidye ödemesi aldıktan sonra bilinen bir kurbanın verilerini sızdırdı.” Dedi.
Blacksuit’in bozulması, daha büyük fidye ödemeleri peşinde daha büyük kurbanları kripto-kilitleyen kötü amaçlı yazılımlarla hedefleyen kaos fidye yazılımı olarak yeniden markalaşmaya çalışırken grubun liderliğini yakalamış olabilir.
Cisco Talos, Perşembe günü bir raporda, ilk olarak Şubat ayında ortaya çıkan kaosun “ılımlı güvenle” değerlendirildi “, fidye yazılımlarının şifreleme metodolojisindeki, fidye notu ve saldırılarda kullanılan araç setindeki benzerliklere dayanan Blacksuit (Royal) çetesinin eski üyeleri tarafından oluşturuldu.”
Grubun iştiraklerine bağlı özel taktikler, teknikler ve prosedürler arasında “düşük çaba spam selleri, erişim için sese dayalı sosyal mühendisliğe yükselen”, ardından müşterilerin BT ekipleri tarafından meşru izlenmesi ve yönetilmesi için tasarlanmış uzak izleme ve yönetim araçları kuran saldırganlar, sızdırılmış ağlara ve sunum verilerine uzaktan erişimi sürdürmektedir.
Bitdefender, Royal, Mayıs 2023’e kadar operasyonlara başlamış gibi görünen Blacksuit olarak yeniden markalaşmadan önce Ocak 2023’ten Temmuz 2023’e kadar faaliyet gösterdi. Kraliyet, ilk olarak Quantum adlı bir grup olarak kötü şöhretli Rusça konuşan Conti grubundan döndü, Tehdit istihbarat firması Redsense’nin ortağı Yelisey Boguslavskiy (bkz: bkz: Conti’nin mirası: Fidye yazılımının en çok aranan ne oldu?).
Conti’nin çöküşü kibirlerinden geldi. Grubun liderliği, Rusya Cumhurbaşkanı Vladimir Putin’in Ukrayna’ya karşı fetih savaşını açıkça destekledi ve grubun Kremlin’e karşı yaptırımları ihlal etme konusunda gergin şirketlerden kurutulduğu gruba fidye yazılımı ödemelerine neden oldu. Conti, yeni kuruluşlar operasyonlarını geliştirmiş olsa bile, grubun devam eden bir endişe olarak kaldığını öne sürmek için Kosta Rika’ya karşı bir saldırı kullanarak birden fazla varlıktan döndü.
O zamandan beri, Kraliyet ve Sonra Blacksuit’in liderliği, en azından halka açık profilin azlıklarına dayanarak daha az daha az bir tanıtım yaklaşımı seçmiş gibi görünüyor. Bitdefender, “Conti sızıntısından öğrenilen dersleri aldılar ve gelecekteki sızıntıların olasılığını azaltmak için daha ayrı bir şekilde çalıştılar.” Dedi.
Özellikle, grup, saldırı başlatmak için bağlı iş ortaklarını kullanan bir hizmet olarak fidye yazılımı olarak çalışmak yerine özel kalıyor.
Operasyonel güvenliğe odaklanmak temettü ödemiş olabilir. Boguslavskiy, LinkedIn’e yaptığı bir yazıda, Blacksuit’in “Rusça konuşan en büyük fidye yazılımı kolektifi gibi göründüğünü” söyledi, ancak Grubun Conti’ye bağlı olması nedeniyle Ocak ayından bu yana markasını büyük ölçüde terk etmiş. Grubun saldırılarında büyük ölçüde INC fidye yazılımı kullandığını, ayrıca “Lynx ve Akira gibi müttefik sendikalar” kullandığını söyledi, ancak Mayıs ayından beri blacksuit’i yeniden markaya hazırlamış gibi görünüyor.
Boguslavskiy, en azından grubun operasyonlarını duraklatan Checkmate Operasyonu sayesinde yeniden markanın planlandığı gibi devam edemeyeceğini söyledi. “Birincil kaynaklar, bunun gruba ve özellikle de kaos girişimine çok fazla dikkat çeken yayından kaldırma tarafından beklemeye alındığını gösteriyor.” Dedi. “Bu nedenle, şimdilik, gölgelerden çalışan Rusça konuşan en büyük fidye yazılımı kolektiflerinden birini göreceğiz, bu da kesinlikle fidye yazılımı manzarası için eşsiz bir durum.”