Ukraynalı yetkililer, Avrupa ve ABD genelindeki kolluk kuvvetleriyle gerçekleştirilen ortak bir operasyonda, elebaşı olduğu iddia edilen kişi de dahil olmak üzere fidye yazılımı ekosistemindeki beş büyük oyuncuyu gözaltına aldı.
Sanıklar, Kiev, Çerkassi, Rivne ve Vinnytsia’daki 30 mülke düzenlenen koordineli baskınların ardından 21 Kasım’da tutuklandı. LockerGoga, MegaCortex, Hive ve Dharma fidye yazılımı dolaplarını 70’ten fazla ülkedeki kurumsal kurbanların ağlarına yerleştirdikleri iddia ediliyor.
Operasyonu koordine eden Avrupa Birliği (AB) ajansı Europol, tutuklamaların Rusya’nın Ukrayna’ya karşı savaşı ikinci kışına girerken kritik bir zamanda gerçekleştiğini söyledi. Bu aynı zamanda yaklaşık beş yıl öncesine dayanan çok yıllık bir çabanın doruk noktasıdır.
Europol, “Fransız yetkililerin girişimiyle, Eylül 2019’da Norveç, Fransa, Birleşik Krallık ve Ukrayna arasında Eurojust’ın mali desteği ve her iki Ajansın da yardımıyla ortak bir soruşturma ekibi (JIT) kuruldu” dedi.
Ajans, “JIT’teki ortaklar, Hollanda, Almanya, İsviçre ve ABD yetkililerinin bağımsız soruşturmalarına paralel olarak, Ukrayna’daki tehdit aktörlerinin yerini tespit etmek ve onları adalete teslim etmek için o zamandan bu yana yakın bir şekilde birlikte çalışıyor” dedi. “Bu uluslararası işbirliği istikrarlı ve kesintisiz olarak devam etti ve Ukrayna’da devam eden savaşın yarattığı zorluklara rağmen devam etti.”
2021’de yapılan bir önceki tutuklama turunun ardından, ek adli tıp analizi, konsorsiyumun yalnızca geçen hafta tutuklanan şüphelileri tespit edip hedeflemesine değil, aynı zamanda LockerGoga ve MegaCortex fidye yazılımları için ücretsiz şifre çözücüler geliştirmek üzere NoMoreRansom ve Bitdefender’daki ortaklarla birlikte çalışmasına da olanak sağladı.
Tutuklananların genel ekosistemde çeşitli sorumlulukları vardı; bazılarının kaba kuvvet saldırıları, SQL enjeksiyonu, kimlik avı ve sosyal mühendislik taktikleri gibi teknikler kullanarak kurbanlarının sistemlerine erişme ve bu sistemleri tehlikeye atma konusunda aktif olarak yer aldıkları düşünülüyordu.
Daha sonra kalıcılık sağlamak ve fidye yazılımı saldırılarını gerçekleştirmek için TrickBot kötü amaçlı yazılımı, kırmızı ekip oluşturma çerçevesi Cobalt Strike ve PowerShell Empire gibi araçları kullandılar. Diğerlerinin ise kurbanlarından bazıları tarafından yapılan kripto para birimi ödemelerinin aklanmasında rol aldığından şüpheleniliyor.
Soruşturma, faillerin büyük şirketlere ait 250’den fazla sunucuyu şifrelediğini ve bunun birkaç yüz milyonlarca avroyu aşan kayıplara yol açtığını belirledi.
Mandiant’ın siber suç analizi başkanı Kimberly Goody, “Yüksek profilli fidye yazılımı olaylarıyla ilişkili kişilerin tutuklanması, bu saldırıların sonuçlarının olacağına dair açık bir mesaj veriyor” dedi. “Soruşturma altındaki kişilerin zaman içinde birden fazla fidye yazılımı hizmetinin bağlı kuruluşu olarak ve/veya birden fazla grubu etkinleştirme işlevlerini destekleyerek hizmet verdikleri görülüyor.
“Tehdit aktörleri, ilk erişim veya kara para aklama gibi bir uzlaşmanın belirli yönlerini gerçekleştirmek için genellikle zaman içinde farklı aktörlerle ortaklık kurar; bu, muhtemelen bu şüphelilerin en azından bazılarının durumudur” dedi. “Örgütsel döngüdeki bir bağlantının kopması, bu gruplarda geçici de olsa önemli aksamalara neden olabilir; çünkü yeni ortakları belirlemek, incelemek ve onlara güvenmek suç dünyasında zorlayıcı olabilir.”
Goody, hem LockerGoga hem de MegaCortex’in, siber suç ekosisteminin kitlesel olarak dağıtılan fidye yazılımı operasyonlarından hedefli olarak uzlaşma sonrası dağıtıma geçmeye başladığında halihazırda kullanımda olan eski fidye yazılımı varyantlarından bazıları olduğunu açıkladı.
Ayrıca, Europol tarafından özetlenen bazı taktik, teknik ve prosedürlerin, Mandiant’ın geçmişte Magecart perakende saldırıları ve Maze dahil diğer yüksek profilli fidye yazılımlarıyla ilişkilendirilen FIN6 olarak takip edilen gruba bağlı bir aktöre atfettiği faaliyetlerle uyumlu olduğunu belirtti. ve Ryuk – ancak siber suç ekosisteminin karmaşıklığı ve atıf yapmanın zor doğası göz önüne alındığında, son tutuklamalarla güvenilir bir şekilde bağlantı kurmak mümkün değil.