Avustralya Federal Polisi, 9,7 milyon müşterinin kişisel verilerini tehlikeye atan Medibank fidye yazılımı saldırısının arkasındaki siber suçluları tespit ettiğini iddia ediyor.
AFP Komiseri Reece Kershaw söz konusu Cuma günü, ajansın Avustralya’nın en büyük özel sağlık sigortasına yapılan saldırıdan sorumlu kişilerin kimliğini bildiğini bildirdi. Kişilerin isimlerini vermeyi reddetti, ancak AFP’nin ihlalden sorumlu olanların Rusya’da olduğuna inandığını, ancak bazı bağlı kuruluşların başka ülkelerde olabileceğini söyledi.
Kendi Medibank verileri çalınan Avustralya Başbakanı Anthony Albanese, bir tweet’te, AFP’nin bilgisayar korsanlarının nerede olduğunu bildiğini ve onları adalete teslim etmek için çalıştığını söyledi.
Kershaw, polis istihbaratının, dünya çapında önceki önemli veri ihlallerinden muhtemelen sorumlu olan, ancak kurbanların isimlerini vermediği, “gevşek bir şekilde bağlantılı siber suçlular grubuna” işaret ettiğini söyledi.
LockBit gibi bir hizmet operasyonu olarak fidye yazılımlarına işaret ederek, “Bu siber suçlular, işi destekleyen bağlı kuruluşlar ve ortaklarla bir işletme gibi çalışıyor” diye ekledi. Perşembe günü, LockBit operasyonuyla bağlantılı ikili bir Rus-Kanada vatandaşı Kanada’da tutuklandı.
Medibank ihlalinin arkasındaki bilgisayar korsanları daha önce Sodinokibi olarak da bilinen yüksek profilli Rus siber suç çetesi REvil ile bağlantılıydı. REvil’in bir zamanlar feshedilmiş olan dark web sızıntısı sitesi artık trafiği, çalınan Medibank verilerini barındıran yeni bir siteye yönlendiriyor ve ihlalin arkasındaki bilgisayar korsanları, REvil’in dosya şifreleyen kötü amaçlı yazılımının bir çeşidini kullanarak da gözlemlendi.
Canberra’daki Rus Büyükelçiliği, Medibank bilgisayar korsanlarının Rusya merkezli olduğu yönündeki iddiaları hemen yalanladı. Büyükelçilikten yapılan açıklamada, “Nedense bu duyuru, AFP’nin mevcut profesyonel iletişim kanalları aracılığıyla Rus tarafıyla temas kurmasından önce yapıldı” dedi. Cuma günü açıklama. AFP’yi ilgili Rus kolluk kuvvetleriyle usulüne uygun olarak temasa geçmeye teşvik ediyoruz” dedi.
Rusya’nın federal güvenlik servisleri FSB (eski adıyla KGB), Ocak ayında, ABD hükümetinin talebi üzerine birkaç tutuklama yapıldıktan sonra REvil’in “yok olduğunu” söyledi. Mart ayında, ABD yazılım satıcısı Kaseya’ya yapılan bir saldırıyla bağlantılı REvil grubunun kilit üyesi olduğu iddia edilen Ukrayna uyruklu Yaroslav Vasinskyi, suçlamalarla yüzleşmek üzere Polonya’dan ABD’ye iade edildi.
Group-IB’de kötü amaçlı yazılım analizi ve tehdit avı ekibi başkanı Roman Rezvukhin, “REvil’e karşı bir dizi kolluk operasyonundan sonra bile, çete ve bağlı kuruluşları, en son REvil fidye yazılımı örneğinin analizine dayanarak geri dönmeye devam ediyor gibi görünüyor.” , TechCrunch’a söyler.
Kershaw Cuma günü yaptığı açıklamada, AFP’nin Interpol gibi uluslararası ortaklarla birlikte “Rus kolluk kuvvetleriyle bu kişiler hakkında görüşmelerde bulunacağını” söyledi.
Kershaw, “Rusya’nın Interpol aracılığıyla paylaşılan istihbarat paylaşımından ve verilerden yararlandığını ve bununla birlikte sorumluluklar ve hesap verebilirliğin geldiğini belirtmek önemlidir.” Dedi. “Suçlulara: Kim olduğunuzu biliyoruz ve dahası, AFP’nin, denizaşırı suçluları adalet sistemiyle yüzleşmek üzere Avustralya’ya geri getirme konusunda puan tablosunda bazı önemli çalışmaları var.”
AFP son yıllarda Polonya, Sırbistan ve Birleşik Arap Emirlikleri’nden insanları Avustralya’da cezai suçlamalarla karşılaşmaları için başarılı bir şekilde iade etmiş olsa da, Rus bilgisayar korsanlarını iade etmek muhtemelen zor olacak. 2018’de Rusya Devlet Başkanı Vladimir Putin, “Rusya vatandaşlarını kimseye iade etmiyor” dedi.
AFP’nin eylemine rağmen, Medibank’ın siber suçluların fidye talebini ödemeyi reddetme kararının ardından ihlal daha da kötüleşmeye devam ediyor. Perşembe günü, saldırganların karanlık web blogu, kürtaj ve alkolle ilgili hastalıklarla ilgili hassas dosyalar da dahil olmak üzere daha fazla çalıntı veri yayınladı. Blog, siber suçluların başlangıçta Medibank’tan fidye olarak 10 milyon dolar aradıklarını ve ardından toplamı 9,7 milyon dolara veya etkilenen müşteri başına 1 dolara indirdiklerini iddia etti.
Medibank CEO’su David Koczkar, “Maalesef suçlunun çalınan müşteri verilerini her gün yayınlamaya devam etmesini bekliyoruz.” söz konusu Cuma gününde. “Bunlar, bu verilerin arkasındaki gerçek insanlar ve verilerinin kötüye kullanılması içler acısı ve onları tıbbi bakım aramaktan caydırabilir.”
