BlackBasta fidye yazılımı grubu ve Rus barındırma şirketi Media Land ile bağlantılı sızıntılar, savunucuların nadiren görebildikleri bir şeyin perdesini araladı: büyük bir fidye yazılımı operasyonunun arkasındaki dahili makineler ve kişiler.
Şubat 2025’te, ExploitWhispers kullanıcı adını kullanan bilinmeyen bir kişi Telegram’da ortaya çıktı ve Matrix messenger’dan BlackBasta’nın dahili sohbetlerinin büyük bir arşivini yayınladı.
JSON dosyası olarak yayınlanan döküm, 18 Eylül 2023 ile 28 Eylül 2024 arasında alınıp verilen yaklaşık 200.000 mesajı içeriyordu.
İçeride yalnızca teknik tartışmalar ve operasyonel ayrıntılar değil, aynı zamanda daha sonra yaptırım listelerinde ortaya çıkacak olan gerçek isimler de vardı: yeraltında daha çok “Slim Shady” olarak bilinen Kirill Zatolokin.
İlk sızıntının etkisi hemen görüldü. Suçlamalar havada uçuştu, aktörler açığa çıktı ve ekosistem içindeki hizipler parmakla gösterilmeye başlandı.
Ardından 28 Mart 2025’te ikinci darbe geldi. Başka bir isimsiz aktör, Media Land’e bağlı bir veritabanını sızdırarak sunucu yapılandırmaları, müşteri satın alma geçmişleri, kullanıcı hesabı verileri ve şirketin operasyonlarına bağlı kripto para birimi adresleri gibi dahili kayıtları ortaya çıkardı.
İhlal Nasıl Oldu?
Kağıt üzerinde Media Land “meşru” bir Rus barındırma sağlayıcısıydı. Pratikte sızdırılan veriler, yeraltındaki birçok kişinin zaten şüphelendiği şeyi doğruladı: Media Land, yaklaşık 2009’dan bu yana siber suçluların temel altyapı tedarikçisi olan uzun süredir devam eden kurşun geçirmez barındırma (BPH) hizmeti Yalishanda ile sıkı bir şekilde iç içe geçmiş durumdaydı.
Bu durum hem soruşturmacılar hem de düzenleyiciler için önemli bir soruyu gündeme getirdi: Kayıtlı bir Rus işletmesi neden siber suç altyapısına bu kadar derinden gömülsün ki? Cevap basit ve anlamlıydı çünkü bu onun gerçek iş modeliydi.
Sızıntılar, BlackBasta’nın operasyonlarının omurgası olarak büyük ölçüde Media Land/Yalishanda’ya güvendiğini gösterdi.
Media Land, özel sunucular ve bant genişliğinden destek ve kötüye kullanıma karşı dirence kadar, o dönemde faaliyet gösteren en aktif fidye yazılımı örgütlerinden biri için birinci sınıf, yüksek temaslı bir sağlayıcı olarak işlev gördü.
Dahili sohbetler, “Slim Shady”nin (Zatolokin) BlackBasta ile barındırma altyapısı arasında bir köprü görevi gördüğünü, hız testlerini paylaştığını, onlarca Gbps’lik bant genişliği kullanımını tartıştığını ve BlackBasta’nın talepleri arttıkça daha yüksek ödemeler için pazarlık yaptığını gösterdi.
Kanıtların bu şekilde birleşmesi, düzenleyiciler için bir açıklık yarattı. 19 Kasım 2025’te, Avustralya ve Birleşik Krallık’taki yetkililerle birlikte çalışan ABD Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi (OFAC), Media Land ve bağlı kuruluşu Veri Merkezi Kirishi’ye yönelik yaptırımları duyurdu.
İki kişinin adı açıklandı: Media Land’in genel müdürü ve Yalishanda’nın uzun süredir operatörü olan Aleksandr Volosovik ve Kirill Zatolokin, siber suç altyapısını ve fidye yazılımı operasyonlarını desteklemedeki doğrudan rolü nedeniyle yaptırıma tabi tutuldu.
Bu isimlerin ardındaki hikaye, siber suç ekosisteminin ne kadar kişisel, hatta karmaşık olabileceğinin altını çiziyor.
Kolluk Kuvvetlerinin Kör Noktaları
İlk kez 2019 raporunda Yalishanda’nın birincil operatörü olarak kamuya açıklanan Volosovik, kötü amaçlı yazılım operatörlerine, fidye yazılımı bağlı kuruluşlarına ve ilk erişim aracılarına hizmet veren kurşun geçirmez barındırma işletmesi için yıllarını harcadı.
Bir zamanlar Çin’de iş arayan iş ilanları yayınlayan Zatolokin, sonunda “Slim Shady” takma adı altında müşterilerle yüzleşen bir operatör ve altyapı koordinatörü olarak ortaya çıktı; müşterileri yönetiyor, performans sorunlarını çözüyor ve suç altyapısını sessizce çevrimiçi tutuyor.
Sızıntılar aynı zamanda perde arkasındaki mali tesisatı da açığa çıkardı. Sohbet kayıtları ve işlem kayıtları, BlackBasta operatörlerinin fidye yazılımı ödemelerinden para aklama kanalları yoluyla fonları nasıl aktardığını, değeri USDT gibi stabilcoinlere nasıl aktardığını ve temizlenen varlıkları altyapı, SOCKS proxy’leri ve personel maaşları için ödeme yapmak için nasıl kullandığını gösteriyor.
BlackBasta ile çalışan bir altyapı yöneticisi olan Lapa’ya kadar takip edilen ödemeler, proxy tedariki ve sunucu yönetimi gibi rollerin tek seferlik geçici anlaşmalar yerine yapılandırılmış, tekrarlanabilir bir operasyonun parçası olarak nasıl finanse edildiğini vurguluyor.
BlackBasta sohbetleri ve Media Land veritabanı birlikte ele alındığında, Rusça konuşulan modern bir fidye yazılımı operasyonunun uçtan uca nasıl işlediğine dair nadir bir plan oluşturuyor.
Bunlar, “yasal” cepheler, kurşun geçirmez barındırma, yüksek hacimli bant genişliği anlaşmaları ve suç grupları ile onları çalıştıran altyapı arasında yer alan güvenilir aracılardan oluşan sıkı bir şekilde birbirine bağlı bir ağı ortaya koyuyor.
Yaptırımlar, teşhir ve sızıntılar bu ekosistemi anında ortadan kaldırmayacak. Volosovik ve Zatolokin gibi aktörler alan adlarını değiştirebilir, cüzdanları değiştirebilir ve yeni kullanıcı adlarını benimseyebilir.
Ancak bu açıklamalar savunuculara, analistlere ve kolluk kuvvetlerine son derece değerli bir şey veriyor: somut isimler, altyapı modelleri ve izlenebilen, ilişkilendirilebilen ve zamanla bozulabilen mali akışlar.
Eğer iş fidye yazılımıysa, altyapı da omurgadır. Bu sızıntılar omurganın tam olarak nereye bağlandığını ve bundan sonra nereye basınç uygulanabileceğini gösteriyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.