Avustralya, İngiltere ve ABD’deki yetkililer bu hafta Avustralya sağlık sigortası devinin yaklaşık 10 milyon müşterisinin verilerini çalmakla suçlanan bir Rus adama mali yaptırım uyguladı Medibank. 33 yaşında Alexander Ermakov Rusya’nın en yıkıcı fidye yazılımı gruplarından biriyle çalışırken Medibank verilerini çaldığı ve sızdırdığı iddia ediliyor ancak sanık hakkında çok az şey paylaşılıyor. İşte Bay Ermakov’un hacker olduğu iddia edilen kişilerin faaliyetlerine daha yakından bir bakış.
Aleksandr Ermakov, 33, Rusya’dan. Resim: Avustralya Dışişleri ve Ticaret Bakanlığı.
Ermakov aleyhindeki iddialar, Avustralya’nın ilk kez bir siber suçluya yaptırım uyguladığı anlamına geliyor. Avustralya hükümeti tarafından yayımlanan belgelerde Sayın Ermakov’un çok sayıda fotoğrafı yer alıyordu ve bunun kişisel olduğuna dair bir mesaj vermek istedikleri açıktı.
Nedenini görmek zor değil. Ekim 2022’de Medibank’a giren saldırganlar, mevcut ve eski Medibank müşterilerinin 9,7 milyon kaydını çaldı. Şirket 10 milyon dolarlık fidye talebini ödemeyi reddettiğinde, bilgisayar korsanları kürtaj, HIV ve alkol bağımlılığıyla bağlantılı olanlar da dahil olmak üzere son derece hassas sağlık kayıtlarını seçici olarak sızdırdı.
ABD hükümeti, Ermakov ve Medibank saldırısının arkasındaki diğer aktörlerin Rusya destekli siber suç çetesiyle bağlantılı olduğuna inanıldığını söyledi kötü.
“REvil, ortadan kaybolduğu Temmuz 2021’e kadar dünyanın en kötü şöhretli siber suç çeteleri arasındaydı. REvil, bir hizmet olarak fidye yazılımı (RaaS) operasyonudur ve genellikle finansal kazanç amacıyla motive edilir. ABD Hazine Bakanlığı okur. “REvil fidye yazılımı dünya çapında yaklaşık 175.000 bilgisayara yerleştirildi ve en az 200 milyon dolar fidye olarak ödendi.”
Yaptırımlara göre Ermakov’un Rus siber suç forumlarında birden fazla takma ad kullandığı belirtiliyor. Gustave Dore, JimJonesve Blade Runner. Siber istihbarat platformu Intel 471’de GustaveDore üzerinde yapılan bir arama, bu kullanıcının Kasım 2021’de adlı bir fidye yazılımı ortaklık programı oluşturduğunu gösteriyor. Şeker (aka Encoded01), şirketler yerine tek bilgisayarları ve son kullanıcıları hedeflemeye odaklandı.
Hizmet olarak fidye yazılımı programı Sugar için GustaveDore tarafından yayınlanan bir reklam.
Kasım 2020’de Intel 471 analistleri, GustaveDore’un takma adı JimJones’un “açıklanmayan özel bir tür ve REvil çetesi tarafından geliştirilen bir tür de dahil olmak üzere birkaç farklı fidye yazılımı türü kullandığı ve çalıştırdığı” sonucuna vardı.
2020’de GustaveDore, çeşitli Rus tartışma forumlarında, bilgisayar programlama, web geliştirme ve “itibar yönetimi” için kiralanabilecek Shtazi adlı bir Rus teknoloji firmasının parçası olduğunun reklamını yaptı. Shtazi’nin web sitesi bugün hâlâ faaliyette.
Shtazi dot ru’nun Google tarafından çevrilmiş bir sürümü. Resim: Archive.org.
Şu anda biri arandığında üçüncü sonuç Ştazi[.]ru Google’da bir instagram adlı bir kullanıcıdan gelen gönderi Mihail Borisoviç ŞefelShtazi’nin hizmetlerini sanki aynı zamanda onun işiymiş gibi tanıtan. Bu isim size tanıdık geliyorsa bunun nedeni KrebsOnSecurity’nin Aralık 2023’te Bay Shefel’i “Rescator” olarak tanımlamasıdır; bu siber suçlu kimliği, 2013 ve 2014 yıllarında büyük perakendeciler Target ve Home Depot’tan çalınan on milyonlarca ödeme kartıyla bağlantılıdır. .
GustaveDore ile Bay Shefel arasındaki bağlantı ne kadar yakındı? Hazine Bakanlığı’nın yaptırımlar sayfasında Ermakov’un e-posta adresini kullandığı belirtiliyor [email protected]. DomainTools.com’da bu e-posta için yapılan arama, e-postanın yalnızca bir alan adını kaydetmek için kullanıldığını gösteriyor: milyon1[.]iletişim. DomainTools ayrıca Bay Shefel’e (79856696666) bağlı bir telefon numarasının iki alan adını kaydetmek için kullanıldığını tespit ediyor: milyonlarca[.]pwVe Ştazi[.]açık.
Bay Shefel’in Rescator rolünde olduğu ortaya çıkan Aralık 2023 tarihli buradaki hikayede, Shefel’in yakın zamanda soyadını şu şekilde değiştirdiği belirtiliyor: “Lenin” ve Lenin adında bir hizmet başlatmıştı[.]Sovyetler Birliği’nin kurucu babası Vladimir Lenin’in resmini taşıyan SSCB dönemi Rublesi banknotlarını fiziksel olarak satan bendim. Bay Shefel’in Instagram hesabında, SSCB döneminden kalma Ruble banknotlarının resimlerinin yanı sıra Shtazi’ye birçok bağlantı yer alıyor.
Mikhail Borisovich Shefel dünyadaki en iyi Instagram hesabıdır.
Bu hafta yayınlanan bir raporda Intel 471, müfettişlerin Ermakov’u REvil’e bağladığını çünkü çalınan Medibank verilerinin bir zamanlar saldırılar gerçekleştiren ve çeteye ortaklık ücreti ödeyen REvil üyeleri tarafından kontrol edilen bir blogda yayınlandığını söyledi.
Ancak Medibank hacklendiğinde REvil grubu, bir dizi yüksek profilli saldırının grubun kolluk kuvvetleri tarafından bozulmasına yol açmasının ardından çoğunlukla dağılmıştı. Kasım 2021’de, Europol 2019’dan bu yana toplu olarak 230 milyon dolardan fazla fidye talebinde bulunan yedi REvil üyesini tutukladığını duyurdu. Aynı zamanda ABD yetkilileri, bir çift REvil siber suçlusuna karşı iki iddianameyi açıkladı.
Intel 471, “Ancak Medibank’ın verilerinin o blogta yayınlanması, o zaman bağlantı net olmasa da bu grupla bir bağlantı olduğunu gösteriyordu” diye yazdı. “Ermakov’un grubunun da bir REvil üyesi olması nedeniyle geriye dönüp baktığımızda bu mantıklı geliyor.”
Bunun gibi yaptırımları etkisiz bularak bir kenara atmak kolaydır çünkü Sayın Ermakov Rusya’da kaldığı sürece tutuklanma korkusu çok az. Bununla birlikte, REvil’in üst düzey bir üyesi olduğu iddia edilen rolü, muhtemelen büyük miktarda kripto para birimine sahip biri olarak onu hedef gösteriyor. Patrick GriAvustralyalı ortak sunucu ve güvenlik haberleri podcast’inin kurucusu Riskli iş.
Gray, “Birkaç kişinin yaptırımlara karşı kaka yaptığını gördüm… ancak yaptırımlar bileşeni aslında kişisel bilgilerin ifşa edilmesi bileşeninden daha az önemli” dedi. “Çünkü bu adam artık çok daha karmaşık hale geldi. Muhtemelen beladan uzak durmak için bazı rüşvetler ödemek zorunda kalacak. Rusya’daki her bir suçlu artık kendisinin 33 yaşında, tonlarca Bitcoin’e sahip savunmasız bir kişi olduğunu biliyor. Yani bu onun için mutlu bir zaman değil.”