Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar , Fidye Yazılımı
5 Şüpheli Tutuklandı; Grubun 1.800 Mağdura Yönelik Fidye Yazılımı Saldırılarıyla Bağlantısı Var
Sayın Mihir (MihirBagwe), Mathew J. Schwartz (euroinfosec) •
28 Kasım 2023
Polis, Ukrayna’da 70’ten fazla farklı ülkede bulunan büyük kuruluşlara fidye yazılımı saldırıları düzenlediğinden şüphelenilen bir grup suçluyu tutukladı.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Grup, 2018’den bu yana “71 ülkede 1.800’den fazla mağduru etkileyen” saldırılarla ilişkilendirildi ve toplu olarak en az birkaç yüz milyon doları bulan fidye ödemeleri talep etti. Açıklamada operasyonun devam ettiği belirtildi.
Ukrayna polisi, suç örgütünü 2019’da Norveçli alüminyum devi Norsk Hydro da dahil olmak üzere dünyanın en büyük şirketlerinden bazılarına saldırmakla suçladı.
“Ukraynalı kolluk kuvvetleri, aylarca süren özenli çalışmanın sonucunda – ABD, Norveç, Hollanda, Almanya ve Fransa’dan meslektaşlarının yardımıyla – hacker grubunun 32 yaşındaki liderini ve onun en önemli dört kişisini tespit etti. Makine çevirisine göre, Ukrayna Siber Polis Departmanı başkanı Yuriy Vykhodets yaptığı açıklamada, “aktif suç ortaklarıyız” dedi.
Ukrayna polisi, baskınlar için Ukrayna’ya gönderilen uluslararası kolluk kuvvetleri ortaklarından 20 müfettişin desteğiyle beş şüphelinin tamamını 21 Kasım’da tutukladı. Polis ayrıca Kiev, Çerkassi, Rivne ve Vinnytsia bölgelerinde 30 mülkte arama yaptı, 100’den fazla dijital cihaz, 110.000 dolar nakit ve belirtilmeyen miktarda kripto para birimine el koydu. Polis şüphelilerin isimlerini vermedi.
Soruşturmanın koordine edilmesine yardımcı olan AB kolluk kuvveti Europol, Salı günü yaptığı açıklamada, şüphelilerin mağdurlara saldırmak için diğerlerinin yanı sıra Dharma, Hive, LockerGoga ve MegaCortex gibi kripto kilitleme kötü amaçlı yazılım türlerini kullanmakla suçlandığını söyledi.
Europol, grubun sıklıkla büyük şirketleri hedef aldığını, büyük oyun avcılığı olarak bilinen daha büyük fidye getirileri peşinde olduğunu ve Rusya’nın Şubat 2022’de topyekün fetih savaşını başlatmasından önce ve sonra Ukrayna’nın başkenti Kiev’de faaliyet gösterdiğini söyledi.
Yetkililer, Eylül 2022 itibarıyla grubun feshedildiğini bildirdi.
Şüphelilerin tutuklanması, Fransa’nın 2019’da Norveç, Fransa, İngiltere ve Ukrayna ile birlikte başlattığı ve devam eden operasyonun bir parçası. Soruşturmaları, FBI ve ABD Gizli Servisi de dahil olmak üzere Hollandalı, Alman, İsviçreli ve ABD’li yetkililerle paralel olarak yürütülüyor ve her biri grup hakkında kendi bağımsız soruşturmalarını yürütüyor.
Europol, son arama ve tutuklamaların kısmen, Ekim 2021’de devam eden operasyonda polisin hem Ukrayna hem de İsviçre’de 12 “yüksek değerli hedefi” gözaltına aldığı ilk tutuklama turundan sonra toplanan dijital adli kanıtlara dayandığını söyledi.
Yetkililer, grubun farklı üyelerinin farklı roller üstlendiğine, bazılarının kurbanların ağlarına sızma konusunda uzman göründüğüne, diğerlerinin ise bir şifre çözücü vaadi karşılığında kurbanların ödediği kripto para fidyeleri için kara para aklamayla uğraştığına inanıyor.
Polis, grubun kurbanların ağlarına sızmak için SQL enjeksiyon saldırıları, kaba kuvvetle şifre kırma ve geçerli kullanıcı adlarını ve şifreleri çalmak için tasarlanmış kimlik avı kampanyaları yürütme dahil olmak üzere çeşitli taktikler kullandığını söyledi.
Europol, “Ağlara girdikten sonra saldırganlar tespit edilemedi ve fidye yazılımı saldırılarını tetiklemeden önce mümkün olduğu kadar çok sistemi tehlikeye atmak için TrickBot kötü amaçlı yazılımı, Cobalt Strike ve PowerShell Empire gibi araçları kullanarak ek erişim elde etti” dedi (bkz: Bunu Şimdi Engelleyin: Kobalt Saldırısı ve Diğer Kırmızı Takım Araçları).
Rumen siber güvenlik firması Bitdefender ile çalışan İsviçreli yetkililer, geçen yıl, operasyon sırasında toplanan dijital adli deliller kullanılarak oluşturulan kamu/özel No More Ransom portalında ücretsiz şifre çözücüleri paylaştı. Polis, şifre çözücülerin Ukraynalı grup tarafından bazı kurbanların sistemlerini şifrelemek için kullanılan LockerGoga ve MegaCortex fidye yazılımının varyantlarının şifresini çözebileceğini söyledi (bkz: LockerGoga Kurbanları Ücretsiz Şifre Çözücüye Sahip Olsun; Polis Anahtarları Ele Geçirdi).