Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Fidye Yazılımı
İngiltere Polisi, Evil Corp’un ‘Sağ Kolu’nun da LockBit Bağlısı Olduğunu Söyledi
Akşaya Asokan (asokan_akshaya), David Perera (@daveperera), Mathew J. Schwartz (euroinfosec) •
1 Ekim 2024
ABD, İngiltere, Fransa ve İspanya’nın kolluk kuvvetleri Salı günü, hizmet olarak LockBit fidye yazılımı operasyonuna karşı ek saldırılar da dahil olmak üzere Rus yeraltı siber suçlularını hedef alan ilave tutuklamalar, iddianameler, yaptırımlar ve sunucu kapatma işlemleri hakkında koordineli bir duyuru yaptı.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
Salı günü ABD Adalet Bakanlığı, Rusya’da olduğuna inanılan Lizardking olarak da bilinen Rus uyruklu Aleksandr Viktorovich Ryzhenkov’a karşı yedi maddelik suç duyurusunu açıkladı. Yetkililer, 31 yaşındaki kişiyi en az Haziran 2017’den bu yana ABD’li kurbanlara karşı BitPaymer fidye yazılımını kullanmakla suçladı. İngiliz polisi, Ryzhenkov’un yakın zamanda LockBit üyesi olarak hareket ettiğini söyledi. İddiaya göre 60’tan fazla LockBit fidye yazılımı yapısı oluşturdu ve fidye taleplerinde mağdurlardan zorla en az 100 milyon dolar almaya çalıştı.
Salı günü yapılan duyurular, fidye yazılımlara karşı devam eden mücadelede yakın işbirliği yapma sözü veren beş düzineden fazla ülkeden oluşan ABD liderliğindeki bir koalisyon olan Uluslararası Fidye Yazılımlarıyla Mücadele Girişimi’nin yıllık toplantısının ikinci gününe denk gelecek şekilde zamanlandı (bkz.: Beyaz Saray, Fidye Yazılımı Zirvesinde Önemli Teslim Vaatleri Verdi).
Polis, LockBit sunucularına İspanya öncülüğünde el konulmasını, “önemli bir LockBit aktörünün” Ağustos ayında tutuklanmasını (Fransa’nın talebi üzerine Rusya dışında tatil yaparken gözaltına alınmasını) ve Birleşik Krallık’ta LockBit ile ilgili tutuklamaları duyurdu.
Evil Corp Yaptırımlarla Daha da Hedefleniyor
İngiltere Ulusal Suç Ajansı, Ryzhenkov’un, 2019’dan bu yana uluslararası kolluk kuvvetlerinin ilgi odağı haline gelmesiyle yeteneklerini büyük ölçüde azaltan, Rusça konuşan suç korsanlığı grubu Evil Corp’un başkanı olan Aqua olarak da bilinen Maksim Yakubets’in “sağ kolu” olarak görev yaptığını söyledi ( Görmek: Kötülük Farklı Bir Adla: Suç Çetesi Fidye Yazılımını Yeniden Markalaştırıyor).
Siber güvenlik firması Mandiant tarafından 2022’de yayınlanan araştırma, Evil Corp ve liderliğinin, 2019’da Yakubets, eş yönetici olduğu iddia edilen Igor Turashev ve diğer beş kişiye karşı uygulanan ABD yaptırımlarından kaçınmak için LockBit’i kullandığını öne sürdü.
LockBit katılımcılarını ve Cronos Operasyonu adı verilen altyapıyı hedef almaya yönelik devam eden çabalardan elde edilen bilgiler sayesinde yaptırımlar artık Ryzhenkov’u da kapsayacak şekilde genişletildi. NCA, “Grubun kendi sistemlerinden elde edilen verileri analiz eden araştırmacılar, onun “Beverley” adı altında çok sayıda kuruluşa karşı LockBit fidye yazılımı saldırılarına karıştığını tespit etti” dedi.
Bundan önce yetkililer, Ryzhenkov’un Evil Corp’un birden fazla kötü amaçlı yazılım türü geliştirmesine yardım ettiğini söyledi. Grubun, BitPaymer fidye yazılımının yanı sıra 40’tan fazla ülkedeki finansal kurumlara karşı kullanılan ve 100 milyon doların üzerinde suç karı elde eden Dridex kötü amaçlı yazılımını içeren saldırılarla bağlantısı bulunuyor.
Salı günü yapılan duyuruların bir parçası olarak Avustralya, İngiltere ve ABD, Ryzhenkov’un yanı sıra Evil Corp adına hareket etmekle suçlanan diğer altı kişi ve iki Rus şirketine mali yaptırımlar uyguladı.
Bu listede, federal savcıların 2019 yılında Dridex bankacılık Truva Atı saldırıları nedeniyle suçladığı Evil Corp. lideri Maksim Viktorovich Yakubets’in babası ve kayınpederi de yer alıyor. Yakubets’in babası Viktor Yakubets’in, Evil Corp. için teknik ekipman sağladığı iddia edilirken, kayınpederi Eduard Benderskiy, Rus istihbarat teşkilatları ile ABD’deki siber suç grubu arasında aracılık yapan eski bir yüksek rütbeli FSB yetkilisiydi. Hazine yetkilileri söyledi.
NCA, FSB’nin Evil Corp’a NATO müttefiklerine karşı başlatma emri verdiği saldırılardan kaynaklanan etkilerin, grubun taktiklerini yeniden inşa etmesine ve yenilemesine, özellikle de daha gizli bir şekilde faaliyet göstermesine yol açtığını söyledi. “Uyum sağlamaya devam ettiler ve bazı üyeler, başta WastedLocker, Hades, PhoenixLocker, PayloadBIN ve Macaw olmak üzere daha fazla kötü amaçlı yazılım ve fidye yazılımı türü geliştirmeye devam etti” dedi. Büyük oyun avcılığı olarak bilinen yöntemle “Odak noktaları daraldı, hacim saldırılarından yüksek kazançlı organizasyonları hedeflemeye geçtiler.”
LockBit Kesintisi Devam Ediyor
İspanyol ulusal polisi Madrid havaalanında suça yönelik bir çevrimiçi “kurşun geçirmez” altyapı sağlayıcısının sahibini tutukladı ve dokuz sunucuya el konulduğunu duyurdu. Polis, Şubat ayında ele geçirilen ve daha önce LockBit’in sızıntı sitesi olarak hizmet veren bir darknet web sitesinde, kimliği belirlenemeyen şüphelinin giderek kuşatılmış fidye yazılımı grubu için “altyapının ana kolaylaştırıcılarından biri” olduğunu söyledi.
Fransız Ulusal Polisi, LockBit için kötü amaçlı yazılım geliştiricisi olduğundan şüphelenilen bir kişinin, vatandaşlarını yabancı suçlamalarla yüzleşmek üzere asla iade etmeyen Rusya dışında tatil yaparken kendi isteği üzerine tutuklandığını duyurdu. Fransız yetkililer iade talebinde bulundu.
Fransız Ulusal Polisi, “Bu kişi, LockBit organize suç grubuna karşı Fransa’daki ana davada ciddi suçlamalarla karşı karşıyadır” dedi. Kendilerini gözaltına alan şüphelinin veya ülkenin adını vermeyi reddettiler.
İngiliz siber güvenlik uzmanı Kevin Beaumont, duyurulardan önce sosyal platform Mastodon’da Pazartesi günü yaptığı açıklamada, “Avrupa’da LockBit fidye yazılımı olduğu iddia edilen bazı kişilerin yakalandığı yönünde iyi bir haber” dedi. “Tüm fidye yazılımı faaliyetlerinin Rusya’dan kaynaklandığı bir fantezi.”
Polis eylemleri, Cronos Operasyonu adı verilen uluslararası kolluk kuvvetleri operasyonunun bir parçası olarak yapılan serinin sonuncusu. Yetkililer Şubat ayında 35’ten fazla LockBit sunucusuna el koydu ve grubun o zamanlar karanlık web sızıntısı olan sayfasını bir ele geçirme bildirimiyle değiştirdi (bkz.: LockBit Altyapısı ABD ve İngiltere Polisi Tarafından Ele Geçirildi).
NCA, bu yılın başlarında “LockBit platformunun tamamen tehlikeye atıldığını” ve 2.500 şifre çözme anahtarının yanı sıra kurban ödemeleriyle bağlantılı tüm LockBit üyesi kullanıcı adlarının ve Bitcoin adreslerinin tam listesini elde edebildiğini bildirmişti. Yetkililer, Rus uyruklu Dmitry Khoroshev’i, daha önce gerçek kimliğini yakından korunan bir sır olarak saklayan grubun değişken lideri “LockBitSupp” olarak tanımladı (bkz: LockBitSupp’un Açığa Çıkan Kimliği: Dmitry Yuryevich Khoroshev). Müfettişler ayrıca, bir kurbanın fidye ödemesi durumunda grubun verileri silme sözü vermesine rağmen, grubun en az Aralık 2022’den bu yana çaldığı hiçbir veriyi silmediğini de tespit etti.
NCA, kesintilerin operasyonel bir etki yarattığını, birden fazla bağlı kuruluşun grubu terk ettiğini ve bunun da daha az saldırıya yol açtığını söyledi. Ortaya çıkan bariz çaresizliğin bir işareti, grubun “kurban sayısını artırmak ve Cronos Operasyonunun etkisini maskelemek için iddia edilen mağdurları kopyalamaya başvurması” olduğu belirtildi. “Yayından bu yana iddia edilen önemli büyük kurbanların üçte ikisi LockBit’ten gelen tamamen yalanlar (çok sürpriz!) ve geri kalan üçte birinin gerçek kurbanlar olduğu doğrulanamıyor.”
Mayıs ayında federal savcılar Khoroshev’i New Jersey federal mahkemesinde elektronik dolandırıcılık komplosu, korunan bilgisayarlara kasıtlı zarar verme ve gasp gibi 26 suçla suçladı. Savcılar, Khoroshev’in kurbanlardan en az 100 milyon dolar kazandığını ve bağlı kuruluşlara ödenen her fidyeden %20’lik bir kesinti yapıldığını söyledi. Yetkililer, LockBit’in 2019’daki başlangıcından bu yana, grubun dünya çapında 3.000’den fazla kurbanı hedef aldığını ve zorla en az 500 milyon dolar fidye ödemesi aldığını tahmin ediyor.
FTI Consulting’in siber güvenlik genel müdürü Brett Callow, Pazartesi günkü bir e-postada Information Security Media Group’a verdiği demeçte, “Bu muhtemelen siber suçlular üzerindeki psikolojik etkisi açısından bugüne kadarki en etkili aksaklıktır” dedi. “Hiçbir fidye yazılımı operasyonu kurşun geçirmez değildir ve asıl soru, diğer hangi fidye yazılımı operasyonlarının kolluk kuvvetleri tarafından ele geçirildiğidir.”
Bir zamanlar hem kripto kilitleme kötü amaçlı yazılımlarının gelişmişliği hem de açık sözlü itibarı sayesinde yüksek bir başarı elde eden LockBit’in yıldızı düşmeye devam etti. Bu yılın ikinci çeyreğinde, fidye yazılımı olaylarına müdahale şirketi Coveware, LockBit’in Cronos Operasyonu öncesine kıyasla araştırdığı saldırıların daha azına bağlı olduğunu gördüğünü bildirdi.
Pek çok LockBit üyesi ya Phobos gibi ücretsiz olarak bulunabilen fidye yazılımı kaynak kodunu kullanarak tek başına çalışmaya başlamış ya da kendilerini Akira, BlackSuit, RansomHub ve Medusa gibi diğer gruplarla aynı hizaya getirerek “oyun kitaplarını ve araç kitlerini” beraberinde getirmiş gibi görünüyor. onları” dedi Coveware (bkz: Fidye Yazılımının Baş Aşağı, Karışık Dünyası).
Fidye yazılımı uzmanları, Cronos Operasyonunun birçok cephede ustaca bir hamle olduğunu söyledi; buna kolluk kuvvetlerinin trolleri trollemesi ve onların güvenirliğini zedelemesi de dahil. Bu tür psikolojik operasyonların (diğer adıyla PsyOps) kullanımı, fidye yazılımı operasyonlarında yalnızca birlikte çalıştıkları operasyonun itibarından değil, aynı zamanda hedef alınabilecek ve hedef alınmış olan “kişilerarası ilişkilerden” de pay alan “gerçek insanlar” tarafından görevlendirildiğini vurguluyor. , dedi tehdit istihbarat şirketi Analyst1.
“Belki de bu kez zeka oyunlarını kamuoyuna oynama sırası emniyet güçlerindeydi” dedi.