Ransomware Grubu 'The Gentlemen'ın Lideri Kim? İşte İzler ve Kimlik Siber Güvenlik

Ransomware Grubu 'The Gentlemen'ın Lideri Kim? İşte İzler ve Kimlik

The Gentlemen ransomware grubunun lideri Zeta88/Hastalamuerte'nin kimliği Alexander Yapaev olabilir. 90/10 ortaklık modeliyle hızla büyüyen grubun izl

Siber güvenlik dünyasında son dönemin en dikkat çekici fidye yazılımı gruplarından biri olan The Gentlemen, agresif büyüme stratejisi ve yüksek komisyon oranlarıyla rakiplerini geride bırakıyor. Check Point araştırmacılarına göre, bu grup kurban sayısı bakımından yılın en aktif ikinci ransomware grubu konumunda. Peki bu grubun arkasında kim var? İşte detaylar.

The Gentlemen, 'ransomware-as-a-service' (RaaS) modeliyle çalışıyor ve ortaklarına ödenen fidye gelirlerinin yüzde 90'ını vaat ediyor. Sektördeki standart yüzde 80/20 oranının üzerindeki bu cömert paylaşım, deneyimli siber suçluları diğer programlardan çekerek grubun hızla büyümesini sağlıyor. Check Point, grubun 2025 ortasında kurulduğundan bu yana en az 332 kurban yayınladığını ve sadece 2026'da bu sayının 240'ı aştığını belirtiyor.

Grup, genellikle VPN ve güvenlik duvarı gibi internet bağlantılı cihazları hedef alarak ağlara sızıyor ve saatler içinde tüm ağı şifreleyerek fidye talep ediyor. Check Point, grubun yöneticisinin Rusça konuşulan siber suç forumlarında 'Zeta88' ve daha önce 'Hastalamuerte' takma adlarını kullandığını tespit etti. Bir altyapı ihlali, bu kişinin fidye yazılımını derleyen, RaaS panelini yöneten ve tüm ödemeleri kontrol eden asıl operatör olduğunu ortaya çıkardı.

İstihbarat firması Intel 471, Hastalamuerte'nin 2019'dan bu yana Exploit, Breachforums, Ramp_V2, BHF, Raidforums ve Nulled gibi bir düzine siber suç forumuna kaydolduğunu gösteriyor. Kayıt IP adresleri, kullanıcının Rusya'nın Udmurtya Cumhuriyeti'nin başkenti Izhevsk'te yaşadığını işaret ediyor. Ayrıca, '[email protected]' e-posta adresinin bir Apple hesabı ve 04 ile biten bir telefon numarasıyla bağlantılı olduğu belirlendi.

Aynı e-posta adresi, GitHub'da 'SantaMuerte' kullanıcı adıyla bir hesaba da bağlı. Bu hesap gizli olsa da, kullanıcının çeşitli kötü amaçlı yazılım araçları ve istismarlar geliştirdiği görülüyor. Telegram'da @hastalamuerte18 kullanıcı adıyla bilinen kişinin Telegram ID'si 30907522. Constella Intelligence, bu ID'nin 'bu4vs' kullanıcı adı ve Rus telefon numarası 79127650004 ile bağlantılı olduğunu ortaya çıkardı.

Teknik Analiz

Telefon numarası üzerinden yapılan araştırmalar, bu numaranın 36 yaşındaki Alexander Andreevich Yapaev'e ait olduğunu gösteriyor. Yapaev, Izhevsk'te yaşıyor ve çeşitli sitelere 'Ivanov' veya 'Chapaev' soyadlarıyla kaydolmuş. Ayrıca, LinkedIn'de 'Uralenergo Udmurtia' şirketinde B2B pazarlama müdürü olarak görünüyor. Yapaev, yorum taleplerine yanıt vermedi.

Bu tür siber suçluların kimliklerini gizleme konusunda neden bu kadar özensiz oldukları sıkça soruluyor. Bunun birkaç nedeni var: Çoğu, kariyerlerinin başında daha az deneyimliyken temel güvenlik hataları yapıyor. Ayrıca, Rus hükümeti genellikle kendi vatandaşlarına ve şirketlerine zarar vermedikleri sürece siber suçluları görmezden geliyor veya iş birliği yapıyor. Bu durum, başarılı siber suçluların yurt dışına çıkmadıkları ve doğru kişilere ödeme yaptıkları sürece kovuşturmadan korunmalarını sağlıyor.

Nasıl Önlem Alınmalı?

The Gentlemen örneği, siber güvenlik araştırmacıları için önemli dersler içeriyor. Yüksek komisyon oranları ve hızlı büyüme, grubun tehlikesini artırırken, operatörlerin kimliklerinin deşifre edilmesi kolluk kuvvetleri için kritik bir adım. Kurumların, özellikle VPN ve güvenlik duvarı gibi internet bağlantılı cihazlarını güncel tutmaları ve güçlü erişim kontrolleri uygulamaları hayati önem taşıyor. Ayrıca, düzenli yedekleme ve olay müdahale planları, fidye yazılımı saldırılarının etkisini azaltabilir.

Kaynak: krebsonsecurity.com

Paylaş: