Uluslararası Ransomware Operasyonu: Operation Endgame
Son dönemde gerçekleşen Operation Endgame, yedi ülkenin ulusal yetkililerinin katılımıyla yapılan uluslararası bir hukuk uygulama operasyonudur. Bu operasyonda toplamda 300 sunucu ile 650 alan adı ele geçirilmiş, bu alanlar fidye yazılımlarının saldırılarında kullanılıyordu. Yapılan açıklamaya göre, 19-22 Mayıs tarihleri arasında gerçekleştirilen bu eylem, fidye yazılımları zincirine doğrudan bir darbe indirmiştir.
Operasyon sırasında 3.5 milyon Euro değerinde kripto para da ele geçirilmiş olup, Operation Endgame kapsamında şimdiye kadar toplamda 21.2 milyon Euro değerinde varlık confiscated edilmiştir. Europol ve Eurojust koordinasyonunda, özel sektör ortakları ile birlikte farklı siber suç operasyonları hedef alınmıştır. Bu operasyonlar arasında Bumblebee, Lactrodectus, Qakbot, DanaBot, Trickbot ve Warmcookie bulunmaktadır. Bu zararlı yazılım türleri sıkça diğer siber suçlulara hizmet olarak sunulmaktadır ve istismar edilen şahısların ağlarına erişim sağlamak için kullanılmaktadır.
DanaBot Suçlamaları
Operasyon sırasında dikkat çeken bir başka olay da, ABD Adalet Bakanlığı tarafından DanaBot zararlı yazılımı operasyonunun kontrolünü elinde bulunduran Rus siber suç çetesi ile ilgili olarak 16 zanlıya karşı açılan davadır. Açıklanan belgelerde, bu gruptan sekiz kişi isimleriyle çağrılırken, diğer sekiz kişi takma adlarıyla anılmıştır. Bu çete, botnet kullanarak ek zararlı yazılım yükleri, özellikle fidye yazılımları dağıtmıştır. Operasyon sonucunda dünya genelinde 300,000’den fazla bilgisayarın etkilenmesi ve 50 milyon dolardan fazla zarar yaşanması söz konusudur.
DanaBot, 2018 yılından beri aktif olarak çalışmakta ve malware-as-a-service modeliyle işletilmektedir. Bu model sayesinde yönetici ve kullanıcılar, botnet erişimlerini ve destek araçlarını aylık olarak yüksek bedellerle kiralayabilmektedir. Zararlı yazılım, aynı zamanda bankacılık oturumlarını ele geçirebilir, verileri ve tarayıcı geçmişlerini çalabilir ve uzaktan sistemlere tam erişim sağlayarak her türlü kullanıcı aktivitesini kaydedebilir.
DanaBot yöneticileri, ayrıca bu botnetin ikinci bir versiyonunu siber casusluk amacıyla kullanmışlardır. Askeri, diplomatik ve hükümet kuruluşlarını hedef alan bu versiyon, yapılan işlemleri kaydederek elde edilen verileri farklı bir sunucuya gönderirken, dolandırıcılık odaklı versiyondan bağımsız çalışmaktadır.
Önceki Operation Endgame Eylemleri
Bu haftaki operasyon, daha önce gerçekleştirilen birçok Operation Endgame aşamasını takip etmektedir. Özellikle, IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader, ve SystemBC gibi farklı zararlı yazılım yükleyici operasyonlarını destekleyen 2,000’den fazla alan adı ile 100’ün üzerinde sunucunun ele geçirilmesi kadar büyük başarılar elde edilmiştir.
Operasyon kapsamında, Conti ve LockBit fidye yazılımları için çalışan bir crypter uzmanı, Haziran 2024’te yakalanmış ve bu zararlı yazılımların antivirüs yazılımları tarafından tespit edilemez hale gelmesine yardımcı olan kişi olarak tanımlanmıştır. Nisan ayında ise, Smokeloader botnetinin müşterileri tespit edilmiş ve bu kapsamda en az beş kişi, siber suçlular hakkında elde edilen bilgilerin ardından tutuklanmıştır.
Bu hafta içerisinde, Qakbot zararlı yazılım operasyonunun lideri olan Rus vatandaşı Rustam Rafailevich Gallyamov da ABD tarafından iddianameye tabi tutulmuştur. Bunun yanı sıra, daha önce bu ay içinde Microsoft öncülüğünde yapılan bir operasyonla, Lumma zararlı yazılımı ile malware-as-a-service olarak bilinen bilgileri çalan sistemle ilgili yaklaşık 2,300 alan adı ele geçirilmiştir.
Bu tür operasyonlar, siber suçlarla mücadele konusunda uluslararası iş birliklerinin ne denli önemli olduğunu bir kez daha gözler önüne sermektedir. Law enforcement, siber suçluların çabalarını sürekli olarak engelleyerek, daha güvenli bir dijital dünya yaratma çabalarını sürdürmektedir.
