Siber güvenlik dünyasında yeni bir tehdit hızla yükseliyor: The Gentlemen (Beyefendiler) fidye yazılımı grubu. Check Point Software uzmanlarına göre, bu RaaS (Ransomware-as-a-Service) yapılanması, kurban sayısı bakımından 2026'da ikinci en aktif fidye yazılımı çetesi konumunda. Grubun çekiciliği ise ortaklara (affiliate) ödediği %90 komisyon oranında gizli. Sektör standardı %80 iken, %90'lık pay vaadi deneyimli hacker'ları cezbediyor. Grup, 2025 ortasında ortaya çıktığından bu yana 332 kurban yayınladı; 2026'da bu sayı 240'ı aştı. Saldırılarında genellikle internet bağlantılı cihazları (VPN'ler, güvenlik duvarları) hedef alan çete, ağlara sızdıktan sonra saatler içinde tüm sistemleri şifreliyor.
Check Point'in raporuna göre grubun yöneticisi ve birincil operatörü, Rusça konuşulan siber suç forumlarında Zeta88 takma adını kullanıyor. Aynı kişi daha önce Hastalamuerte rumuzuyla da biliniyordu. Çetenin arka uç altyapısındaki bir ihlal, Hastalamuerte/Zeta88'in fidye yazılımını (locker) ve RaaS panelini oluşturan, ödemeleri yöneten ve tüm programın %10'unu alan yönetici olduğunu ortaya çıkardı. Peki bu gizemli kişi gerçekte kim?
Siber istihbarat firması Intel 471, Hastalamuerte kullanıcısının Rusça ve İngilizce bilen bir kişi olduğunu gösteriyor. 2019'dan itibaren Exploit, Breachforums, Ramp_V2, BHF, Raidforums ve Nulled gibi bir düzine siber suç forumuna kaydolmuş. Ocak 2025'te Breachforums'a Rusya'nın Udmurt Cumhuriyeti'nin başkenti Izhevsk'ten bir IP adresinden kaydolmuş. Benzer şekilde, Zeta88 ise Ağustos 2022'de İngilizce konuşulan siber suç forumu Breached'e yine Izhevsk'ten farklı bir IP ile üye olmuş.
Sonuç ve Değerlendirme
Intel 471, Hastalamuerte'nin 2020'de Raidforums'a [email protected] e-postasıyla kaydolduğunu tespit etti. 1488 sayısı, beyaz üstünlükçü sembollerle ilişkilendirilen bir kombinasyon. Açık kaynak istihbarat aracı Epieos, bu e-postanın bir Apple hesabına ve 04 ile biten bir telefon numarasına bağlı olduğunu gösteriyor. Ayrıca, aynı e-posta SantaMuerte kullanıcı adıyla bir GitHub hesabına bağlı. Bu hesap gizli olsa da, kullanıcının kötü amaçlı yazılım araçları ve istismarlar geliştirdiği görülüyor.
Nisan 2020'de Hastalamuerte, Nulled forumunda @hastalamuerte18 Telegram kullanıcı adıyla iletişime geçilebileceğini belirtmiş. Tehdit istihbarat şirketi Flashpoint, bu kullanıcı adının 30907522 benzersiz Telegram ID'sine sahip olduğunu buldu. İhlal izleme hizmeti Constella Intelligence ise bu Telegram ID'sinin "bu4vs" kullanıcı adına ve 79127650004 Rus telefon numarasına bağlı olduğunu ortaya çıkardı. Bu telefon numarası üzerinden yapılan sorgulamada, Rus hükümet veritabanlarından alınan kayıtlara göre numaranın Izhevsk'li 36 yaşındaki Alexander Andreevich Yapaev'e ait olduğu görüldü.
Constella, aynı telefon numarasının Rus sosyal medya platformu Pikabu'da "4apai18" kullanıcı adıyla bir hesap oluşturmak için kullanıldığını gösteriyor. Yapaev'in birçok web sitesinde ortak soyadı Ivanov veya Chapaev (Rusçada 'ch' sesi için 4 rakamı kullanılır) ile kaydolduğu belirtiliyor. Intel 471'de SantaMuerte takma adıyla yapılan aramada, 2020'de Codeby forumunda Alexandr 4apaev rumuzuyla kayıtlı bir hesap bulundu. Constella, Yapaev'in [email protected] e-postasını düzenli olarak kullandığını, Epieos ise bu e-postanın Alexander Yapaev'in LinkedIn hesabına bağlı olduğunu tespit etti. LinkedIn'de kendisini Rusya'nın en büyük elektroteknik ve aydınlatma ürünleri tedarikçilerinden Uralenergo Udmurtia'da B2B pazarlama müdürü olarak tanıtıyor.
Yapaev, yorum taleplerine yanıt vermedi. Bu tür araştırmalarda sıkça sorulan bir soru: Neden birçok Rus siber suçlu gerçek kimliklerini gizlemek için çaba göstermiyor? Bunun birkaç nedeni var. Çoğu, bilinçli birer suçlu olarak yola çıkmıyor; yetenekleri geliştikçe yıllar içinde bu ekosisteme dahil oluyor. Ayrıca Rus hükümeti, kendi vatandaşlarına ve şirketlerine zarar vermedikleri sürece siber suçluları genellikle görmezden geliyor veya işbirliği yapıyor. Başarılı Rus siber suçlular, doğru kişilere periyodik ödemeler yaparak ve yurt dışına seyahat etmeyerek kovuşturmadan korunabiliyor. Bu yazılı olmayan kurallara uymayı planlayan suçlular, çevrimiçi izlerini gizleme konusunda daha az endişe duyuyor.
Gelecekte Ne Bekleniyor?
Ancak en basit açıklama, tüm siber suçluların kariyerlerinin başında temel operasyonel güvenlik hataları yapması. Tecrübesiz oldukları ve kaybedecek çok az şeyleri olduğu için dikkatsiz davranıyorlar. Hastalamuerte'nin 2019-2020 yıllarındaki ilk forum gönderileri, nispeten deneyimsiz ve düşük becerili bir hacker profili çiziyor. The Gentlemen çetesinin yükselişi, RaaS modelinin ne kadar kârlı olduğunu bir kez daha gösteriyor. Kurbanlar için kritik önlem: VPN ve güvenlik duvarı gibi internet bağlantılı cihazları güncel tutmak, çok faktörlü kimlik doğrulama kullanmak ve düzenli yedekleme yapmak. Bu tür çeteler, siber güvenlik farkındalığının artırılması ve proaktif savunma stratejileriyle durdurulabilir.
Kaynak: krebsonsecurity.com