26 yaşındaki Finlandiyalı bir adam, çevrimiçi bir psikoterapi kliniğine sızmak, on binlerce hasta terapisi kaydını sızdırmak ve kliniğe ve hastalara şantaj yapmaya teşebbüs etmekten suçlu bulunduktan sonra bugün altı yıldan fazla hapis cezasına çarptırıldı.
21 Ekim 2020’de, Resepsiyon Psikoterapi Merkezi Finlandiya’da “ransom_man” olarak tanımlanan bir işkenceci, Vastaamo’nun internette ifşa ettiği son derece hassas terapi seansı notlarını yayınlamama sözü karşılığında 40 bitcoin (o sırada ~450.000 euro) talep ettiğinde şantajın hedefi haline geldi.
Ransom_man, dark web’de her 24 saatte 100 hasta profili yayınlamaya başlayacağını duyurdu. Vastaamo ödemeyi reddettiğinde ransom_man bireysel hastalara şantaj yapmaya yöneldi. Finlandiya polisine göre yaklaşık 22.000 mağdur, kendilerini kişisel olarak hedef alan şantaj girişimlerini ve 500 avroluk fidye ödenmediği takdirde terapi notlarını internette yayınlama tehdidinde bulunan e-postaları hedef aldığını bildirdi.
Finlandiyalı savcılar hemen bir şüpheliye odaklandı: Julius “Zeekill” Kivimäki, yetişkin olmadan önce on binlerce siber suç işlemekten mahkum olan kötü şöhretli bir hacker. Kivimäki, Ekim 2022’deki saldırıyla suçlandıktan sonra ülkeden kaçtı. Dört ay sonra Fransa’da sahte bir isim ve pasaportla saklanırken tutuklandı.
Antii Kurittu Kivimäki’nin hacker grubu Hack the Planet’in (HTP) bir üyesi olarak gerçekleştirdiği diğer faaliyetlerin yanı sıra Kivimäki’nin Zbot botnet kullanımını içeren bir soruşturma üzerinde çalışan eski bir suç araştırmacısıdır.
Kurittu, savcılığın en az yedi yıl hapis talebinde bulunduğunu ve verilen cezanın altı yıl üç ay olduğunu söyledi. Kurittu, savcıların, kurbanlarına tazminat ödemeyi kabul etmesi nedeniyle Kivimäki’nin cezasını birkaç ay ertelemeyi kabul ettiğini ve Kivimäki’nin herhangi bir temyiz süreci boyunca hapiste kalacağını söyledi.
Kurittu, KrebsOnSecurity’ye “Finlandiya yargı sistemini bildiğim için cezanın beklendiği gibi olduğunu düşünüyorum” dedi. “Kvimäki son beş yıl içinde ertelenmemiş hapis cezasına çarptırılmadığı için, daha önceki mahkumiyetlerine bakılmaksızın ilk kez suç işlemiş biri gibi muamele görecek.”
Ancak Finlandiya’da çocuk mahkumiyetleri bir kişinin ilk kez suç işleyip işlemediğinin belirlenmesinde dikkate alınmadığı için Kivimäki cezasının yaklaşık yarısını çekecek.
Kurittu, “Bu, eylemlerinin ciddiyeti ve binlerce insanın hayatını değiştiren sonuçları dikkate alındığında kısa bir cümle gibi görünüyor, ancak bu neredeyse yasanın izin verdiği azami miktar” dedi.
Kivimäki başlangıçta, DDoS saldırılarında uzmanlaşmış, çoğunlukla düşük vasıflı bir hacker grubu olan Lizard Squad’ın kendini kanıtlamış bir üyesi olarak ün kazandı. Ancak Amerikalı ve Finlandiyalı araştırmacılar, Kivimäki’nin siber suçlara karışmasının, yakında HTP haline gelecek olan kuruluşun kurucu üyelerinden biriyle tanıştığı en az 2008 yılına dayandığını söylüyor.
Finlandiya polisi, Kivimäki’nin aynı zamanda “Ryan”, “RyanC” ve “Ryan Cleary” takma adlarını da kullandığını söyledi (Ryan Cleary aslında hackleme suçundan hapis cezasına çarptırılan rakip hacker grubu LulzSec’in üyesiydi).
Kivimäki ve diğer HTP üyeleri, bilinen güvenlik açıklarını kullanarak web sunucularının toplu olarak ele geçirilmesine karıştı ve 2012’de Kivimäki’nin takma adı Ryan Cleary, bu sunuculara erişimi kiralık DDoS hizmeti biçiminde satıyordu. Kivimäki o sırada 15 yaşındaydı.
2013 yılında Kivimäki’de ele geçirilen cihazları inceleyen araştırmacılar, daha önce bilinmeyen bir güvenlik açığını kullanarak 60.000’den fazla web sunucusunu kırmak için kullanılan bilgisayar kodunu buldu. Adobe’nin ColdFusion’ı yazılım. KrebsOnSecurity, grubun LexisNexis, Kroll ve Dun & Bradstreet veri aracıları içindeki sunucuların güvenliğini ihlal etmesinden sonra Eylül 2013’te HTP’nin çalışmalarını ayrıntılı olarak açıkladı.
Grup, aynı ColdFusion kusurlarını kullanarak, kar amacı gütmeyen ve suç örgütlerine araştırma ve soruşturma desteği sağlayan Ulusal Beyaz Yaka Suç Merkezi’ne (NWC3) girdi. ABD Federal Soruşturma Bürosu (FBI).
KrebsOnSecurity’nin o dönemde bildirdiği gibi, veri aracısı sunucularından oluşan bu küçük ColdFusion botnet’i, bunların kontrolünü üstlenen aynı siber suçlular tarafından kontrol ediliyordu. SSNDOBABD’de ikamet edenlerin Sosyal Güvenlik Numarasını, doğum tarihlerini ve kredi dosyası bilgilerini almak için yeraltının en güvenilir hizmetlerinden birini işleten.
Kivimäki, Ağustos 2014’te eski bir kişiye yönelik bomba tehdidinde bulunmaktan sorumluydu. Sony Çevrimiçi Eğlence Başkanı John Smedley American Airlines uçağını yere indiren olay. Kivimäki aynı zamanda çok sayıda sahte bomba tehdidi ve “saldırı” olayına da karıştı; bir adresteki sahte rehine durumlarını bildirerek o yere ağır silahlı polis müdahalesi sağladı.
Ville Tapio, Vastaamo’nun eski CEO’su kovuldu ve ihlalin ardından hakkında dava açıldı. Ransom_man, Vastaamo’nun özensiz güvenliğiyle övünerek, şirketin hassas hasta kayıtlarını korumak için gülünç derecede zayıf kullanıcı adı ve şifre olan “root/root”u kullandığını belirtti.
Müfettişler daha sonra Vastaamo’nun ilk olarak 2018’de ve tekrar 2019’da saldırıya uğradığını, ancak Tapio’nun fidye_man gasp çılgınlığına başlayana kadar bu izinsiz girişlerden kimseye bahsetmediğini buldu. Nisan 2023’te bir Finlandiya mahkemesi Tapio’ya üç ay hapis cezası verdi, ancak daha önce sabıka kaydı bulunmadığı için bu ceza ertelendi.