Grup-IB tarafından yapılan yeni bir soruşturma, AltDOS, Desorden, Ghosttr ve 0MID16B dahil olmak üzere birçok takma adın altında çalışan kötü şöhretli bir siber suçlamaya ışık tuttu.
Bu birey, öncelikle Asya ve diğer bölgelerdeki şirketleri hedefleyen küresel olarak 90’dan fazla veri ihlalinden sorumluydu.
Tehdit oyuncusunun modus operandi, internete dönük pencere sunucularından ödün vermeyi, hassas verileri püskürtmek ve kurbanların fidye talepleri yoluyla zorlanmasını içeriyordu.
Mağdurlar uymayı reddettiyse, çalınan veriler karanlık web forumlarında satıldı veya halka açık bir şekilde maruz kaldı ve etkilenen şirketler için önemli finansal ve itibar kayıplarına yol açtı.
Tehdit Oyuncunun Evrimi
Tehdit oyuncusu ilk olarak Aralık 2020’de Altdos olarak ortaya çıktı ve Tayland finans kurumuna yüksek profilli bir saldırı ilan etti.
Altdos, o sırada 3 milyon doların üzerinde bir değere sahip 170 BTC fidye istedi ve talep karşılanmadığında çalınan verileri kamuya attı.
Altdos, zamanla Raidforums gibi platformlarda ihlal edilen veri satmaya geçti ve burada “Altdos” takma adı altında dikkat çekti.
Bununla birlikte, Eylül 2021’de operasyonları durdurdu ve siber suç ekosisteminde kendisini daha zorlu bir figür olarak yeniden markalaştırmayı amaçlayan bir hareket olan Desorden olarak yeniden ortaya çıktı.
Desorden olarak, tehdit oyuncusu Asya şirketlerini hedeflemeye devam etti, taktiklerini geliştirdi ve erişimini genişletti.
Breachforums’daki diğer önemli rakamlarla kısaca işbirliği yaptı, ancak sonuçta tek başına çalışmayı tercih etti.
Desorden’in faaliyetleri, bir aldatmaca raporunun Breachforums’un yasağına yol açmasından sonra durdu ve onu bir kez daha yeniden keşfetmesini istedi.
Bu kez, Asya ve Kanada’da yaklaşık 30 kurbanı hızla biriktirerek Ghosttr olarak ortaya çıktı.
Ghosttr’in iletişim için Tox ve Matrix kullanımı da dahil olmak üzere Desorden ile operasyonel benzerlikleri, Ghosttr’in aynı bireyin başka bir takma adı olduğunu şiddetle önerdi.
Tutuklamak
Tehdit oyuncunun bu takma adlar altındaki faaliyetleri, 26 Şubat 2025’te Kraliyet Tayland Polisi ve Singapur Polis Gücü tarafından ortak bir operasyonda tutuklanmasıyla sona erdi.
Operasyonları boyunca, tehdit oyuncusu, SQL enjeksiyon araçlarını kullanma ve hassas verilere yetkisiz erişim elde etmek için savunmasız web sunucularını kullanma konusunda tutarlı bir model gösterdi.
Kimlikleri uyarlama ve değiştirme yeteneği, birkaç yıl boyunca tespitten kaçınmasına izin verdi, ancak sonuçta taktikleri ve iletişim yöntemleri maruz kalmasına yol açtı.
Araştırma, gelecekteki ihlalleri önlemek için siber suçluların taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) izlemenin ve analiz etmenin önemini vurgulamaktadır.
Tehdit İstihbarat Araması ile Gerçek Dünyanın Kötü Amaçlı Bağlantıları ve Kimlik Yardım Saldırılarını Araştırın-Ücretsiz Deneyin