Belarus-Ukrayna uyruklu Maksim Silnikau, 2021 yılında Ransom Cartel fidye yazılımı operasyonunu oluşturma ve 2013-2022 yılları arasında kötü amaçlı reklamcılık operasyonu yürütme suçlamalarıyla İspanya’da tutuklanarak ABD’ye iade edildi.
Tehdit aktörü, Rusça konuşulan bir bilgisayar korsanlığı forumunda “JP Morgan”, “xxx” ve “lansky” takma adlarıyla faaliyet gösteriyordu ve siber suç operasyonlarını teşvik ettiği iddia ediliyordu.
Yetkililer, biri kötü amaçlı reklamcılık operasyonuyla ilgili olmak üzere New Jersey Bölgesi’nde, diğeri ise Fidye Karteli operasyonuyla ilgili olarak Virginia Doğu Bölgesi’nde olmak üzere iki ayrı iddianame açtı.
Kötü amaçlı reklam operasyonundaki rolleri nedeniyle suç ortakları Belarus ve Ukrayna uyruklu 38 yaşındaki Volodymyr Kadariya ile Rus uyruklu 33 yaşındaki Andrei Tarasov da suçlandı.
“Bu komplocuların, dünya çapında milyonlarca şüphesiz internet kullanıcısının bilgisayarlarına kötü amaçlı yazılım dağıtmak için uzun yıllar süren bir plan yürüttükleri iddia ediliyor,” dedi New Jersey Bölgesi ABD Savcısı Philip R. Sellinger. “Planı yürütmek için, kurbanları meşru görünen internet reklamlarına tıklamaya kandırmak için kötü amaçlı reklamcılık veya ‘kötü amaçlı reklamcılık’ kullandılar.”
İngiltere Ulusal Suç Ajansı, Silnikau’nun tutuklanma anına ait videoyu Twitter’da paylaştı.
NCA tarafından koordine edilen uluslararası bir operasyon, dünyanın en üretken Rusça konuşan siber suç aktörlerinden biri olduğuna inanılan bir adamın tutuklanması ve iadesiyle sonuçlandı.
TAM HİKAYE https://t.co/kgPdMAwqPZ resim.twitter.com/MVjRLco55R
— Ulusal Suç Ajansı (NCA) (@NCA_UK) 13 Ağustos 2024
Fidye Karteli operasyonu
Ransom Cartel, Aralık 2021’de başlatılan ve şifreleyicisinin REvil ailesiyle kapsamlı kod benzerlikleri içeren bir fidye yazılımı operasyonudur.
Güçlü bir karartmanın olmaması, analistleri bunun REvil’de bulunan karartma motorundan yoksun bir çekirdek üyenin yaratımı olduğunu ve siber suçlulardan oluşan aynı ekibin yeniden başlattığı/yeniden markalaştırdığı bir şey olmadığını varsaymaya yöneltti.
İddianameye göre Silnikau, Ransom Cartel’i kurup yönetiyor, “fidye yazılımı hizmeti” operasyonunu yönetiyor ve saldırılara katılmaları için Rusça konuşulan forumlardan diğer siber suçluları işe alıyordu.
Ayrıca, ihlal edilen kurumsal ağlara erişim sağlayan, mağdurlarla iletişimi yöneten ve fidye ödemelerini gerçekleştiren “ilk erişim aracıları” (IAB’ler) ile de pazarlık yaptı.
Silnikau ayrıca paranın izini gizlemek ve kolluk kuvvetlerinin çabalarını zorlaştırmak için kripto para karıştırıcıları aracılığıyla fidye ödemeleri aktardı ve operasyonda açıkça merkezi bir rol oynadı.
.png)
Kaynak: BleepingComputer
Reveton fidye yazılımı
NCA ayrıca Silnikau’nun, fidye ödenene kadar kullanıcıların işletim sistemine erişimini engelleyen kötü şöhretli Reveton Truva atının da arkasında olduğunu belirtiyor.
2011 yılında piyasaya sürülen kötü amaçlı yazılım, çocuk pornografisi ve telif hakkıyla korunan materyal tespit edildiğinde kolluk kuvvetlerinin bilgisayarı kilitlemesi gibi görünüyordu.
Bilgisayara erişim sağlamak için kurbanların MoneyPak, PaySafeCard veya diğer çevrimiçi ödeme yöntemleriyle fidye göndermeleri gerekiyordu.
Kaynak: BleepingComputer
2012-2014 yılları arasında çeşitli siber suçlulara kar amacıyla satılan Reveton, günlük 400 bin dolar gelir elde etti.
Kötü amaçlı reklamcılık operasyonu
Davalı ayrıca Ekim 2013’ten Mart 2022’ye kadar büyük ölçekli bir kötü amaçlı reklamcılık planının düzenlenmesi ve yürütülmesinde öncü bir rol oynadı.
Başlıca sorumlulukları arasında, meşru görünen ancak kullanıcıları kötü amaçlı yazılım, dolandırıcılık ve çevrimiçi dolandırıcılık içeren sitelere yönlendiren kötü amaçlı reklamlar geliştirmek ve dağıtmak vardı.
Operasyon özellikle şunları dağıttı:
- Angler Exploit Kiti (AEK): Web tarayıcılarındaki ve bunlara yüklenen eklentilerdeki kusurları istismar ederek, tehlikeye atılan cihazlara ek yükler göndermek için tasarlanmıştır.
- Dolap kötü amaçlı yazılımı: Mağdurun verilerine erişmesini engelleyen ve genellikle erişimi geri yüklemek için ödeme talep eden bir tür ‘hafif’ fidye yazılımı aracı.
- Korkutma yazılımı: Sahte uyarılar yoluyla mağdurların bilgisayarlarına virüs bulaştığını iddia eden ve onları zararlı yazılımlar indirmeye veya siber suçlulara kişisel bilgilerini vermeye yönlendiren aldatma araçları.
Silnikau, kötüye kullanılan reklam platformlarını aldatmak için çeşitli çevrimiçi takma adlar ve sahte şirketler kullandı ve bu plan aracılığıyla ele geçirilen cihazlara erişim satışı yapılmasında doğrudan rol oynadı.
Ayrıca kötü amaçlı kampanyaları daha etkili bir şekilde yönetmek ve hedeflemek için Trafik Dağıtım Sistemleri (TDS’ler) gibi teknik altyapının geliştirilmesi ve bakımı konusunda iş birliği yaptı.
Angler, zirve döneminde tüm exploit kit enfeksiyonlarının %40’ını oluşturuyordu, yaklaşık 100.000 cihazı hedef alıyordu ve tahmini yıllık cirosu yaklaşık 34 milyon dolardı. – NCA
Maksim Silnikau, her iki iddianamedeki suçlamalar temelinde, elektronik dolandırıcılık, bilgisayar dolandırıcılığı, bilgisayar dolandırıcılığı ve kötüye kullanımı, ağırlaştırılmış kimlik hırsızlığı ve erişim cihazı dolandırıcılığı nedeniyle hapis cezaları da dahil olmak üzere ciddi hukuki sonuçlarla karşı karşıyadır.
Silnikau, tüm suçlamalardan hüküm giymesi halinde 100 yılı aşan bir hapis cezasına çarptırılabilir; ancak cezaların aynı anda çekilmesi nedeniyle ceza verme süresi genellikle çok daha kısadır.