Lale Çorumlu

ABD makamlarının talebi üzerine. Cuma günü yapılan açıklamada, Rusya Federal Güvenlik Servisi'nin (FSB), REvil fidye yazılımı çetesini "tasfiye etmek" için harekete geçtiği belirtildi.

Yerel raporlara göre, ülkenin ana güvenlik kurumu Leningrad, Lipetsk, Moskova ve St. Petersburg'da 25 lokasyona baskın düzenleyerek, 600.000 dolar dahil olmak üzere çeşitli şekillerde 5,6 milyon dolardan (426 milyon ruble) fazla değere sahip varlıklara el koydu; 500.000 €; çeşitli kripto para miktarları; ve 20 lüks araç.

FSB, toplam 14 iddia edilen siber suçlunun da baskında yakalandığını ve “ödeme araçlarının yasa dışı dolaşımı” ile suçlandıklarını söyledi. Güvenlik servisi ayrıca çetenin altyapısını “etkisizleştirdiğini” söyledi.

Saldırının itici gücü, "suç topluluğunun lideri ve onun yabancı yüksek teknoloji şirketlerinin bilgi kaynaklarına kötü amaçlı yazılımlar sokarak, bilgileri şifreleyerek ve para sızdırarak tecavüzlere karıştığını bildiren ABD makamlarından resmi bir harekete geçme talebi" olduğu bildirildi. FSB medya açıklamasına göre, şifresinin çözülmesi için.

FSB ve Rusya İçişleri Bakanlığı'nın ortak eylemleri sonucunda organize suç topluluğu ortadan kalktı, suç amaçlı kullanılan bilgi altyapısı etkisiz hale getirildi. Yetkili ABD makamlarının temsilcilerine operasyonun sonuçları hakkında bilgi verildi.”

Hareket, Rusya Devlet Başkanı Vladimir Putin ile aylardır Rusya'da yaşayan fidye yazılımı çetelerine karşı eylem çağrısında bulunan ABD Başkanı Joe Biden arasındaki yüksek riskli telefon görüşmesinden iki hafta sonra geldi.

REvil (aka Sodinokibi) bir zamanlar fidye yazılımı gasp raketinde önemli bir fikstür olarak baskın hale geldi - büyük balık hedef ağlarını (JBS Foods gibi) kilitledi ve milyonlarca fidye ödemesi aldı. Geçen yıl Kaseya'nın müşterilerine yönelik genişleyen sıfır gün tedarik zinciri saldırılarıyla manşetlere çıktı; ve kötü şöhretli Colonial Pipeline siber saldırısıyla bağlantılıydı. Bütün bunlar, yaz aylarında Biden'ın Putin'in ülkesinde yuvalanan fidye yazılımı gruplarını kapatması talebiyle resmi bir tepkiye yol açtı.

Bundan kısa bir süre sonra, Temmuz ayında, REvil'in sunucuları gizemli bir şekilde karardı ve iki ay boyunca bu şekilde kaldı. Ancak yaz sonunda, grup bir hizmet olarak fidye yazılımı (RaaS) oyuncusu olarak yeniden doğdu , ancak tüm hesaplara göre eski gücünün çok küçük bir bölümünde faaliyet gösteriyordu ve kilit personel eksikti. Örneğin, ana kodlayıcı UNKN'nin (aka Unknown) gruptan ayrıldığı bildirildi. Ayrıca, RaaS iştiraklerini fidye ödemelerinden adil paylarından kestiği için siber yeraltında başı belaya girdi .

Digital Shadows'ta kıdemli siber tehdit istihbarat analisti Chris Morgan, FSB'nin eylemlerinin siber yeraltında REvil'in siyasi entrikaların tuzağına düştüğü konusunda bazı gevezeliklere yol açtığına dikkat çekti.

“REvil üyelerine yönelik tutuklamaların siyasi güdümlü olması muhtemeldir ve Rusya olayı bir koz olarak kullanmak istemektedir; Bunun ABD'de yakın zamanda önerilen Rusya'ya yönelik yaptırımlarla veya Ukrayna sınırında gelişen durumla ilgili olabileceği tartışılabilir” dedi. "Rus siber suç forumlarındaki sohbetler bu duyguyu tespit etti."

Bir kullanıcının REvil üyelerinin “büyük bir siyasi oyunun piyonları” olduğunu öne sürerken, başka bir kullanıcının Rusya'nın tutuklamaları ABD'nin “sakinleşmesi” için “bilerek” yaptığını öne sürdüğünü söyledi.

REvil Yayından Kaldırma: Fark Edecek mi?

Bildirilen yayından kaldırma, markalı bir fidye yazılımı operatörünü bozmuş olabilir, ancak REvil eskisinden çok uzak ve diğer gruplar cezasız kalmaya devam ediyor. Örneğin, LockBit 2.0, Herjavec Group'un LockBit 2.0 profili ve LockBit 2.0'ın uzun kurbanları listesinin kanıtladığı gibi gelişiyor.

Fidye yazılımı fırsatları da kullanılabilirlik açısından büyüyor; Rapora göre Group-IB, geçtiğimiz yıl 21 yeni RaaS bağlı kuruluş programının ortaya çıktığını ve yeni çifte gasp sızdırma sitelerinin sayısının iki katından fazla artarak 28'e çıktığını tespit etti.

Başka bir deyişle, bu eylem, fidye yazılımlarına karşı çok daha büyük bir savaşta küçük bir kazanç olabilir. Ancak REvil, özellikle Koloni Boru Hattı ile olan potansiyel bağları nedeniyle mücadelede önemli bir sembolik hedef haline geldi ve dünya çapında hükümetlerin ilgi odağı haline geldi.

Ekim ayında, çok ülkeli bir gizli çalışma, REvil'in sunucularının geçici olarak çevrimdışına alınmasına neden oldu. Kasım ayında Europol, ABD tarafından Kaseya saldırılarını da içeren fidye yazılımı saldırılarıyla suçlanan bir Ukrayna vatandaşı da dahil olmak üzere toplam yedi şüpheli REvil/GandCrab fidye yazılımı iştirakinin tutuklandığını duyurdu. Diğer ülkeler de ana çeteyi etkilemeyen bağlı kuruluşları (REvil'in altyapısını kiralayan rastgele siber saldırganlar) engelledi; ancak Ekim ayında Almanya, Rusya'da saklanan ve iadenin ulaşamayacağı bir yerde saklandığı iddia edilen bir çekirdek REvil operatörü tespit etti.

Rusya, kendi adına, bu haftanın eylemi için biraz övgü kazanabilir, ancak araştırmacılar, ülkenin, karşılığında Rus hedeflerine saldırmaktan kaçınan fidye yazılımı beyni için güvenli bir sığınak haline geldiğini uzun zamandır belirtiyorlar.

Tehdit grubu araştırmacısı ve Analyst1'in baş güvenlik stratejisti Jon DiMaggio, geçenlerde, Kasım ayında REvil iştiraklerinin yakalandığı haberinde siber-yeraltının toplu omuz silkmesini tartışırken, “Rusya'da kelimenin tam anlamıyla tutuklanma korkusu yok” dedi. “Vatanı koru, vatan seni korur” gibi yorumlar yapıyorlar…Mesajlarına Rus bayrağı ikonları koyuyorlar.”

Bu değişiyor olabilir mi? Araştırmacılar, bunu sadece zamanın göstereceğini söyledi.

Netenrich'in başlıca tehdit avcısı John Bambinek Threatpost'a verdiği demeçte, "Rusya herhangi bir siber suç raporuna, özellikle de fidye yazılımına göre hareket etmek özellikle nadirdir" dedi. “Çocuk istismarı veya Çeçenleri içermediği sürece, FSB ile işbirliği olmaz. Bunun, (Rus vatandaşlarını hedef almadıkları sürece) Rusya'nın sınırları içindeki suç faaliyetlerine karşı tutumunda büyük bir değişikliği temsil ettiği ve diplomatik konumlarının savunulamaz olduğu ve daha ciddi jeopolitik baskıyı durdurmak için birkaç harcanabilir malzemeyi feda etmeleri gerektiği şüphelidir.”

"Üç ay içinde bu sefer başka bir büyük tutuklama olmazsa, Rusya'nın yaklaşımında gerçek bir değişiklik olmadığını varsayabiliriz."

Digital Shadows 'Morgan, "FSB'nin, grubun ABD için öncelik listesinde üst sıralarda olduğunu bilerek REvil'e baskın yapması ve bunların kaldırılmasının mevcut fidye yazılımı manzarası üzerinde küçük bir etkisi olacağını düşünmesi mümkün," diye ekledi.