Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Fidye Yazılımı
Birleşik Krallık Ulusal Suç Teşkilatı Kremlin-Siber Suç Bağlantısını Detaylandırıyor
Mathew J. Schwartz (euroinfosec) •
1 Ekim 2024
İngiliz polisi Salı günü yaptığı açıklamada, Rus istihbarat teşkilatlarının Rusça konuşan kötü şöhretli siber suç örgütü Evil Corp’u Rus hükümeti adına siber saldırılar ve siber casusluk operasyonları yürütmekle görevlendirdiğini söyledi.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı Analizleri: 11,9 Milyon Kullanıcı Davranışı Riskiniz Hakkında Neleri Ortaya Çıkarıyor?
Kremlin görevlileri ile siber suçlar arasındaki bağlantı, 2014 yılında bankacılık Truva atı Dridex’in tedarikçisi olarak kurulduğundan bu yana gruba başkanlık eden Evil Corp lideri Maksim Yakubets (diğer adıyla Aqua) tarafından beslenen bir ilişkiyle yıllarca devam etti.
Uluslararası Fidye Yazılımıyla Mücadele Girişimi’nin yıllık toplantısının ikinci gününe denk gelen koordineli duyurularla Salı günü duyurulan Rus yeraltı siber suç örgütüne yönelik tutuklamalar, sunucu ele geçirmeleri ve iddianameler telaşının ortasında, Birleşik Krallık Ulusal Suç Ajansı, Kötülük hakkında ayrıntılı bir rapor yayınladı. Corp’un Rusya devletinin vekili olarak çalışması. Rapora göre bu, Rus istihbarat teşkilatları tarafından NATO stratejik ittifakının üyelerini hacklemekle görevlendirilmeyi de içeriyor.
FBI, Evil Corp’un BitPaymer fidye yazılımı ve Dridex aracılığıyla kurbanlardan en az 100 milyon dolar çaldığını söyledi. Yetkililer, Evil Corp’un kısmen bir aile meselesi gibi göründüğünü ve Yakubets’in erkek kardeşi Artem ile iki kuzeninin çekirdek üyeleri arasında yer aldığını söyledi.
ABD Hazine Bakanlığı, Yakubets’i 2019’dan bu yana mali yaptırımlar altında tutuyor. ABD, İngiltere ve Avustralya, Salı günü bu yaptırımları Yakubets’in babası Viktor Yakubets ve kayınpederi Eduard Benderskiy’i de kapsayacak şekilde genişletti.
İngiltere polisi, Benderskiy’in Rusya’nın başlıca güvenlik teşkilatı olan Federal Güvenlik Servisi’nde (FSB) eski üst düzey bir yetkili olduğunu söyledi.
NCA Salı günü yaptığı açıklamada, “Benderskiy, 2019’dan önce Evil Corp’u NATO müttefiklerine karşı siber saldırılar ve casusluk operasyonları yürütmekle görevlendiren Rus istihbarat servisleriyle ilişkilerinin önemli bir sağlayıcısıydı.” dedi.
İngiltere Dışişleri Bakanı David Lammy, “Bugünkü yaptırımlar, Kremlin’e, ister devletin kendisinden ister siber suç ekosisteminden olsun, Rusya’nın siber saldırılarına tolerans göstermeyeceğimize dair açık bir mesaj gönderiyor” dedi.
Siber güvenlik uzmanı Tim Maurer 2018’de, Kremlin’in içeriden faaliyet gösteren siber suçlulara uzun süredir göz yumduğunu, bunun nedeninin kısmen suçlu bilgisayar korsanlarının “bir anda harekete geçirilebilecek potansiyel vekillerden oluşan bir havuz” haline gelebilmesi olduğunu yazmıştı. Rus devletiyle bağları olsa da, Evil Corp’unkiler çoğundan daha güçlüydü; en azından kısmen Benderskiy sayesinde.
NCA, “Benderskiy, Evil Corp’un Rus istihbarat teşkilatlarından yetkililerle ilişkiler geliştirmesini kolaylaştırmak için statüsünden ve bağlantılarından yararlandı” dedi. ABD’nin 2019’da Evil Corp’un birden fazla üyesini isimlendirip suçladıktan sonra, “Benderskiy, hem üst düzey üyelere güvenlik sağlayarak hem de Rus iç otoriteleri tarafından takip edilmemelerini sağlayarak grubu korumak için geniş nüfuzunu kullandı” dedi.
Soruşturma sitesi Bellingcat’e göre Benderskiy, 1981’de kurulan FSB’nin öncülü KGB’nin gizli birimiyle aynı adı taşıyan “Vympel” adını taşıyan bir dizi özel güvenlik örgütünü yönetiyor.
Bellingcat’in 2020’de bildirdiğine göre, Vympel’in “operasyonel kapsamı yasadışı keşif, yıkım, adam kaçırma, rehineleri serbest bırakma, darbeler ve devlete karşı düşmanlara yönelik suikastları içeriyordu” ve Benderskiy, çok sayıda denizaşırı suikasta yakından dahil olarak bu görevi ileriye taşıyor gibi görünüyor. .
2019 yaptırımları, Evil Corp’un markasına ve gelir akışına zarar vererek grubu “yeniden inşa etmeye, taktik değiştirmeye ve faaliyetlerini kolluk kuvvetlerinden gizlemek için daha fazla önlemler almaya, birçok üyenin yeraltına çekilmesine, çevrimiçi hesapları terk etmesine ve hareketlerini kısıtlamasına” yol açtı. NCA dedi.
NCA, yaptırımların gruptaki mevcut gerilimlerin daha da artmasına yardımcı olduğunu ve çekirdek üye Igor Turashev’in Yakubets ile “sert bir ayrılık” yaşamasına ve DoppelPaymer fidye yazılımını geliştirmeye devam etmesine yol açtığını söyledi.
Evil Corp’un geri kalan üyeleri de yeni fidye yazılımı türlerini benimsedi; Yakubets ve Ryzhenkov, WastedLocker’ın geliştirilmesine öncülük ederken, diğer üyeler Hades, PhoenixLocker, PayloadBIN ve Macaw gibi türler geliştirdiler ve genellikle büyük oyun avına giriştiler. daha büyük fidye peşinde daha büyük hedeflere saldırıyor.
“Odak noktaları daraldı, hacim saldırılarından yüksek kazançlı kuruluşları hedef almaya yöneldiler” dedi. Yetkililer, Evil Corp’un da gruba ve liderliğine yönelik ABD yaptırımlarından kaçmanın bir yolu olarak 2022’de LockBit’e başvurduğunu söyledi.
Salı günü ABD, Lizardking olarak da bilinen Rus vatandaşı Aleksandr Viktorovich Ryzhenkov’a karşı onu Evil Corp’un ikinci sorumlusu olarak görev yapmakla suçlayan yedi maddelik bir iddianameyi açıkladı.
NCA, Şubat ayında LockBit’in altyapısına sızıp ele geçirilen verileri incelemeye başladıktan sonra, “Beverley” adı altında Ryzhenkov’un 60’tan fazla LockBit fidye yazılımı oluşturduğu ve fidye talepleri yoluyla kurbanlardan zorla en az 100 milyon dolar almaya çalıştığı iddia edildiğini bulduğunu söyledi.