27 Mayıs 2025’te, 37 yaşındaki İran ulusal Sina Gholinejad, Kuzey Carolina federal mahkemesinde, ABD şehirlerini, şirketlerini ve sağlık kuruluşlarını hedefleyen uluslararası Robbinhood fidye yazılımı kampanyasındaki merkezi rolünü kabul ederek bilgisayar sahtekarlığı ve komplo suçlamalarından suçlu bulundu.
Ocak 2019’dan Mart 2024’e kadar uzanan saldırılar, kritik verileri şifreledi ve bitcoin fidye istedi ve on milyonlarca dolar kayıplara neden oldu ve temel kamu hizmetlerine uzun süreli kesintiler.
Bu olaylardan en kötü şöhreti, şehri yüzlerce bilgisayarın bağlantısını kesmeye, emlak vergileri, su faturaları ve park biletleri için çevrimiçi ödeme portallarını sakatlamaya zorlayan ve 19 milyon doların üzerinde iyileşme ve kaybedilen gelire mal olan Mayıs 2019’daki Baltimore, Maryland’e yapılan Mayıs 2019 saldırısı oldu.
.png
)
Diğer kurbanlar arasında Kuzey Carolina, Greenville; Gresham, Oregon; Yonkers, New York; ve birkaç kar amacı gütmeyen ve sağlık kuruluşu.
Teknik detaylar ve saldırı zinciri
Robbinhood fidye yazılımı, hedeflenen yaklaşımı ve sofistike kaçırma teknikleri ile dikkat çekiyor.
Saldırganlar genellikle uzlaşmış yönetici hesapları veya açılmamış güvenlik açıkları aracılığıyla ilk erişim elde ettiler, daha sonra fidye yazılımı yükünü kurban ağlarına manuel olarak dağıttılar.
Robinhood’un temel teknik özellikleri şunları içerir:
- Hizmet Bozukluğu: Kötü amaçlı yazılım, antivirüs, veritabanları ve posta sunucuları için olanlar da dahil olmak üzere yaklaşık 200 Windows hizmetini durdurmaya komutlar, metin gibi kodlar kullanarak
cmd.exe /c sc.exe stop/y - Ağ İzolasyonu: Enfekte makineleri izole etmek için tüm ağ paylaşımlarını ayırır: metin
cmd.exe /c net use * /DELETE /Y - Veri Şifrelemesi: Her dosya için Robinhood benzersiz bir AES anahtarı oluşturur, ardından bu anahtarı ve orijinal dosya adını bir RSA genel anahtarıyla şifreler.
- Şifrelenmiş dosyalar: metin olarak yeniden adlandırılır
Encrypted_[randomstring].enc_robbinhood - Kalıcılık ve temizlik: Fidye yazılımı, kurtarma ve adli analiz metnini önlemek için gölge kopyalarını ve olay günlüklerini siler
vssadmin.exe delete shadows /all /quiet wevtutil.exe cl Application - Savunma Kaçma: Kritik bir yenilik, tamamen yamalı Windows sistemlerini bile atlayarak, çekirdek düzeyinde uç nokta güvenlik yazılımını devre dışı bırakmak için meşru ancak savunmasız bir gigabayt sürücünün (CVE-2018-19320) kullanılmasıdır.
Mağdurlar, ödeme gecikmesi durumunda artan ücretler ve kalıcı veri kaybı tehditleri ile Bitcoin ödemelerini talep eden fidye notları aldı.
Finansal etki ve kara para aklama
Robinhood saldırıları ciddi finansal ve operasyonel hasar verdi.
Baltimore tek başına iyileşme için 19 milyon doların üzerinde para harcarken, diğer şehirler ve kuruluşlar da benzer milyonlarca dolarlık kayıplarla karşılaştı.
Saldırganlar, kripto para birimi karıştırma hizmetleri ve “zincir atlama” yoluyla fidye ödemelerini akladı, bu da para izini gizlemek için farklı kripto para birimleri arasında hareket eden varlıklar.
Tespitten daha da kaçınmak için Gholinejad ve eş-komplocuları, Avrupa’da sanal özel ağlar (VPN’ler), sanal özel sunucular (VPSS) ve fidye iletişimleri için TOR ile barındırılan müzakere siteleri kullandılar.
Risk Faktörleri Tablosu
| Risk faktörü | Tanım | Etki seviyesi |
|---|---|---|
| Savunmasız uzaktan erişim | Patched RDP hizmetlerinin veya zayıf kimlik bilgilerinin kullanılması | Yüksek |
| Ağ segmentasyon eksikliği | Düz ağlar yanal harekete ve fidye yazılımlarının manuel olarak dağıtılmasına izin verdi | Yüksek |
| Eski güvenlik yazılımı | Güvenlik savunmalarını devre dışı bırakmak için savunmasız sürücülerin (örn. Gigabyte CVE-2018-19320) kullanımı | Eleştirel |
| Yetersiz yedeklemeler | Yetersiz veya tehlikeye atılmış yedeklemeler hızlı iyileşmeyi önledi | Yüksek |
| Gecikmeli olay yanıtı | Afet kurtarma planlarının eksikliği uzatma süresi ve kayıplar | Yüksek |
| Kripto para ödemeleri | Bitcoin ve mikserlerin kullanımı anonim fidye koleksiyonunu ve aklamayı kolaylaştırdı | Yüksek |
| Sınırlı Kullanıcı Eğitimi | Sosyal Mühendislik ve Kimlik avı, ilk uzlaşma riskini artırın | Ilıman |
Kolluk Yanıtı ve Mahkeme
Gholinejad, Ocak 2025’te Raleigh-Durham Uluslararası Havalimanı’nda tutuklandı ve şimdi 30 yıla kadar hapis cezasına çarptırıldı ve Ağustos ayında cezalandırıldı.
ABD Adalet Bakanlığı, FBI ve uluslararası ortakların desteğiyle, kritik altyapı ve kamu hizmetlerini hedefleyen siber suçluların konumlarından bağımsız olarak yargılanacağını vurguladı.
Robbinhood davası, hizmet olarak fidye yazılımı tehdidinin ve hem kamu hem de özel sektörlerde güçlü siber güvenlik, düzenli yama, ağ segmentasyonu ve kapsamlı felaket kurtarma planlaması için acil ihtiyacın altını çiziyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!