ABD'den Tarihi Yaptırım: Fidye Yazılımı Destekçisi İlk VPN Hizmeti ve Kötü Amaçlı Yazılım Şifreleyici Satıcısı Hedef Alındı Windows

ABD'den Tarihi Yaptırım: Fidye Yazılımı Destekçisi İlk VPN Hizmeti ve Kötü Amaçlı Yazılım Şifreleyici Satıcısı Hedef Alındı

ABD, ilk kez bir VPN hizmetini ve cryptor satıcısını fidye yazılımı desteği nedeniyle yaptırım listesine aldı. İngiltere ve AB de Rus siber aktörlere

ABD Hazine Bakanlığı’na bağlı Yabancı Varlıkları Kontrol Ofisi (OFAC), fidye yazılımı gruplarına ve diğer siber suçlulara altyapı sağlayan bir VPN hizmeti ile iki kişiyi yaptırım listesine ekledi. Bu adım, ABD’nin siber suç ekosistemine karşı en kapsamlı yaptırımlarından biri olarak kayıtlara geçti. Yaptırım uygulanan First VPN Service (1VPNS), 2014’ten beri faaliyet gösteriyor ve kullanıcı kaydı tutmadığını, kolluk kuvvetleriyle iş birliği yapmadığını açıkça reklam ediyordu. Hizmet, Mayıs 2026’da Avrupa ve Kuzey Amerika’dan ortak bir operasyonla çökertilmişti.

Yaptırım listesinde yer alan 45 yaşındaki Ukraynalı yönetici Dmytro Rashevskyi’nin, 1VPNS’yi fidye yazılımı gruplarına kiraladığı ve saldırıların kaynağını gizlemek için sahte kimlikler kullandığı belirtiliyor. Ayrıca Belarus vatandaşı Yegeniy Vladimirovich Silayev, kötü amaçlı yazılımları güvenli programlar gibi göstererek tespit edilmelerini engelleyen cryptor yazılımları sattığı için yaptırım hedefi oldu. ABD’li yetkililer, bu kişi ve hizmetlerin neden olduğu fidye yazılımı saldırılarının Amerikan şirketleri, finans kuruluşları, hastaneler ve belediyelere milyarlarca dolar zarar verdiğini açıkladı.

Yaptırımların duyurulmasıyla eş zamanlı olarak İngiltere ve Avrupa Birliği, Rus siber ağlarına yönelik yeni kısıtlamalar getirdi. 24 kişi ve kuruluşu hedef alan bu yaptırımlar, Rus istihbarat servislerine bağlı proxy ağları ve hibrit operasyonları kapsıyor. Rusya Ana İstihbarat Müdürlüğü (GRU) üst düzey yöneticileri Vyacheslav Stafeyev, Ivan Senin ve Ivan Kasyanenko, GRU siber ve hibrit tehdit operasyonlarını yönettikleri için listeye alındı. Ayrıca Federal Güvenlik Servisi’ne (FSB) bağlı Center 16 birimi, geçen yıl Polonya enerji şebekesine yönelik sabotaj operasyonlarıyla ilişkilendirildi.

Uzmanların Görüşleri

İngiltere hükümeti, GRU’nun 29155 numaralı biriminin IMPULS şirketi aracılığıyla siber suçlularla iş birliği yaparak Rus üniversitelerinden hacker ve siber uzmanlar topladığını belirtti. Yaptırımlar ayrıca Lumma Stealer adlı bilgi hırsızı yazılımının arkasındaki kişileri de hedef alıyor. Rusya’nın bu yazılımla çalınan kimlik bilgilerini küresel çapta siber casusluk operasyonlarında kullandığı ifade ediliyor. AB, Rusya’nın siber suçlular, kendini hacktivist olarak tanımlayan gruplar ve özel şirketlerden oluşan bir ekosistemi kötü niyetli faaliyetler için kullandığını vurguladı.

Gelecekte Ne Bekleniyor?

Yaptırımlar, FBI’ın FSB Center 16 siber aktörlerinin dünya genelinde yanlış yapılandırılmış ve güvenlik açığı bulunan ağ cihazlarını hedef aldığına dair yayımladığı yeni uyarıyla aynı döneme denk geldi. FBI, bu aktörlerin özellikle yönlendiricileri (router) hedef aldığını ve SNMP (Basit Ağ Yönetim Protokolü) kullanarak cihaz yapılandırmalarını çaldığını belirtiyor. Saldırganlar, sahte IP adresleri üzerinden SNMP Set-Requests göndererek cihaz konfigürasyonlarını kendi kontrollerindeki sunuculara kopyalıyor.

Sonuç ve Değerlendirme

FSB Center 16’nın ayrıca Cisco cihazlarındaki CVE-2018-0171 ve CVE-2008-4128 gibi bilinen güvenlik açıklarını istismar ettiği tespit edildi. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2008-4128’i Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekleyerek federal kurumların 16 Temmuz 2026’ya kadar güncelleme yapmasını zorunlu kıldı. Cisco, Ağustos 2025’te CVE-2018-0171’in aktif olarak istismar edildiğini duyurmuş ve müşterilerini acil güncellemeye çağırmıştı.

Bu kampanyanın arkasındaki tehdit aktörleri Berserk Bear, Crouching Yeti, Dragonfly, Energetic Bear, Ghost Blizzard ve Static Tundra gibi çeşitli isimlerle takip ediliyor. FBI, sorunun devam ettiğini ve savunma sanayi üssü, iletişim, enerji, finansal hizmetler, devlet tesisleri ve sağlık sektörü dahil birçok sektördeki ABD ve yabancı ağları etkilediğini belirtiyor. Kurumların, yönlendiricilerindeki varsayılan SNMP topluluk dizelerini değiştirmeleri, gereksiz SNMP hizmetlerini devre dışı bırakmaları ve cihaz yazılımlarını güncel tutmaları öneriliyor.

Sistem Güvenliği

Uzmanlar, bu yaptırımların siber suç ekosistemine karşı uluslararası iş birliğinin önemini bir kez daha ortaya koyduğunu belirtiyor. ABD’nin bir VPN hizmetini doğrudan yaptırım listesine alması, fidye yazılımı gruplarına altyapı sağlayan diğer hizmetlere de caydırıcı bir mesaj niteliği taşıyor. Kullanıcıların, özellikle log tutmayan VPN’lerin ve cryptor hizmetlerinin yasa dışı faaliyetlerde kullanılabileceğinin farkında olmaları gerekiyor. Kurumların ise ağ cihazlarının güvenlik yapılandırmalarını düzenli olarak denetlemesi ve güncellemeleri zamanında uygulaması hayati önem taşıyor.

Kaynak: thehackernews.com

Paylaş: