Alman polisi, GandCrab ve REvil fidye yazılımı örgütlerinin Rus liderinin gerçek adını açıkladı

 (krebsonsecurity.com)
1 puan yazan GN⁺ 22 일 전 | 1 yorum | WhatsApp'ta paylaş
  • Almanya Federal Kriminal Dairesi, Rus vatandaşı Daniil Maksimovich Shchukin’i GandCrab ve REvil fidye yazılımı örgütlerinin lideri olarak işaret ederek gerçek adını açıkladı
  • Shchukin’in ‘UNKN(UNKNOWN)’ takma adıyla faaliyet gösterdiği ve kurbanlardan iki kez para talep edilen çifte gasp yöntemini devreye sokan kilit isim olduğu belirtiliyor
  • GandCrab, 2018’de ortaya çıkıp affiliate modeli üzerinden yaklaşık 2 milyar dolar gasp ettikten sonra sona erdi; ardından REvil ortaya çıkarak büyük şirketleri hedef almaya başladı
  • ABD Adalet Bakanlığı, Shchukin adına kayıtlı kripto para hesaplarına el konulmasını talep etti; Alman makamları ise onun Rusya’nın Krasnodar kentinde yaşıyor olma ihtimalinin yüksek olduğunu açıkladı
  • REvil, işlerin dış kaynak kullanımıyla yürütüldüğü ve alt ekosistemlere sahip endüstriyel bir suç yapısına dönüştü; ancak 2021’deki Kaseya saldırısının ardından FBI’ın müdahalesiyle çöktü

Almanya, Rus fidye yazılımı örgütleri GandCrab ve REvil’in lideri ‘UNKN’in gerçek adını açıkladı

  • Almanya Federal Kriminal Dairesi (BKA), Rus vatandaşı Daniil Maksimovich Shchukin’i GandCrab ve REvil fidye yazılımı örgütlerinin lideri olarak işaret etti
    • Shchukin, 2019 ile 2021 arasında Almanya’da en az 130 bilgisayar sabotajı ve şantaj eylemine liderlik etmekle suçlanıyor
    • Bir diğer Rus vatandaşı Anatoly Sergeevitsch Kravchuk ile birlikte yaklaşık 2 milyon euro gasp ettiği ve toplamda 35 milyon euronun üzerinde ekonomik zarara yol açtığı değerlendiriliyor
  • BKA, Shchukin’in ‘UNKN’(veya UNKNOWN) takma adıyla faaliyet gösterdiğini ve çifte gasp (double extortion) yöntemini devreye sokan kilit isim olduğunu açıkladı
    • Kurbanlar, şifre çözme anahtarını almak için bir kez, çalınan verilerin yayımlanmaması için ise bir kez daha ödeme yapmak zorunda kalıyordu
    • GandCrab ve REvil, dünya genelinde faaliyet gösteren büyük fidye yazılımı ağları olarak değerlendiriliyor

GandCrab ve REvil’in oluşumu ve evrimi

  • GandCrab fidye yazılımı, Ocak 2018’de ortaya çıktı ve hackerlara yalnızca şirket hesaplarına sızarak gelir paylaşımı sağlayan bir affiliate modeli işletti
    • Geliştirici ekip, güvenlik şirketlerinin karşı hamlelerinden kaçınmak için beş kez büyük sürüm yayımlayarak işlevleri sürekli geliştirdi
    • Mayıs 2019’da yaklaşık 2 milyar dolar gasp ettikten sonra faaliyetlerini sonlandırdığını ilan etti ve “kötülük yaparak da sorunsuz şekilde zengin olunabilir” mesajını bıraktı
  • GandCrab’in sona ermesinin hemen ardından REvil fidye yazılımı ortaya çıktı
    • ‘UNKNOWN’ adlı bir kullanıcı, Rus suç forumlarına 1 milyon dolar yatırarak güven kazandı ve bu durum GandCrab’in yeniden yapılandırılması olarak görüldü
    • REvil, büyük şirketler ve sigortalı kuruluşları ana hedef haline getirip yüksek fidyeler talep eden ‘big-game hunting’ stratejisine evrildi

Shchukin’in kimliği ve uluslararası soruşturma

  • ABD Adalet Bakanlığı, Şubat 2023’te REvil faaliyetlerinden elde edilen geliri içeren kripto para hesaplarına el konulmasını talep ederken Shchukin’in adını açıkça belirtti
    • Söz konusu cüzdanda yaklaşık 317 bin dolar değerinde kripto para bulunuyordu
  • BKA, Shchukin’in Rusya’nın Krasnodar kentinden olduğunu ve hâlen orada yaşıyor olma ihtimalinin yüksek olduğunu açıkladı
    • Ayrıca “yurt dışında bulunuyor olabileceği ve seyahat faaliyetlerinin de dışlanamayacağı” belirtildi

REvil’in örgütsel işleyişi ve endüstrileşmiş suç yapısı

  • Renee Dudley ve Daniel Golden’ın The Ransomware Hunting Team adlı kitabına göre REvil, meşru şirketler gibi işleri dış kaynak kullanımıyla yürütme ve yeniden yatırım (reinvestment) yoluyla verimliliği en üst düzeye çıkardı
    • Geliştiriciler kalite iyileştirmesine odaklanırken, dış hizmet sağlayıcılar web tasarımı, lojistik ve şifreleme hizmetleri gibi işleri üstleniyordu
    • ‘crypter’ sağlayıcıları, ‘initial access broker’lar ve Bitcoin aklama hizmetleri gibi çeşitli alt ekosistemler oluşarak suç endüstrisinin genişlemesine yol açtı

Önemli olaylar ve çöküş

  • 4 Temmuz 2021 hafta sonunda REvil, ABD’li BT yönetim şirketi Kaseya’yı hackleyerek 1.500’den fazla müşterisini etkiledi
    • FBI, REvil sunucularına zaten sızmış olduğunu ancak operasyonun açığa çıkmaması için hemen müdahale edemediğini açıkladı
    • Daha sonra FBI’ın ücretsiz bir şifre çözme anahtarı yayımlamasıyla REvil fiilen çöktü

Ek ipuçları ve kimlik doğrulama

  • Siber istihbarat şirketi Intel 471’in forum analizine göre Shchukin, geçmişte ‘Ger0in’ adıyla botnet işletme ve kötü amaçlı yazılım kurulum hizmetleri satmış olabilir
    • Ger0in, 2010 ile 2011 arasında faaliyet gösterdi ancak UNKNOWN ile doğrudan bağlantısı doğrulanmadı
  • Pimeyes görsel karşılaştırma sitesi üzerinden, BKA’nın yayımladığı fotoğraf ile 2023 tarihli Krasnodar doğum günü partisi fotoğrafındaki kişinin aynı saati taktığı yönünde eşleşme bulundu
  • 2023’te Almanya’daki CCC(Chaos Communication Congress) konferansında da Shchukin’in REvil lideri olarak anıldığı İngilizce dublajlı bir ses kaydı yayımlandı

İlgili okumalar

1 yorum

 
GN⁺ 22 일 전
Hacker News görüşleri

  • Birkaç yıl önce CCC mensubu hackerların bu kişilerden birinin kimliğini zaten ortaya çıkardığını duymuştum
    Güncellemede bahsedildiği gibi CCC sunum videosunda da ele alınmıştı
    Soruşturma makamlarının bunu bağımsız olarak mı ortaya çıkardığını, yoksa daha önce savunma tarafında yer alan hackerlardan yardım mı istediğini merak ediyorum

    • Bu konuda çok derin bilgim yok ama genel olarak CCC ile BND (Alman istihbarat kurumu) arasında sıcak bir ilişki yok
      Özellikle BND'nin Alman vatandaşlarını gözetlediği olaydan sonra daha da öyle; tarihsel olarak da aralarında gerilim vardı
      Bu yüzden bir hacker BND ile işbirliği yaparsa diğer hackerlar arasında güven kaybetme riski olur
    • Linus Neumann da yakın zamanda Logbuch Netzpolitik podcast bölümünde bunun neden şimdi yaşandığına şaşırdığını söylemişti
      Onlara da resmî olarak hiç ulaşılmadığını söylüyor

  • Spiegel kısa süre önce bu olayla ilgili bir video haberi yayımladı

  • Birini “en çok arananlar listesine” koymanın doxing sayılıp sayılmadığını merak ediyorum
    Resmî açıklamada “Daniil Maksimovich Shchukin, şirketlere ve kamu kurumlarına yönelik fidye yazılımı şantajı suçlamasıyla uluslararası olarak aranıyor” deniyor

    • Bu ifade bana rahatsız edici geliyor. ‘doxing’ aslında olumsuz bir anlam taşır ve yanlış bir şey yapmamış birinin kişisel bilgilerinin yayımlanması için kullanılır
      Burada ‘accuse’ ya da ‘unmask’in daha doğru ifadeler olduğunu düşünüyorum
    • Dil değiştikçe bugünlerde ‘doxing’ sanki basitçe kişisel bilgilerin rıza olmadan yayımlanması anlamında kullanılıyor gibi
    • ABD'nin onu zaten 3 yıl önce teşhis ettiğine dair de yorumlar var
    • Bu mantığı anlamakta zorlanıyorum. GDPR fazla ciddiye alınıyor gibi geliyor (şaka)
    • Sadece ‘UNKN’ aranıyorlar listesine eklenmiş olsaydı bu doxing olmazdı ama ‘UNKN’in gerçek isimle ilişkilendirilmesi nedeniyle doxing sayılabilir

  • “Anonim bir şantajcının adını açıkladılar” ifadesinin neden doxing olduğunu anlamıyorum
    Haberde adres, aile bilgileri ya da iletişim bilgileri yok; sadece “yakalanması istenen kişi” açıklanmış

    • Bugünlerde ‘doxing’in anlamı galiba ‘kişinin rızası olmadan bilgi ifşa etmek’ yönünde genişledi
      Sorun şu ki böyle bir ifşa nedeniyle çevresindeki insanlar onu suçlu ya da zengin komşu olarak görebilir ve hırsızlık ya da şantaj girişimleri ortaya çıkabilir
      Hatta gerçekten doxlanan siber suçluları şantajla sıkıştırmaya çalışmak için istihbarat görevlisi taklidi yapan vakalar bile oldu
    • Ayrıca “Almanya istiyor” demesinin kendi başına çok etkili göründüğünü de sanmıyorum

  • İnsanlar ‘doxing’ kelimesinin anlamına fazla takılıyor gibi geliyor
    Anonim hacking topluluklarında birinin OPSEC'ini (operasyonel güvenliğini) açığa çıkarmak başlı başına doxing sayılır
    Bazıları tüm OPSEC hatalarını hemen açıklayan bir ‘full disclosure’ yaklaşımını benimser
    Aksi takdirde birinin bu bilgileri biriktirip sonra şantaj için kullanması söz konusu olabilir

  • Doğru yazımın ‘doxxes’ olduğunu düşünüyorum. ‘doxes’ telaffuz olarak ‘doksiz’ gibi geliyor ve kulağa tuhaf geliyor
    Birkaç on yıl önce böyle bir başlık başlı başına anlaşılmaz bir kelime oyunu gibi gelirdi

  • Resmî arananlar listesine eklenmenin ne zamandan beri doxing sayıldığını bilmiyorum
    Bilginin kaldırılmasını istiyorsa mahkemeye çıkması yeterli