Dolandırıcılık Yönetimi ve Siber Suç, Fidye Yazılımı
Ryuk ve diğer fidye yazılımlarını yaymakla suçlanan 33 yaşındaki yabancı ulusal
Mathew J. Schwartz (Euroinfosec) •
19 Haziran 2025
Fidye yazılımı kullanan bir grup için şüpheli bir başlangıç erişim uzmanı, yargılanmak için Ukrayna’dan Amerika Birleşik Devletleri’ne iade ediliyor.
Ayrıca bakınız: En son Geter ATT & CK değerlendirmeleri için tam kılavuz
Ukrayna polisi, 33 yaşındaki adamı, çeşitli fidye yazılımı suşlarını kullanarak hedeften yararlanan grubun ilk erişimini sağlamak için kurumsal ağlarda güvenlik açıkları bulmakla suçladı.
Yetkililer şüpheliyi adlandırmadılar, ancak Ukrayna vatandaşı olmadığını söyledi. ABD Adalet Bakanlığı, yorum talebine hemen yanıt vermedi.
Polis, FBI onu uluslararası bir saat listesine koyduktan sonra ikamet ettiği Kiev’de Nisan ayında adamı tutukladı. Yetkililer, şüphelinin Kiev Bölge Mahkemesi’nin iadesini onayladıktan sonra Çarşamba günü ABD’nin gözaltına alındığını söyledi.
Bir makine çevirisine göre, savcının Ukrayna Başsavcısı Ukrayna Başsavcısı, şüphelinin, diğer kötü amaçlı yazılım türlerinin yanı sıra, “Ryuk fidye yazılımlarının yayılmasına katılan organize bir suç grubunun üyesi olmakla suçlanan ABD suçlamalarına dayanarak tutuklandığını söyledi.
Fidye yazılımı kullanan suç grubu, 70’den fazla ülkedeki kuruluşlara karşı 2.400’den fazla saldırı sürdürmek ve fidye ödemeleri almakla suçlanıyor – zorla şifrelenmiş verilerin şifresini çözme vaadi karşılığında – 100 milyon doları aşan.
Ukrayna polisi, şüphelinin 2023’ün sonlarında ele geçirilen bilgiler sayesinde, birden fazla fidye yazılımı suşuna sahip bir Ukrayna suç grubunu hedefleyen uluslararası bir polis operasyonunun bir parçası olarak tanımlandığını söyledi.
Ukrayna polisi, 2019’da Norveçli dev Norsk Hydro da dahil olmak üzere fidye yazılımlarını kullanan grubu, 450 bitcoin fidye ödeyen ve daha sonra 1.3 milyon dolar değerinde ABD merkezli bir kimyasal şirketin Hollanda kolu da dahil olmak üzere dünyanın en büyük şirketlerinden bazılarına saldırmakla suçladı.
Aynı kolluk soruşturmasının bir parçası olarak, Kasım 2023’te Ukrayna polisi, ABD, Norveç, Hollanda, Almanya ve Fransa’daki kolluk kuvvetlerinin yardımıyla “Hacker Group’un 32 yaşındaki lideri ve en aktif dört suç ortağı” tutukladıklarını söyledi (bakınız: bkz: bkz: Polis, Ukrayna’da Şüpheli Fidye Yazılım Grubu Ringleader).
Operasyonun koordine edilmesine yardımcı olan AB’nin kolluk istihbarat ajansı Europol, kurbanlara saldırmak için Dharma, Hive, Lockergoga ve Megacorteks gibi kripto kilitleme kötü amaçlı yazılım suşlarını kullanmakla suçladı.
Bu baskının bir parçası olarak, kolluk kuvvetleri Ukrayna’da 80’den fazla arama gerçekleştirdi, yarım milyon dolardan fazla kripto para birimi varlığı, dokuz lüks otomobil ve toplamda yaklaşık 30 dönümlük bir alanı olan 24 araziyi ele geçirdi.
Bu aramalar, nöbetler ve kısmen dijital adli kanıtlara dayanan beş şüphelinin tutuklanması, Ekim 2021’de polisin hem Ukrayna hem de İsviçre’de 12 “yüksek değerli hedefleri” gözaltına aldığı ilk tutuklama turundan toplandı.
Şüpheli bilgisayar korsanlarının bazıları, kaba kuvvet saldırıları, SQL enjeksiyonları, çalıntı kimlik bilgileri ve kötü niyetli eklere sahip kimlik avı e-postaları da dahil olmak üzere ağlara ilk erişimle uğraştığı iddia ediliyor. Europol, “Bir kez ağda, bu siber aktörlerin bazıları yanal olarak hareket etmeye, hilebot gibi kötü amaçlı yazılımları veya Cobalt Strike veya Powershell İmparatorluğu gibi sömürü sonrası çerçeveleri dağıtmaya odaklanacak ve tespit edilmemiş kalmak ve daha fazla erişim elde etmek için.” Dedi.
Müfettişler daha önce, hizmet olarak büyük bir fidye yazılımı olan Ryuk’un iştirakleri olarak çalışmakla suçlamamıştı.
TRM Labs, Ryuk ilk olarak 2018’in ortalarında, Mayıs 2020 civarında Conti olarak yeniden markalaşmadan ve 2021’in sonuna kadar Trickbot ile birleşmeye başladığını söyledi. Grup, kötü amaçlı yazılımlarını yaymaya yardımcı olmak için Trickbot gibi damlalara güveniyordu.
Conti operasyonu, operatörlerinin Cumhurbaşkanı Vladimir Putin’in Ukrayna’ya karşı fethi savaşını alenen geri götürme kararından sonra 2022’de dağılmış gibi görünüyor. Kaybolmadan önce Conti, Akira, Black Basta, Hive ve Royal dahil olmak üzere birden fazla spinoff ortaya çıkardı (bkz:: Fidye yazılımı sızıntı siteleri, saldırıların rekor seviyeye ulaşmasını önerir).