Ransomware Grubu ‘The Gentlemen’ın Arkasındaki İsim: Alexander Yapaev Siber Güvenlik

Ransomware Grubu ‘The Gentlemen’ın Arkasındaki İsim: Alexander Yapaev

Siber güvenlik firması Check Point, The Gentlemen ransomware grubunun yöneticisinin Alexander Yapaev olduğunu tespit etti. İşte grubun yükselişi ve li

Siber suç dünyasında hızla yükselen The Gentlemen ransomware grubu, kurban sayısı bakımından bu yılın en aktif ikinci fidye yazılımı grubu konumuna geldi. Check Point araştırmacılarına göre grup, ‘fidye yazılımı hizmeti olarak’ (RaaS) modelini benimsiyor ve ortaklarına kurbanlardan alınan fidyenin yüzde 90’ını veriyor. Bu oran, sektör standardı olan yüzde 80/20’nin oldukça üzerinde ve deneyimli hacker’ları cezbetmekte. Grup, internet üzerinden erişilebilen VPN’ler ve güvenlik duvarları gibi cihazları hedef alarak ağlara sızıyor ve saatler içinde tüm ağı şifreleyerek fidye talep ediyor.

Check Point’e göre grubun yöneticisi ve ana operatörü, Rusça konuşulan siber suç forumlarında Zeta88 ve daha önce Hastalamuerte rumuzlarını kullanıyor. Intel 471 istihbarat şirketi, Hastalamuerte’nin 2019’dan bu yana Exploit, Breachforums, Ramp_V2 gibi birçok forumda kayıtlı olduğunu ve Rusça ile İngilizce konuştuğunu belirtiyor. Kayıt bilgileri, kullanıcının Rusya’nın Udmurt Cumhuriyeti’nin başkenti Izhevsk’ten bağlandığını gösteriyor. Ayrıca [email protected] e-posta adresiyle bağlantılı olarak bir GitHub hesabı (SantaMuerte) tespit edilmiş; bu hesap, çeşitli kötü amaçlı yazılım araçları geliştirmekle ilgileniyor.

Constella Intelligence adlı sızıntı izleme servisi, Hastalamuerte’nin Telegram ID’sini (30907522) ve bu ID’ye bağlı ‘bu4vs’ kullanıcı adını ortaya çıkardı. Aynı ID’ye ait 79127650004 numaralı Rus telefonu, Rus hükümet veritabanlarındaki kayıtlara göre 36 yaşındaki Alexander Andreevich Yapaev’e ait. Yapaev’in aynı telefon numarasını kullanarak Pikabu adlı Rus sosyal medya platformunda ‘4apai18’ kullanıcı adıyla hesap açtığı ve birçok web sitesinde ‘Ivanov’ veya ‘Chapaev’ soyadlarını kullandığı belirlendi. Ayrıca, Intel 471’de Codeby forumunda ‘Alexandr 4apaev’ rumuzuyla kayıtlı olduğu görüldü.

Uzmanların Görüşleri

Yapaev’in kullandığı e-posta adresi [email protected], LinkedIn hesabıyla da bağlantılı. LinkedIn’de kendisini Uralenergo Udmurtia şirketinde B2B pazarlama müdürü olarak tanıtan Yapaev, yorum taleplerine yanıt vermedi. Uzmanlar, birçok Rus siber suçlunun kimliklerini gizleme konusunda neden bu kadar dikkatsiz olduğunu sorguluyor. Bunun nedeni, Rusya’nın yerel işletmelere ve vatandaşlara zarar vermedikleri sürece siber suçluları görmezden gelmesi veya işbirliği yapması. Ayrıca, kariyerlerinin başında daha az deneyimli olan bu kişiler, operasyonel güvenlik hataları yaparak izlerini kolayca bırakabiliyor. Hastalamuerte’nin 2019-2020 yıllarındaki ilk forum gönderileri, nispeten düşük becerili bir hacker profili çiziyor.

Paylaş: