Birleşik Krallık Ulusal Suç Ajansı (NCA), kötü şöhretli çeteye karşı devam eden Cronos Operasyonu’nu çökertme eylemi devam ederken, bazılarının şüphelendiği ancak hiçbir zaman başarılı olamayan Evil Corp siber suç örgütüyle olan ilişkisini açığa çıkarırken, yüksek profilli bir LockBit bağlı kuruluşunun adını verdi ve onu utandırdı. şu ana kadar doğrulandı.
Şubat ayında Cronos Operasyonu başladığında eline geçen bilgi hazinesini taramak için aylar harcayan NCA, bugün Beverley adına çalışan bireysel bir LockBit bağlı kuruluşunun aynı zamanda Kötülük’te kilit bir oyuncu olduğunu güvenle ileri sürdü. Corp imparatorluğu.
Gerçek adı Aleksandr Ryzhenkov’dur ve on yılı aşkın bir süre Evil Corp’un kötü şöhretli dehası Maksim Yakubets’in sağ kolu olarak hizmet etmiştir.
Yakubets’in güvenilir bir ortağı ve arkadaşı olan Ryzhenkov, 2020 yılı civarında Evil Corp tarafından dağıtılan WastedLocker fidye yazılımının geliştirilmesinde aktif bir rol üstlendi; bu sırada grup, Aralık 2019’da kendisine karşı düzenlenen bir operasyonun ardından kargaşa içindeydi. NCA, Ryzhenkov’un 2022’den itibaren LockBit üyesi olarak çalıştığını söyledi.
Cronos Operasyonu’nda kıdemli soruşturma memuru olan Gavin Webb, LockBit’in yöneticisi LockBitSupp’un (gerçek adı Dmitry Khoroshev) geçmişte uzun ömürlü Evil Corp çetesiyle herhangi bir bağlantısı olduğunu reddettiğini söyledi.
“LockBit, Evil Corp ile hiçbir zaman çalışmadığını çok açık bir şekilde ortaya koydu ve biz de burada çalıştıklarını çok açık bir şekilde gösterebildik. Bir önemli bağlı kuruluş [Ryzhenkov] 100 milyon dolar değerinde Bitcoin’i sızdırmaya çalışmaktan ve ayrıca en az 60 kurbanı hedef alıp bunlara karşı yapılar oluşturmaktan sorumluydu” diyen Webb, NCA’nın hala Cronos Operasyonu’nda yer alan daha geniş bir grup kurumla birlikte çalışarak olayın tüm ayrıntılarını ortaya çıkarmaya çalıştığını ekledi. LockBit ortaklık etkinliği ve bulmacanın parçalarının birbirine nasıl uyduğu.
Ryzhenkov’un yanı sıra, Birleşik Krallık’ta Evil Corp ile bağlantılı toplam 16 kişiye de yaptırım uygulanırken, ABD’de de Ryzhenkov’a karşı yeni bir iddianame açıldı.
Evil Corp’un yıllar içinde dünyanın dört bir yanındaki kurbanlardan 300 milyon dolar kazandığı düşünülüyor; aralarında kritik ulusal altyapı (CNI) operatörlerinin, sağlık sektörü kuruluşlarının, hükümet ve kamu kurumlarının da bulunduğu bilinen kurbanlar var.
NCA’nın tehditlerden sorumlu genel müdürü James Babbage şunları söyledi: “Bugün açıklanan eylem, NCA’nın tüm zamanların en zararlı iki siber suç grubuna yönelik kapsamlı ve karmaşık soruşturmalarıyla birlikte gerçekleşti.
“Bu yaptırımlar, LockBit üyesi olan biri de dahil olmak üzere Evil Corp’un diğer üyelerini ve onların faaliyetlerini mümkün kılmakta kritik öneme sahip olanları açığa çıkarıyor.
“2019 yılında ABD’nin Evil Corp’a karşı eylemini desteklediğimizden beri üyeler taktiklerini değiştirdiler ve gruba atfedilen zararlar önemli ölçüde azaldı. Bu yeni atamaların devam eden suç faaliyetlerini de sekteye uğratmasını bekliyoruz.
Putin’in cebinde
Soruşturması sırasında NCA, Evil Corp ile Kremlin arasında uzun zamandır şüphelenilen bağlantılara dair kanıtları da güçlendirdi ve Evil Corp’un elebaşı Yakubets’in Rus hükümetinin cebinde olduğunu ve aktif olarak istihbarat topluluğunun en üst düzeylerinde temas ve bağlantılar aradığını ortaya çıkardı. .
Yakubets’in bu konuda, FSB’de eski üst düzey bir yetkili olan kayınpederi Eduard Benderskiy’den yardım alması anlamlıydı; bu kişi, Yakubets’in Rus devletiyle ilişkilerini geliştirmesi için bağlantılarını kullandı.
Yakubets ile devlet arasında, muhtemelen Rusya lideri Vladimir Putin’in kulağına sahip olan eski Spetsnaz subayı Benderskiy aracılığıyla bir bağlantının var olduğu uzun zamandır biliniyordu.
Ancak NCA, 2019’dan önce Evil Corp’un resmi olarak NATO ülkelerine karşı siber saldırılar ve casusluk eylemleri yürütmekle görevlendirildiğine dair yeni istihbaratı da ortaya çıkardı.
Yakubets’in ABD tarafından suçlandığı Aralık 2019’da Evil Corp’a karşı düzenlenen eylemin ardından Benderskiy, aile üyelerinin yalnız kalmasını sağlamak için Rus hükümetindeki diğer kişilere yaslanarak nüfuzunu Moskova’da da kullanmaya başladı.
Hem Viktor Yakubets hem de Eduard Benderskiy bugün yaptırım uygulanan kişiler arasında yer alıyor.
NCA, ikisi arasındaki ilişkinin son derece sıra dışı olduğunu ve Rusya merkezli siber suç çetelerinin çoğunun, Moskova’dan belirli bir dereceye kadar mesafeli “koruma” almasına rağmen mali motivasyonla faaliyet gösterdiğini vurguladı.
İngiltere Dışişleri Bakanı David Lammy şunları söyledi: “Kremlin’i elimizdeki tüm yaptırımlarla hedef almayı kişisel görevim haline getiriyorum. Putin, merkezinde kendisinin olduğu yozlaşmış bir mafya devleti kurdu. Bununla her fırsatta mücadele etmeliyiz ve bugünkü eylem sadece başlangıçtır.”
LockBit’in kaldırılması çete için bir aşağılama
2023’ün başında Royal Mail’in uluslararası hizmetlerini haftalarca rezil bir şekilde kesintiye uğratan LockBit çetesi, bir noktada dünya çapında bilinen tüm fidye yazılımı saldırılarının dörtte birinden fazlasını oluşturduğu üretken bir suç çılgınlığının ardından Şubat 2024’te Cronos Operasyonu’yla çökertildi. .
Cronos Operasyonu, LockBit operasyonunun neredeyse tamamen tehlikeye girmesiyle sonuçlandı. Bu, yalnızca sunucu altyapısının teknik olarak devre dışı bırakılmasıyla değil, aynı zamanda çetenin bazı taktiklerini yaratıcı bir şekilde değiştirerek başarıldı; bunların arasında, kendini beğenmiş lideri Khoroshev de dahil olmak üzere kilit üyelerin isimlendirilmesi ve utandırılması da vardı.
Özellikle, Khoroshev’in kendisi de NCA tarafından, kendisinin iddia ettiği gibi bir Lamborghini değil, yaptırım uygulanan Rusya’da yaşadığı için artık yedek parça alamadığı eski bir Mercedes kullandığını açıkladığı yılın başında trollenmişti.
Siber uzmanlar, yetkililerin bu şekilde mürettebatın faaliyet gösterememesini sağlamakla kalmayıp aynı zamanda meslektaşlarının gözünde küçük düşürülmesini de sağladığını ve LockBit ile ilişkili veya bağlantılı kişilerin ilk başta karşı koyma girişiminde bulunmasına rağmen itibarın zarar gördüğünü söylüyor. mürettebatın kaldırmaya devam etmesi ve dengesiz Khoroshev’in yeraltı siber suç forumlarından men edilmesine neden olan bir dizi patlama, artık kimsenin LockBit ile çalışmak istemediği anlamına geliyordu ve bu çabalar büyük ölçüde sekteye uğradı.
Bu, LockBit’ten kaynaklanan tehlikenin geçtiği anlamına gelmiyor; sekiz ay geçmesine rağmen fidye yazılımı dolabının kendisi hâlâ bir tehdit olmaya devam ediyor ve yeni kurbanlar üzerinde kullanılıyor, ancak daha eski olma eğilimindeydi ve sızdırılmış yapılar kısa sürede pek başarılı olamamıştı. bağlı kuruluşlar. NCA, güvenilirliği paramparça olan LockBit çetesinin eskisi gibi olmadığını söyledi.
Webb, “Yaptığımız kesinti, grubun büyüme yörüngesini bozmak ve daha da büyümelerini engellemekle ilgili olduğu kadar, grubu da bozmaktı” dedi.
Daha fazla tutuklama
NCA, son haftalarda İngiltere ve Avrupa’da LockBit için para aklayan kişilerin daha fazla tutuklandığını ortaya çıkardı. Fransız yetkililer şüpheli bir geliştiriciyi tutuklarken, İspanya’da LockBit altyapısının ana kolaylaştırıcılarından biri gözaltına alındı ve toplam dokuz sunucuya el konuldu.
NCA ayrıca, Şubat ayında devraldığı ve siber suçlularla alay etmek için kullandığı LockBit’in karanlık web portalını da yeniden başlattı ve son haftalarda tutuklanan bazı kişiler hakkında daha fazla ayrıntı yayınladı.