Siber Suçlar, Dolandırıcılık Yönetimi ve Siber Suçlar
Polis, Siber Suç Sendikası Üyelerinin İsimlendirilmesi ve Yaptırımlara Uğramasının Etkileri Olduğunu Söyledi
Mathew J. Schwartz (euroinfosec) •
2 Ekim 2024
Batılı kolluk kuvvetleri Rusya’da saklanan siber suç zanlılarını tutuklayamayabilir ancak suçluların operasyonlarını aksatmaya yönelik çabaların etkili olduğu görülüyor.
Ayrıca bakınız: JAPAC | Uygulamalarınızı Güvenceye Alın: Yapay Zeka Tarafından Oluşturulan Kod Riskini Nasıl Önleyeceğinizi Öğrenin
Salı günü kolluk kuvvetleri, LockBit fidye yazılımı operasyonunun yanı sıra saygın Evil Corp siber suç örgütüne bağlı yeni tutuklamalar, yaptırımlar ve altyapı kesintilerini ortaya çıkardı (bkz.: LockBit ve Evil Corp, Fidye Yazılımına Karşı Baskıda Hedef Alındı).
Suçlular genellikle çevrimiçi anonimliklerinden keyif alıyor gibi görünüyor. Polisler giderek daha başarılı bir şekilde onların maskesini düşürüyor. Mesaj açık: “Kim olduğunuzu biliyoruz ve eğer Rusya’dan ayrılmaya çalışırsanız sizi bekliyor olacağız.”
DomainTools’un tehdit istihbaratı başkanı Sean M. McNee, “İnternet belirli bir miktarda anonimlik sağlıyor ve bu da bu tür suçluların adalet önüne çıkarılmayacak gibi görünmesine neden oluyor” dedi. “Anlaşılması zor görünebilir ama hata yapıyorlar. Bu hatalar onların hareketlerini takip etmemize ve operasyonlarına ışık tutmamıza olanak tanıyor.”
Bunun örneği, Fransız yetkililerin talebi üzerine şüpheli bir LockBit bağlı kuruluşunun Ağustos ayında tutuklanmasıdır. Yetkililer şüphelinin veya gözaltına alındıkları ülkenin adını vermedi ancak iadesini istiyorlar.
Bu, kişinin hayatının geri kalanını parmaklıklar ardında geçirebileceği anlamına gelmiyor ancak özellikle ABD’nin de suç duyurusunda bulunması halinde bu riskle karşı karşıya kalacaklar. Doğru, daha önce yükseklerde uçan diğer dört siber suçlu, yakın zamanda bir mahkum takası anlaşmasının parçası olarak Rusya’ya döndü. Gelecekte kaç kişi bu kadar şanslı olacak?
Salı günü ABD, Evil Corp’un ikinci komutanı olduğu iddia edilen Aleksandr Ryzhenkov’un da ismini verdi ve suçladı. İngiltere Ulusal Suç Dairesi, Şubat ayında LockBit’in altyapısına sızdıktan sonra elde ettiği bilgilerin, Ryzhenkov’un grubun bağlı kuruluşlarından biri olduğunu, fidye yazılımını 60 kurbana bulaştırmak için kullandığını ve toplam 100 milyon dolar fidye ödemesi talep ettiğini ortaya çıkardığını söyledi.
NCA’nın bir raporunda Ryzhenkov’un LockBit ile çalışması, ABD’nin Aralık 2019’da çok sayıda Evil Corp üyesini isimlendirip suçlamasıyla harekete geçmiş olabilir, bundan sonra “siber suç ekosistemindeki başarıları ve etkileri azaldı” diyor. “Desteklerinden dolayı CrowdStrike, Intel471 ve Qintel’e.”
Yaptırımlara kadar Evil Corp, kısmen uzun süredir devam eden Dridex bankacılık Truva Atını temel alan BitPaymer fidye yazılımını çalıştırıyordu. ABD gruba yaptırım uyguladığında, gruba herhangi bir fidye ödemek yasa dışı hale geldi.
NCA, “Sonuç olarak grup, çalışma yöntemlerini bir kenara bırakmak ve kendilerine uygulanan ek inceleme ve kısıtlamalardan kaçınmak için yeni taktikler denemek zorunda kaldı.” dedi.
Rusya ilk olarak 2019 yılında bazı şüpheliler hakkında bilgi vererek ABD’ye yardım etmişti ancak yetkililer bilgi akışının aniden durduğunu belirtmişti.
Bu hafta kolluk kuvvetleri tarafından yayınlanan bilgiler bunun nedenini açıklamaya yardımcı oluyor. İngiliz polisi, Evil Corp lideri Maksim Yakubets’in (diğer adıyla Aqua) kayınpederinin, grup üyelerini istihbaratla tanıştıran, Rusya’nın başlıca güvenlik kurumu Federal Güvenlik Servisi’nin (FSB) eski üst düzey yetkilisi Eduard Benderskiy olduğunu söyledi. hizmetler.
NCA Salı günü yaptığı açıklamada, “Benderskiy, 2019’dan önce Evil Corp’u NATO müttefiklerine karşı siber saldırılar ve casusluk operasyonları yürütmekle görevlendiren Rus istihbarat servisleriyle ilişkilerinin önemli bir sağlayıcısıydı” dedi (bkz: Polis, Evil Corp’un Eski Kıdemli FSB Yetkilisi Tarafından Korunduğunu Söyledi).
Bu saldırılar Batı’nın yaptırımlarının hızlanmasına yardımcı oldu. Yanıt olarak, “Benderskiy, hem üst düzey üyelere güvenlik sağlayarak hem de Rus iç otoriteleri tarafından takip edilmemelerini sağlayarak grubu korumak için geniş nüfuzunu kullandı” dedi.
Evil Corp üyeleri için rahat bir yer olan ABD’den gelen yüksek profilli diplomatik taleplerle karşı karşıya kalan Moskova’yı korumak için Yakubets’in kayınpederine mi güveniyordu? NCA, yaptırım uygulanan kişilerden biri olan Igor Turashev’in 2019 ortasında Yakubets’le bir anlaşmazlığa düştüğünü, bunun Aralık 2019’da ABD’deki aksamanın daha da kötüleştiğini ve iki adam arasında “acımasız bir ayrılığa” yol açtığını söyledi.
Turashev, ilk olarak 2019’un ortasında ortaya çıkan ve 2021’de Grief adı altında yeniden markalanmadan önce 2020’nin başlarında çifte gasp saldırılarında kullanılmaya başlayan DoppelPaymer fidye yazılımını çalıştırmaya karıştığı iddiasıyla 2023’ten beri Alman kolluk kuvvetleri tarafından aranıyor.
NCA, Turashev’in ayrılmasının ardından “Yakubets ve Ryzhenkov liderliğindeki geri kalan Evil Corp grubu, sonunda WastedLocker olacak yeni bir fidye yazılımı geliştirmeye başladı” dedi (bkz: Evil Corp’un ‘WastedLocker’ Kampanyası Büyük Fidye Talep Ediyor).
Şubat 2023’te Alman polisi, aralarında bir Alman vatandaşının da bulunduğu DoppelPaymer’in iki “şüpheli çekirdek üyesini” tutukladı. Yetkililer, ABD’li kurbanların gruba Mayıs 2019’dan Mart 2021’e kadar en az 44 milyon dolar ödediğini söyledi.
Bu kârların da vurguladığı gibi, aksamalar ancak bu kadar ileri gidiyor gibi görünüyor. Yine de New York merkezli tehdit istihbarat firması Red Sense’in baş araştırma görevlisi Yelisey Bohuslavskiy, bu tür kesintilerin fidye yazılımı uygulayıcıları ve suç grubu dinamikleri üzerindeki psikolojik etkisini ayrıntılı olarak açıkladı. “İnsanlar yorulur. Psikolojik ve fiziksel olarak yorulurlar” dedi.
Kolluk kuvvetleri, üyeleri neredeyse yirmi yıldır siber suç örgütünün bir parçası olan Evil Corp’u şu ana kadar kapatmadı. Ancak onları yenilik yapmaya (ya da emekli olmaya) zorlamak küçük bir zafer değil; çünkü yenilik zaman ve enerji gerektiriyor; her ikisi de sınırlı kalıyor ve çalışma kapasitesinin azalmasına neden oluyor gibi görünüyor.