En yetenekli siber suçlular gerçek isimlerini hacker isimlerinden ayırmak için ellerinden geleni yaparlar. Ancak bazı eski usul Rus hacker’lar arasında, insanların gerçek hayatta kim olduklarını anlamalarını engellemek için pek bir şey yapmamış önemli oyuncular bulmak nadir değildir. Bu fenomenin bir vaka çalışması “x999xx“”, çeşitli fidye yazılımı gruplarına ilk ağ erişimini sağlama konusunda uzmanlaşmış saygıdeğer bir Rus bilgisayar korsanının seçtiği takma addır.
x999xx, genellikle uzaktan erişim kimlik bilgileri biçiminde hacklenmiş kurumsal ağlara ve büyük miktarda kişisel ve finansal veri içeren tehlikeye atılmış veri tabanlarına erişim satan, iyi bilinen bir “erişim aracısıdır”.
Şubat 2019’da yayınlanan bir analizde, siber istihbarat firması Flashpoint, x999xx’i en üst düzey Rusça siber suç forumunun en kıdemli ve üretken üyelerinden biri olarak adlandırdı Faydalanmakx999xx’in sıklıkla çalıntı veri tabanlarının ve ağ kimlik bilgilerinin satışını reklam ettiği görülüyordu.
Ağustos 2023’te x999xx, gayrimenkul sektörü için yazılım geliştiren bir şirkete erişim sattı. Temmuz 2023’te x999xx, tüm bir ABD eyaletinin vatandaşları için Sosyal Güvenlik numaraları, adlar ve doğum günlerinin satışını duyurdu (müzayedede adı geçmiyor).
Bir ay önce, x999xx Avustralya’nın en büyük perakende şirketinden alınan 80 veritabanı için bir satış başlığı yayınladı. “Bu verileri fidye talep etmek veya farklı bir şey yapmak için kullanabilirsiniz,” diye yazdı x999xx Exploit’te. “Ne yazık ki, kusur hızla düzeltildi. [+] henüz kimse verileri kullanmadı [+] veriler spam göndermek için kullanılmadı [+] “Veriler zamanını bekliyor.”
Ekim 2022’de x999xx, ABD’li bir sağlık hizmeti sağlayıcısına idari erişim sattı.
TAKMA AD: MAXNM
x999xx adlı en eski hesap 2009 yılında Rusça siber suç forumunda ortaya çıktı Doğrulandıe-posta adresi altında [email protected]Ozersk, Rusya’nın batı-orta kesiminde Çelyabinsk bölgesinde bir şehirdir.
İhlal izleme hizmeti Constella Intelligence’a göre [email protected] adresi on yıldan uzun bir süre önce bir hesap oluşturmak için kullanılmıştı. Vkton saatleri (Facebook’un Rusça karşılığı) adı altında Maksim Kirtsov Ozersk’ten. Bay Kirtsov’un profili — “maksimumnm” — doğum gününün 5 Eylül 1991 olduğunu söylüyor.
Maxnm’in 2016 yılında Vktontakte’de paylaştığı kişisel fotoğraflar. Açıklama Rusçadan makine çevirisiyle yapılmıştır.
x999xx kullanıcısı Rusça dilindeki siber suç topluluğuna kaydoldu Zloy 2014 yılında e-posta adresini kullanarak [email protected]Constella, bu e-posta adresinin 2022 yılında Rus nakliye hizmetinde kullanıldığını söylüyor cdek.ru bir tarafından Maksim Georgiyeviç Kirtsov Ozersk’ten.
Bu iletişim bilgileri üzerinde yapılan ek aramalar, 2009’dan önce x999xx’in Rus siber suç forumlarında Maxnm adını tercih ettiğini ortaya koyuyor. Siber istihbarat şirketi Intel 471, 2006’da Zloy’da kayıtlı Maxnm kullanıcısını, Chelyabinsk’teki bir İnternet adresinden, e-posta adresini kullanarak buluyor [email protected].
Aynı e-posta adresi, diğer birçok suç forumunda Maxnm hesapları oluşturmak için kullanıldı; bunlara şunlar dahildir: spam nokta Ve Faydalanmak 2005 yılında (aynı zamanda Çelyabinsk’ten) ve Hasar laboratuvarı 2006 yılında.
Kirtsov’un tam adının Rusça versiyonunun Constella’da aranması — Kirtsov Maksim Georgiyeviç — kayıtlı birden fazla hesabı getirir [email protected].
[email protected] adresindeki dijital ayak izinin incelenmesi osint.endüstriler bu adresin on yıl önce hala aktif bir hesap kaydetmek için kullanıldığını ortaya koyuyor imageshack.com x999xx adı altında. Bu hesapta çeşitli bankalardan alınan finansal tabloların çok sayıda ekran görüntüsü, diğer hacker’larla yapılan sohbet kayıtları ve hatta hacklenmiş web siteleri yer alıyor.
x999xx’in Imageshack hesabında düzinelerce finans kuruluşuna ait banka hesap bakiyelerinin ekran görüntüleri, diğer hacker’larla yapılan sohbet kayıtları ve evde yetiştirilen esrarın resimleri yer alıyor.
Imageshack hesabındaki bazı fotoğraflar Kirtsov’un Vkontakte sayfasında da yer alıyor. Bunlar arasında sahip olduğu araçların görüntüleri ve saksıdaki marihuana bitkilerinin görüntüleri de yer alıyor. Kirtsov’un Vkontakte profili, 2012 yılında Ozersk Teknoloji Enstitüsü Ulusal Araştırma Nükleer Üniversitesi.
Vkontakte sayfası Kirtsov’un mesleğini şu şekilde bir web sitesi olarak listeliyor: Ozersk[.]Bugünyüzeyde Ozersk’teki yaşam hakkında bir blog gibi görünüyor. Ancak, 2019’da güvenlik firması Kaydedilmiş Gelecek Bu etki alanının kötü amaçlı bir barındırma için kullanıldığını tespit eden bir blog yazısı yayınladı Kobalt Grevi sunucu.
Cobalt Strike, yalnızca denetlenmiş ortaklara satılan ticari bir ağ penetrasyon testi ve keşif aracıdır. Ancak çalınan veya haksız yere elde edilen Cobalt Strike lisansları, siber suç çeteleri tarafından kurban ağına fidye yazılımı kurulumunun temellerini atmak için sıklıkla kötüye kullanılır.
Ağustos 2023’te x999xx, Exploit’te Cobalt Strike’ın lisanslı bir sürümünü satın almakla ilgilendiğini belirten bir mesaj yayınladı. Bir ay önce x999xx, Exploit’te adlı başka bir forum üyesine karşı bir şikayette bulundu Kobalt kuvvetitopluluktan aniden ve uzun süre kaybolması x999xx ve diğerlerini zor durumda bırakan, görünüşe göre eski bir ortak. Cobaltforce, fidye yazılımı operasyonları için Cobalt Strike kullanma konusunda deneyimli kişileri işe aldı ve kârın bir kısmı karşılığında hacklenmiş ağlara erişimi paraya çevirmeyi teklif etti.
DomainTools.com ozersk’i buldu[.]bugün e-posta adresine kayıtlıydı [email protected]ayrıca yaklaşık iki düzine başka alan adının kaydedilmesinde de kullanıldı, bunlar arasında x999xx[.]iş. Bu alan adlarının neredeyse tamamı Ozersk’ten Maxim Kirtsov’a kayıtlıydı. Aşağıda bu hikayede bahsi geçen kimlikleri takip etmek için kullanılan bir zihin haritası bulunmaktadır.
x999xx’i Max Kirtsov’a bağlayan veri noktalarının görsel tasviri.
Intel 471’e göre x999xx, yaklaşık on yıldır 2.000’den fazla gönderisi olan Rus webmaster forumu “Gofuckbiz”in üretken bir üyesidir. 2016’dan bir gönderide x999xx, güneş ışığını simüle eden bir ısı lambası nereden satın alabileceğini bilen olup olmadığını sormuş ve evcil tavşanlarından birinin yakın zamanda yeterli ışık ve ısı eksikliğinden öldüğünü açıklamıştır. Bay Kirtsov’un Vkontakte sayfasında 2015 ve öncesinden kafesteki tavşanların birkaç resmi bulunmaktadır.
ONAYLA
E-posta yoluyla ulaşılan Bay Kirtsov, x999xx olduğunu kabul etti. Kirtsov, kendisinin ve ekibinin KrebsOnSecurity’nin düzenli okuyucuları olduğunu söyledi.
“Sizi duyduğumuza ve okuduğumuza seviniyoruz,” diye yanıtladı Kirtsov.
Çalışmasının yasal ve ahlaki sonuçları konusunda endişe duyup duymadığı sorulduğunda Kirtsov, fidye yazılımı saldırılarındaki rolünü küçümseyerek, daha çok veri toplamaya odaklandığını söyledi.
“Kendimi sizin kadar etik uygulamalara bağlı görüyorum,” diye yazdı Kirtsov. “Ayrıca bir araştırmaya başladım ve şu anda öğrencilere akıl hocalığı yapıyorum. Muhtemelen incelediğiniz yeni aracı kullanarak, kamu kaynaklarından toplanan bilgiler aracılığıyla bildiğinizi varsaydığım bir forumdaki faaliyetlerimi fark etmiş olabilirsiniz.”
“Erişim satışı hakkındaki paylaşımlarımla ilgili olarak, dürüstçe itiraf etmeliyim ki, kendi eylemlerimi gözden geçirdiğimde, bu tür ifadeleri hatırlıyorum ancak bunların asla gerçekleşmediğine inanıyorum,” diye devam etti. “Birçok kişi forumu kendi çıkarları için kullanıyor, bu da satılık hedef listelerinin neden azaldığını açıklıyor – artık uygulanabilir olmaktan çıktılar.”
Kirtsov, sağlık kuruluşlarına zarar vermekle ilgilenmediğini, sadece verilerini çalmakla ilgilendiğini ileri sürdü.
“Sağlık konularına gelince, bir zamanlar her 1000 sağlık temalı e-posta için 50 dolara kadar ödeme yapan zengin web yöneticileriyle tanışmıştım,” dedi Kirtsov. “Bu nedenle, röntgenler, sigorta numaraları veya hatta isimler gibi tıbbi kurumlardan gelen daha hassas verilerle ilgilenmiyordum; yalnızca e-postalara odaklandım. SQL konusunda yetenekliyim, dolayısıyla kimlikler ve e-postalar gibi verileri işlemekte rahatım. Ve asla spam veya buna benzer bir şey yapmıyorum.”
Rus suç forumlarında x999xx, Rusya’da hiçbir zaman hiçbir şeyi veya kimseyi hedef almadığını ve yabancı düşmanlara odaklanmaya devam ettiği sürece yerel kolluk kuvvetlerinden korkması için bir sebep olmadığını söyledi.
x999xx’in kişisel güvenliğe yönelik umursamaz yaklaşımı, Wazawakasayısız kuruluşa erişim satan ve hatta kendi fidye yazılımı iştirak programlarını işleten bir diğer önemli Rus erişim aracısıdır.
Wazawaka kendi kişisel mantrası için “Yaşadığın yerde sıçma, yerel seyahat et ve yurtdışına çıkma” dedi. “Rusya Ana sana yardım edecek. Ülkeni sev ve her zaman her şeyden sıyrılacaksın.”
Ocak 2022’de KrebsOnSecurity, Wazawaka’nın geride bıraktığı ipuçlarını takip ederek onu 32 yaşında olarak tanımladı Mihail Matveev Rusya’nın Hakasya bölgesinden. Mayıs 2023’te, ABD Adalet Bakanlığı Matveev’i, kurban örgütlerden topluca yüz milyonlarca dolar gasp eden birkaç fidye yazılımı grubundaki kilit isim olarak suçladı. ABD Dışişleri Bakanlığı Matveev’in yakalanması ve/veya yargılanması için bilgi verenlere 10 milyon dolar ödül vaat ediyor.
Belki de birçok üst düzey fidye yazılımı suçlusunun Rusya’da kaldıkları sürece büyük ölçüde dokunulmaz olduğunun farkına vararak, batılı kolluk kuvvetleri bu kişilerin kafalarının içine girmeye daha fazla odaklanmaya başladı. Bu sözde “psikolojik operasyonlar”, fidye yazılımı hizmeti olarak operasyonlara sızmayı, büyük siber suç hizmetlerini aksatmayı ve siber suçlu toplulukları arasındaki güveni azaltmayı hedefliyor.
ABD ve İngiltere’deki yetkililer Şubat 2024’te kötü şöhretli terör örgütünün kullandığı altyapıya sızdıklarını ve ele geçirdiklerini duyurduklarında, Kilit biti Fidye yazılımı çetesi, LockBit’in kurbanları utandırma amaçlı web sitesinin mevcut tasarımını ödünç alarak bunun yerine kaldırma işlemiyle ilgili basın bültenlerine bağlantı verdi ve sonunda LockBit’in iddia edilen liderinin kişisel bilgileriyle değiştirilen bir geri sayım sayacı ekledi.
Mayıs 2024’te, Amerika Birleşik Devletleri ve Avrupa’daki kolluk kuvvetleri, fidye yazılımı ve veri çalan kötü amaçlı yazılımlar dağıtan en popüler siber suç platformlarından bazılarına karşı koordineli bir eylem olan Operation Endgame’i duyurdu. Operation Endgame web sitesi ayrıca, yerleşik siber suçluların hizmetlerini çevrimiçi olarak tanıtmak için sıklıkla ürettikleri aynı türden gösterişli, kısa reklamları taklit eden birkaç animasyonlu videonun yayınlanmasını teşvik etmek için kullanılan bir geri sayım sayacı içeriyordu.