Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Baskı, ‘Hash Cracker’lar da dahil olmak üzere Siber Suç Grubunun Çok Sayıda Üyesini Hedefliyor
Mathew J. Schwartz (euroinfosec) •
19 Ocak 2026
Polis, kötü şöhretli Black Basta fidye yazılımı grubunun iki şüpheli üyesine baskın düzenledi ve operasyonun kurucusu ve elebaşı olmakla suçlanan Rus uyruklu kişi için uluslararası tutuklama emri çıkardı.
Ayrıca bakınız: Sanal Bulut Fidye Yazılımı Masaüstü: Bir Saldırının Tespitinden Kurtarmaya Paketinin Açılması
Hollanda, İsviçre, Ukrayna ve Birleşik Krallık’tan kolluk kuvvetleriyle birlikte siber suç operasyonunu araştıran Alman yetkililer, “Black Basta son yılların en aktif fidye yazılımı gruplarından biri” dedi.
Mart 2022’den Şubat 2025’e kadar aktif olan “ulusötesi hacker grubu”, çoğu Batı’da olmak üzere dünya çapında 600’den fazla kurban topladı ve kurbanlardan fidye ödemeleri olarak yüz milyonlarca dolar değerinde kripto para toplayarak bir aksamanın izini sürdü.
Ukrayna Başsavcısı Ruslan Kravchenko Perşembe günü yaptığı açıklamada, Black Basta’nın Ukrayna’da yaşayan yedi şüpheli de dahil olmak üzere 20’den fazla kişiyi aktif üye olarak saydığını söyledi.
“Her katılımcının, şifreleri kırmak ve kod yazmaktan mağdurlarla pazarlık yapmaya ve yasa dışı gelirleri nakde çevirmeye kadar değişen belirli bir rolü vardı” dedi.
ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın Kasım 2024 tarihli bir uyarısında, grubun sağlık hizmetleri de dahil olmak üzere kritik altyapıyı hedef aldığı belirtildi (bkz: Sızan Sohbet Kayıtları Black Basta’nın Karanlık Gecesini Ortaya Çıkarıyor).
Alman kolluk kuvvetleriyle birlikte Ukrayna polisi, suç operasyonunun bir parçası olduğundan şüphelenilen iki Ukraynalının Ivano-Frankivsk ve Lviv bölgelerindeki evlerinde arama yaparak bilgisayarlara, cep telefonlarına, banka kayıtlarına, nakit paraya ve kripto para birimine el koydu.
Dijital adli tıp araştırmacıları ele geçirilen cihazları inceliyor. Polis soruşturmanın devam ettiğini söyledi.
Polis geçen hafta grubun şüpheli liderinin 35 yaşındaki Rus uyruklu Oleg Evgenievich Nefedov olduğunu kamuoyuna açıkladı. Kendisi hâlâ kaçak durumda ve Interpol’ün uluslararası en çok arananlar listesine yerleştirildi.
Emniyet teşkilatı istihbarat teşkilatı Europol’ün AB En Çok Arananlar sitesi, Nefedov’un kesin olarak nerede olduğu bilinmese de muhtemelen Rusya’nın içinde bir yerlerde olduğunu söylüyor.
Almanya Federal Kriminal Polis Ofisi Bundeskriminalamt veya BKA, örgütün başkanı olarak “kimlerin veya hangi kuruluşların saldırıların hedefi olacağına karar verdi, üyeler topladı, onlara görevler verdi, fidye görüşmelerinde yer aldı, gasp yoluyla elde edilen fidyeyi yönetti ve bunu grup üyelerine ödeme yapmak için kullandı” dedi.
Polis, hack grubunun geçen hafta gözaltına alınan iki Ukraynalı üyesinin sistemleri hackleme ve ilk erişim sağlama, fidye için tutulacak hassas verileri çalma ve uç noktalara fidye yazılımı bulaştırma konusunda uzmanlaştığını, bunun ardından grubun diğer üyelerinin kurbanı müzakerelere dahil etmeye ve fidye ödemesi için baskı yapmaya çalışacağını söyledi.
Polis, “Saldırganlar, özel yazılımlar kullanarak bilgi sistemlerinden hesapların şifrelerini çıkarma konusunda uzmanlaşmış kişiler olan karma kırıcılar olarak adlandırılan kişilerin işlevlerini yerine getirdi” dedi. Müfettişler “yasadışı faaliyet kanıtı” buldu.
Alman kolluk kuvvetlerinin talebi üzerine Ukrayna polisi, geçtiğimiz Ağustos ayında ülkenin ikinci büyük şehri Kharkiv yakınlarında yaşayan Kara Basta’nın farklı bir şüpheli üyesinin evinde arama yaptı. Delillere el koydular ve şüpheliyi sorguya çektiler. Alman kolluk kuvvetleri, “Kullanılan kötü amaçlı yazılımın antivirüs programları tarafından tespit edilmemesini sağlayan sözde ‘şifreleyici’ olarak hareket ettiğinden şüpheleniliyor” dedi.
İsviçreli tehdit istihbarat firması Prodaft’ın Şubat 2025’te bildirdiğine göre, Black Basta’nın 2024 yazından itibaren düşüşe geçtiği ve iç çatışmalar nedeniyle 2025 başlarında büyük ölçüde “aktif olmadığı” belirtildi.
Araştırmacılar, grubun istikrarsızlığının doğrudan Nefedov’un eylemlerinden kaynaklandığını söyledi. Bu aynı zamanda onu “QBOT dağıtımından sorumlu bir spam ağına”, yani Qakbot’a da bağladı; bu ağ, kötü amaçlı yazılım indiricisi de dahil olmak üzere başka amaçlara hizmet etmek üzere uyarlanmadan önce 2007 dolaylarında bir bankacılık Truva Atı olarak başlayan kötü amaçlı yazılıma atıfta bulunuyor (bkz.: İhlal Özeti: ABD, Qakbot Kötü Amaçlı Yazılım Liderini Suçluyor).
Araştırmacılar, Black Basta’nın kurbanın sistemine ilk erişim sağlamak için sıklıkla hedef odaklı kimlik avı saldırıları kullandığını ve çoğu durumda bu saldırıların, kısmen kripto kilitleyen kötü amaçlı yazılım için bir indirme görevi görmek üzere Qakbot’u bir uç noktaya bulaştırmaya çalıştığını söyledi (bkz.: Black Basta Sızıntıları Kimlik Avını ve Google’ın Devralınma Risklerini Vurguluyor).
Sızan Black Basta sohbet mesajları ilk olarak Nefedov’un kimliğini açığa çıkardı ve onu Trump/Tramp, GG ve AA gibi takma adlara bağladı. Barracuda’dan gelen bir raporda, sırasıyla Rusya’nın başlıca güvenlik teşkilatına ve askeri istihbarat teşkilatlarına atıfta bulunularak, “Mesajlar, Nefedov’un REvil ve Conti’nin aktif bir üyesi olduğunu ve üst düzey Rus siyasi figürleri ile FSB ve GRU teşkilatları tarafından korunduğunu gösteriyor.” denildi.
Black Basta, Nisan 2022’de Conti grubundan ayrıldı; bu grup, liderliğin o yılın başında Rusya Devlet Başkanı Vladimir Putin’in Ukrayna’ya karşı yürüttüğü fetih savaşını alenen destekleme kararının ardından çöktü ve yandı. İstilaya verilen kamu desteği, fidye ödemelerinin kurumasına neden oluyor.
Alman polisi, kamuoyunu Nefedov veya grubun diğer şüpheli üyeleri hakkında her türlü istihbaratı paylaşmaya çağırırken, istihbarat için daha önceki sızıntıları kapsamlı bir şekilde analiz ettiklerini belirtti. “Bundeskriminalamt, 2025’in başında kamuoyuna açıklanan ‘Black Basta sızıntılarının’ yanı sıra 2022’nin başında kamuoyuna açıklanan ‘Conti sızıntıları’, ‘Trickbot sızıntıları’ ve ‘Trickleaks’ten haberdar. Bu verilerle ilgili bilgiye gerek yok.”