Adalet Bakanlığı bugün, FBI’ın ALPHV fidye yazılımı operasyonunun sunucularını, faaliyetlerini izlemek ve şifre çözme anahtarlarını almak için başarıyla ihlal ettiğini duyurdu.
BleepingComputer ilk olarak 7 Aralık’ta, fidye yazılımı çetesinin Tor anlaşması ve veri sızıntısı siteleri de dahil olmak üzere ALPHV, yani BlackCat web sitelerinin aniden çalışmayı durdurduğunu bildirdi.
ALPHV yöneticisi bunun bir barındırma sorunu olduğunu iddia ederken, BleepingComputer bunun bir kolluk kuvvetleri operasyonuyla ilgili olduğunu öğrendi.
Bugün Adalet Bakanlığı, FBI’ın ALPHV’nin altyapısına erişmelerine izin veren bir kolluk kuvveti operasyonu yürüttüğünü belirterek raporumuzu doğruladı.
Bu erişim sayesinde FBI fidye yazılımı operasyonunu aylarca sessizce izledi, şifre çözme anahtarlarını ele geçirdi ve bunları 500’den fazla kurbanla paylaştı, böylece şifre çözücü için fidye ödemek zorunda kalmadılar.
FBI, diğer kurbanların dosyalarını ücretsiz olarak kurtarmasına olanak tanıyan bir şifre çözme aracı oluşturduklarını söylüyor. Etkilenen şirketlerin şifre çözücüye nasıl erişebilecekleri konusunda bilgi almak için yerel FBI saha ofisleriyle iletişime geçmeleri gerekiyor.
Adalet Bakanlığı, “FBI, ülke genelindeki FBI saha ofislerinin ve dünya çapındaki kolluk kuvvetleri ortaklarının, etkilenen 500’den fazla kurbana sistemlerini geri yükleme olanağı sunmasına olanak tanıyan bir şifre çözme aracı geliştirdi” dedi.
“Bugüne kadar FBI, bu çözümü uygulamak için Amerika Birleşik Devletleri’nde ve uluslararası alanda düzinelerce kurbanla çalıştı ve çok sayıda kurbanı toplam yaklaşık 68 milyon dolarlık fidye taleplerinden kurtardı.”
Buna ek olarak FBI, ALPHV’nin veri sızıntısı sitesinin alan adına el koydu; bu sitede artık uluslararası bir kolluk kuvvetleri operasyonunda ele geçirildiğini belirten bir pankart yer alıyor.
Ele geçirme mesajında ”Federal Soruşturma Bürosu, ALPHV BlackCat fidye yazılımına karşı gerçekleştirilen koordineli kolluk kuvvetleri eyleminin bir parçası olarak bu siteyi ele geçirdi” ifadesi yer alıyor.
“Bu eylem, Europol ve Zentrale Kriminalinspektion Guttingen’in önemli desteğiyle Amerika Birleşik Devletleri Florida Güney Bölgesi Başsavcılığı ve Adalet Bakanlığı Bilgisayar Suçları ve Fikri Mülkiyet Bölümü ile koordineli olarak gerçekleştirildi.”
ALPHV sunucularının kesintiye uğramasından bu yana, BleepingComputer’ın mağdurlarla çetenin Tor müzakere sitesini kullanmak yerine doğrudan e-posta yoluyla iletişime geçtiklerini öğrenmesiyle bağlı kuruluşlar operasyona olan güvenlerini kaybediyor.
Bunun nedeni muhtemelen tehdit aktörlerinin ALPHV altyapısının kolluk kuvvetleri tarafından tehlikeye atıldığına ve bunu kullanmaları halinde kendilerini riske atacağına inanmalarıydı.
LockBit fidye yazılımı operasyonu da bu kesintiyi erken bir tatil hediyesi olarak gördü ve bağlı kuruluşlara kurbanlarla müzakereye devam etmek için operasyona geçebileceklerini söyledi.
Emniyet teşkilatından üçüncü ihlal
Bu fidye yazılımı operasyonu yıllar boyunca birden fazla isim altında yürütüldü ve her seferinde kolluk kuvvetleri tarafından ihlal edildi.
Başlangıçta Ağustos 2020’de DarkSide olarak faaliyete geçtiler ve ardından, çetenin Colonial Pipeline’a geniş çapta duyurulan saldırısının neden olduğu kolluk kuvvetleri operasyonlarının yoğun baskısıyla karşılaştıktan sonra Mayıs 2021’de kapatıldılar.
Fidye yazılımı operasyonu daha sonra 31 Temmuz’da BlackMatter olarak geri döndü, ancak Emsisoft’un bir şifre çözücü oluşturmak için bir zayıflıktan yararlanması ve sunucuların ele geçirilmesinin ardından Kasım 2021’de bir kez daha durduruldu.
Ekip, Kasım 2021’de bu kez BlackCat/ALPHV adı altında tekrar geri döndü. O zamandan bu yana fidye yazılımı çetesi, şantaj taktiklerini sürekli olarak geliştirdi ve İngilizce konuşan bağlı kuruluşlarla ortaklık kurmak gibi alışılmadık bir yaklaşım benimsedi.
Bu kolluk kuvvetleri operasyonu nedeniyle fidye yazılımı çetesinin farklı bir ad altında yeniden markalaştığını göreceğiz.