Eylül 2020: Fidye yazılımı şirketi Revil’in bir üyesi, birkaç ay önce Fransız şirketi Elior’a karşı gerçekleştirdiği siber saldırının ayrıntılarını açıklıyor. O zaman, fidye yazılımı zaten önemli bir tehditti, ancak ölçeğe yakın bir yerde yoktu. Ancak şu anda, Computer Weekly’nin Fransız kardeş sitesi Lemagit’teki gazeteciler, aylık olarak gelişmeleri izlemeye başladı.
Bu tehditte bugün aktif olan bazı büyük oyuncular o sırada zaten aktifti. Aşağıdaki hesap, kazançlarından nasıl kâr elde edebileceklerine ve adaletten kaçmak için haklı veya yanlış iddia edebilecekleri koruma seviyesine yeni bir ışık tutar.
Erivan, Haziran 2024
21 Haziran 2024 Cuma günü, Erivan’daki American Street’te macera, bunlardan biri gibi görünen adam için beklenmedik bir dönüş yapmak üzere.
Oleg Nefedov, ABD Büyükelçiliği’ne götüren ve Hrazdan Nehri’nin yanında çalışan Ermeni başkentinde saat 11: 00’de yerel polis tarafından tutuklandı.
Ertesi gün saat 13: 30’da, kamu savcısı gözaltında tutulmasını istedi. Bu arada Ermenistan, iadesi için gerekli belgeleri almış ve tercüme etmişti. O, halka açık olmayan bir interpol kırmızı bildiriminin konusuydu.
Duruşma 24 Haziran Pazartesi saat 10: 00’da planlanıyor. Teoride yeterli. Olayları bildiren Ermeni medya sitesi 168.am, onu gözaltında tutma kararının tutuklamadan sonraki 72 saat içinde – 24 Haziran’da 11: 00’den önce yapılması gerektiğini açıklıyor. Ancak belirtilmemiş nedenlerden dolayı son tarih kaçırıldı. Saat 16: 00’da Oleg Nefedov serbest bırakıldı. Savcılık, 20 Eylül tarihli bir basın açıklamasında gerçekleri doğruladı.
Haberler neredeyse fark edilmeden geçti. 16 Aralık 2024’te bir kaynak Lemagit ile temasa geçti. Geç Conti’nin eski bir üyesi ve Siyah Basta fidye yazılımı çetesinin liderlerinden biri olan takma ad takma adını kullanan adamın, bir önceki Haziran ayının sonunda Erivan’da tutuklanan aynı Oleg Nefedov’du: “Ayrıca oleg y. nefedov adı altında Tramp’ı da biliyorum.
“Rusya’da en iyi korumaya sahip. Güvenlik hizmetlerinde arkadaşları var. FSB ve GRU’yu bile ödüyor” diye açıklıyor bu kaynak. Bunlar Rus istihbarat hizmetleri. Kaynak, “Kimsenin bu tür bir parası ya da bu güvenlik seviyesi yok.”
AA ve GG takma adları tarafından da bilinen Tramp, 14 Kasım 2022’de ortaklarından biri DD’ye şunları söyledi: “Lubyanka’dan adamlarım var [FSB headquarters in Moscow] Ve Gru, onları uzun zamandır besliyorum. Ayna (Aşağıdaki resme bakın).
Limonlu
Ama tramp gerçekten oleg mi? Diğer kaynaklar bunu anonimlik koşuluyla söyledi. Bu iddiaları destekleyecek birçok kanıt var.
Tramp Sorgulandı
Siyah Basta’nın matris örneğindeki borsalarda GG takma adıyla ilişkili faaliyetin analizi rahatsız edicidir – 21 Haziran 2024’ten 2 Temmuz’a kadar toplam aktivite yokluğunu gösterir.
Tramp 3 Temmuz’da çevrimiçi olarak geri döndüğünde, yeni bir bilgisayarı olduğunu ve telgraf hesabını değiştirdiğini söyledi. Önceki bilgisayarını kaybettiğini açıkladı, “ve sadece bu değil. Bu uzun bir hikaye” diyor: “Gerçek hayatta zor oldu. Nereden başlayacağımı bilmiyorum …”
Ancak, araştırmacı ve insan istihbarat uzmanı Liontamer’ın işaret ettiği gibi, Tramp birkaç saat sonra “uzun yıllar” için bildiği çete üyesi Chuck’a güvendi: “Polisler beni yakaladı”. “TR hakkında bilgi için bir ödülten bahsediyor [potentially Trickbot, but the pseudonym Tramp has also been openly designated by the American justice system]. 10 milyon “. Dosyasını gördüğünü söylemeye devam ediyor,” ama bana her şeyi göstermediler “. İade edilmesi gerekiyordu.
Limonlu
Aynı gün Chuck bir tatil istediğini söylüyor: “Hiçbir yere gitme. Evde kal”, Tramp ona tavsiyelerde bulunuyor. Chuck, Kaliningrad’a bilet rezervasyonu yaptığını söylüyor. Tramp ısrar ediyor: “Şimdi herkesi korumalıyız”. Chuck nihayet planlarından vazgeçiyor: “İptal ediyorum; Karelia’ya gidiyorum”. Tramp, kendisine sunulan dosyada Black Basta üyelerinin tüm takma adlarını gördüğünü açıklıyor.
Çok üst düzey korumadan yararlandığını, “1 numaramızın seviyesinde”: “Aramayı başardım. Sadece bir pas istedim. Hemen benim için yola çıktılar” diyor.
Yüksek konumlandırılmış ilişkiler
Başka detaylar var mı? “Nasıl dışarı çıktığım ve kimin yardım ettiği hakkında hiçbir şey söyleyemem. Ama bana 1 numaranın beni tanıdığı ve anlaşması olmadan hiçbir şey yapamayacakları söylendi.” Chuck sonra sordu: “Putin, değil mi?” Tramp daha fazla demezdi.
A.Savin – Kişisel Çalışma, CC tarafından -sa 3.0
Ancak 7 Temmuz’da, telefonunun ele geçirildiğini gösteren daha konuşkan oldu. Belirtilmemiş bir “onlar” ın “Apple’a tamamen erişimi olduğunu söyledi. Tüm gezegene bağlılar. Her şeyi biliyorlar”. Sonuç olarak, “Apple öldü. […] Orada her şeyi temizlemeliyiz “.
Ancak Chuck endişeli: Birisi ona ABD kolluk kuvvetleri tarafından istendiğini söyledi. FSB’nin onu araması durumunda onu korumak için her ay ödediği biri. Rus hizmetlerinin “zorlamaya başlayacağından korkuyor [them] veya güç [them] onlar için çalışmak, koruma karşılığında “bir anlamı olabilir.
16 Eylül 2024’te YY TRAMP aradı. Bunu yaparken, geç Conti ile faaliyetleriyle tanındığı bir takma adı açıkladı: “Merhaba Tramp, Bio. Serbest bırakıldım, üzgünüm, seni uyaramam. Maskeli akıncılar geldiklerinde neredeyse vücudumdaki her kemiği kırdılar, ama neyse ki sunucudan ayrılmak için zamanım vardı.
Limonlu
Ona göre, ona ihanet eden bir kripto para birimi borsasıydı: “Son üç işlemimden başka bir şey bulamadılar (yaklaşık 3 BTC). Kısacası, beni deneme öncesi gözaltında tuttular ve sonra beni serbest bıraktılar. […]ama umarım yakında geri almayı umuyorum.
Bio daha sonra Tramp’tan birkaç yüz dolarlık birkaç ödeme talep edecektir. 10 Kasım 2024’te Kraken’de 20 Bitcoin’i pekiştirecek.
Cömert bir yaşam tarzı
Oleg kısa süre içinde 35. doğum gününü kutlayacak. Moskova’nın 850 km doğusunda 260.000’den fazla nüfuslu ve Mari Cumhuriyeti’nin başkenti Volga’dan 60km’den 260.000’den fazla nüfus olan Iochkar-Ola’dan geliyor.
Alexxx1979 – Travail Personeli, CC BY -SA 4.0
Uzun zamandır kripto para birimlerine ilgi duyuyor gibi görünüyor. BTC-E.com’daki bir hesap onunla ilişkilendirildi. Bu döviz servisi 2014 yılında veri ihlali yaşadı.
2017 yılında Bitsoft’ta çalıştı ve daha sonra kendisini “Ethereum, Litecoin ve Zcash’in bulut madenciliği alanındaki en büyük Rus şirketi” olarak sundu. Temmuz 2017’de biri de dahil olmak üzere çeşitli alan adı kaydetti. Lemagit, tarihi whois verileri ve bir telefon numarası kullanarak onları takip etti. Adres? IOCHKAR-OLA.
Bu verilerden, Lemagit ayrıca bir süre için Truecaller’daki “Mr Tramp” adına doğrudan bağlı bir telefon numarası buldu, ancak Oleg Nefedov olarak başka bir yerde listelendi ve Apple ICloud hesabıyla ilişkili adres.
Oleg, Bitsoft’tan 2021’e kadar gelir ilan ediyor. Dönem boyunca bu gelir neredeyse etkileyici: 2017 ve 2018’de 60.000 ruble veya yılda 900 €. 2019’da biraz daha iyi, 261.000 ruble veya o yıl için ortalama döviz kurunda 3.600 € civarında. Bundan sonra, 2023’ün sonunda yaralanacak bir şirket olan Polis’ten gelir alacak. Bitsoft, Ağustos 2024’te aynı kadere maruz kalacak.
Daimler AG
Bu, 2019’da bir BMW X6 M50D kullanmasını engellemedi. 2021’de bir Mercedes AMG S63 4Matic’te hızla yakalandı – sınır üzerinde 60km/s’den fazla. Ayrıca bir Porsche Macan’ı sürdü.
2024’ün başlarında, Mercedes V sınıfı minibüsünün yerini aldı. O zamanlar da bir Mercedes GLE 400 D 4Matic vardı. Birkaç ay önce, G-Serisi AMG G63 SUV için adresi değiştirdi.
En az 2022’den beri Oleg, fikri mülkiyetin payına sahip olduğu bir marka altında en üst düzey salonlara yatırım yapıyor. Marka tüm dünyada, Dubai ve Abu Dabi’den Bakü, Moskova ve Bali’ye kadar mevcuttur. Ağustos 2024’ün sonunda Rusça Rodina – Anavatan adlı bir hayır kurumu kurdu.
Tramp, fidye yazılımının altın çocuğu
Lemagit analizine göre, Tramp’ın adına en az 20 bitcoin var ve Ocak 2023’te en az 2.000 kontrol etti – yarısı sürpriz. 2021 sonbaharında Lemagit, önceki aylarda Conti tarafından elde edilen fidye yazılımı ödemelerini milyonlarca dolar izlemişti. Kasım 2023’te Eliptik ve Corvus Insurance, Black Basta’nın daha da kötüsü yapmadığını ve neredeyse iki yıllık faaliyette fidye ödemelerinde 100 milyon dolardan fazla para topladığını tahmin ediyorlar.
Fransa’da Black Basta, Nisan 2022’de Oralia’ya saldırdı, ardından H-tube, Villa Florek, Envea, Dupont Restoran ve Baccarat izledi. Toplamda, 520’den fazla Black Basta kurbanı, Conti için 350’den fazla ile karşılaştırıldığında kamuoyunda bilinmektedir.
Geçen yıl Aralık ayı sonunda verilen borsalarda Tramp’tan iki kez Bitcoin’de ödeme yapmasını istedi. Ödemelerden en az biri, TRAMP tarafından kontrol edildiği bilinen bir adresten geldi.
Ancak takma ad “P1JA” tarafından da bilinen Tramp, Rusya’nın Ukrayna’yı işgal etmesinden kısa bir süre sonra 2022’de parçalanan siber genişleme işi olan Conti’nin görünümü ile fidye yazılımı dünyasına gelmedi.
Lemagit’in bilgilerine göre, bu tür faaliyetlere çok daha uzun süre katıldı. TRAMP ve SSD arasındaki özel tartışmalardan alıntılarda, Kasım 2022’de Windows sistemi adına bir referans var: WIN-7PV24JSN83C.
Kırmızı Sıcak CybeR, Ağustos 2022’de bu makine adını kaydetti. Lemagit, aynı yıl boyunca Lockbit – 2.0 ve 3.0 – olduğunu iddia eden 28 kurban için gözlemledi. Muhtemelen barındırılan bir sanal makineye karşılık gelen bu isim o zamanlar çok yaygın değildi – Ağustos 2022’de, uzman arama motoru Shodan, Rusya’da yer alan IP adreslerinde 190’dan fazla kişi de dahil olmak üzere 200 olay saydı.
Revil ile bir çatışma
Ve hepsi bu değil. Şubat 2025’te açıklanan borsalarda veya Aralık 2024’ün sonunda gönderilenlerde, TRAMP’nin nispeten duyarsız veya yalnızca geçici olarak mevcut olan dosyaları korumak için 123123 şifresini düzenli olarak kullandığı görülmektedir. Ve hemen hemen tek kişi.
Lemagit, 2021’in başında Revil Banner altındaki iki müzakerede bu davranışı gözlemledi, daha sonra birkaç ay sonra Conti markası altında iki tane daha. Bundan önce, 2020’de Egregor tarafından sızdırılan Crysis 3 kaynak kodu aynı şifre tarafından korunan bir arşivde olmuştu.
Limonlu
Mayıs 2021’de, siber suçlular tarafından sıkça görüldüğü bilinen forumlardan birinde P1JA, başka bir kullanıcıyla bir anlaşmazlık için tahkim istedi: “Ben bir pentesterım ve Revil bağlı kuruluş programı ile çalıştım”. Kurbanlarıyla müzakere arayüzüne erişimi geri çekilmişti.
Aynı forumda Tramp, “Washt0n32” takma adı altında da aktifti. Ağustos 2020’de orada kayıt yaptı.
Lemagit ve Ayna Birlikte Oleg Nefedov’dan başarılı olmadan yorum istedi. Black Basta web sitesi ve ticaret arayüzü, yayın sırasında neredeyse iki hafta boyunca erişilemez. Doğrulaştırıcı kaynaklara göre, grubun bazı üyeleri zaten diğerlerinin yanı sıra Akira ve Kaktüs’e geçti.