Kolluk kuvvetleri genellikle siber suç faaliyetlerini caydırmak için çok az şey yapar. Ancak geçen hafta, kötü şöhretli REvil fidye yazılımı grubunun birkaç üyesinin Rusya’da tutuklanması ve suç altyapısının dağıtılması, sonunda en azından bazı tehdit aktörlerinin dikkatini çekmiş görünüyor.
Bu hafta yeraltı forumlarındaki sohbetleri düzenli olarak izleyen Trustwave araştırmacıları, REvil tutuklamalarını takip eden günlerde Doğu Avrupa siber suçluları arasında önemli endişe ve şaşkınlık belirtileri gözlemledi. Görünüşe göre birçok tehdit aktörü, Rusya’nın operasyonları için bir sığınak olduğundan daha az emin görünüyor ve Rus ve ABD makamları arasındaki işbirliğinin gelecekte kendileri için büyük sorunlar oluşturabileceğinden korkuyor.
“Tehdit aktörlerinin [have been] Trustwave SpiderLabs’ın kıdemli güvenlik araştırma müdürü Karl Sigler, daha önce bazı istikrarsızlık, korku ve paranoya hissetmeye karşı savunmasız hissetmekten sarsıldı” diyor. Bu duygunun ne kadar süre devam edeceği tamamen takip eden yasal işlemlerin ne kadar cezalandırıcı olacağına bağlı. tutuklananlar, diyor.
Geçen Cuma günü, Rusya Federal Güvenlik Servisi (FSB), REvil çetesinin 14 üyesini tutukladığını ve REvil’in olağanüstü fidye yazılımı operasyonlarını engellemeyi amaçlayan eylemlerde bireylerle ilişkili 25 yere baskın düzenlediğini duyurdu. Baskınlar, FSB’nin çeşitli para birimlerinde 6.8 milyon dolar eşdeğerinin yanı sıra 20 lüks araç, kripto para cüzdanı ve çete üyelerinin REvil operasyonlarının bir parçası olarak kullandığı bilgisayar ekipmanına el koymasıyla sonuçlandı.
Pek çok güvenlik uzmanı, ABD ile Rusya arasında Ukrayna’nın olası bir işgali konusunda gergin görüşmelerin tam ortasında zamanlaması nedeniyle tutuklamaları biraz şüpheyle karşıladı. Şüpheciler, FSB’nin hareketini, kötü amaçlı yazılımı kullanan gruplar tarafından geçen Mayıs ve Haziran aylarında JBS Foods ve Kaseya’ya yönelik fidye yazılımı saldırılarının ardından REvil’in oluşturduğu tehdit konusunda derin endişelerini dile getiren ABD’nin gözüne girmek için hesaplanmış olarak gördüler.
Şüpheli saiklere rağmen, FSB’nin eylemi önemliydi ve Rus makamlarının kendi sınırları içinde ve aynı zamanda ABD’nin emriyle faaliyet gösteren büyük bir siber tehdit grubuna karşı ilk kez harekete geçtiğine işaret ediyordu. Geçmişte Rusya, tehdit aktörlerinin ülke içinde özgürce hareket edebileceklerini kabul etmeyi bile reddetmişti çünkü ülkeyi onlar için güvenli bir liman olarak algılamıştı.
güven dalgası bulundu FSB’nin geçen haftaki sürpriz tutuklamalarının bu gönül rahatlığı duygusunu önemli ölçüde sarstığını söyledi. Güvenlik sağlayıcısı, yeraltı forumlarında tutuklanma ve Rusya’nın artık operasyonları için güvenli bir yer olmaması konusundaki endişelerini dile getiren tehdit aktörlerini gözlemledi. Hatta bazıları operasyonları Hindistan’a, Orta Doğu’ya, Çin’e ve hatta İsrail’e taşıma potansiyelini tartışmaya başladı bile.
Trustwave’in aktardığına göre bir forum üyesi, “Aslında açık olan bir şey var ki, devletin kendilerini korumasını bekleyenler büyük ölçüde hayal kırıklığına uğrayacak,” dedi.
Korku, Belirsizlik ve Şüphe
Trustwave, tutuklamaların Doğu Avrupa siber suç topluluğu içinde kendi saflarında potansiyel bir köstebek hakkında bazı paranoyaları da körüklediğini tespit etti. Görünüşe göre, kolluk kuvvetleriyle gizlice çalışan bir forum yöneticisi hakkında bazı endişeler var. Bireyin çifte rolüyle ilgili şüpheler, bir forum üyesini, muhtemelen bireyi forumun yasa dışı faaliyetlerine bağlamak için, yöneticiyle yaptığı kişisel yazışmaların bir bölümünü yayınlama planlarını duyurmaya sevk etti.
Diğerleri, Tor gibi mekanizmalardan yararlanarak, eski mesajları silerek, şifrelemeyi kullanarak ve çalınan tüm verileri ve diğer eserleri tek bir bilgisayarda tutmayarak kanun yaptırımlarına maruz kalmanın nasıl azaltılacağı konusunda tavsiyeler sunmaya başladı. Trustwave bir forum üyesinin şunları söylediğini gözlemledi: “Artık herhangi bir yerde herhangi bir şey yazmak tehlikeli. Siber suçla bağlantılı olan tüm gönderilerin temizlenmesi gerekiyor.”
Siber suçluların birbirlerine sunduğu ipuçlarından biri, REvil’in büyük, milyarlarca ABD’li kuruluşa ve JBS Foods gibi kritik altyapı sektörlerindeki hedeflere yaptığı saldırılarla dikkat çekmekten kaçınmaktır. Trustwave, birkaç forum üyesinin, REvil’in düşüşünün, çokça duyurulan böbürlenmesinden ve Rus hükümetine harekete geçmesi için baskı yapacak güce sahip ülkelerde bulunan kuruluşları ölçüsüzce hedef almasından kaynaklandığını öne sürdüklerini gözlemledi.
Sigler, yeraltı forumlarındaki sohbet hacminin daha önce gözlemlediğinden daha yüksek olduğunu söylüyor.
“Tutuklanma korkusunun düzeyi ve anavatanlarının artık güvenli bir sığınak olmadığı olasılığı etrafındaki tartışma benzersizdir” diyor. ABD ve Rusya arasındaki işbirliğinin, operasyonlarının ileriye dönük olarak bir sorun teşkil edeceğine dair ciddi endişeler var” dedi.