The Gentlemen olarak bilinen bir siber suç grubu, kurban sayısına göre en aktif ikinci fidye yazılımı çetesi olarak ortaya çıktı ve kurbanların ödediği fidyenin yüzde 90'ını bağlı kuruluşlara vaat eden agresif bir işe alım stratejisi aracılığıyla yetenekli bir bilgisayar korsanları havuzunu hızla kendine çekiyor. Bu yazı, The Gentlemen fidye yazılımı grubunun yöneticisinin gerçek hayattaki kimliğine işaret eden ipuçlarını inceliyor.
Güvenlik firması Check Point Software'deki uzmanlar, grubun kötü amaçlı yazılımlarının yayılmasına yardımcı olmak için bağlı kuruluşlara yüklü miktarda ödeme yapan "hizmet olarak fidye yazılımı" (RaaS) teklifi olan The Gentlemen'in istismarlarını yakından takip ediyor.
Araştırmacılar Nisan ayında şöyle yazdı: "Endüstri standardı 80/20 ile karşılaştırıldığında 90/10'luk bir ortaklık geliri paylaşımı, rakip programlardan deneyimli operatörleri kendine çekerek grubun büyümesini hızlandırıyor."
Check Point, The Gentlemen'in bu yıl kurban sayısına göre en aktif ikinci fidye yazılımı grubu olduğunu ve grubun 2025 ortasındaki kuruluşundan bu yana en az 332 kurbanın yayınlandığını ve yalnızca 2026'da 240'tan fazla kurban olduğunu iddia etti.
Check Point'e göre grup, giriş noktaları olarak İnternet'e bakan cihazları (VPN'ler, güvenlik duvarları) hedef alıyor ve içeri girdikten sonra hızlı bir şekilde tüm ağları birkaç saat içinde şifrelemek için harekete geçiyor.
Check Point, fidye yazılımı grubunun yöneticisi ve ana operatörünün Rusça siber suç forumlarında Zeta88 takma adını kullandığını ve bu kişinin daha önce Hastalamuerte adıyla tanındığını söyledi. Check Point, grubun arka uç altyapısının ihlali nedeniyle Hastalamuerte/Zeta88'in dolabı ve RaaS panelini monte eden, ödemeleri yöneten ve aslında tüm fidyelerin yüzde 10'unu alan tüm programın yöneticisi olduğunu açıkça ortaya koyduğunu belirtti.
HASTALAMUERTE KİMDİR?
Siber istihbarat firması Intel 471, Hastalamuerte kullanıcısının 2019'dan günümüze kadar aralarında Exploit, Breachforums, Ramp_V2, BHF, Raidforums ve Nulled'ın da bulunduğu neredeyse bir düzine siber suç forumuna kaydolmuş, Rusça ve İngilizce konuşan bir kişi olduğunu gösteriyor.
Intel 471, Hastalamuerte'nin Ocak 2025'te Rusya'nın Udmurt Cumhuriyeti'nin başkenti Izhevsk'teki bir İnternet adresinden Breachforums'a kaydolduğunu ortaya koyuyor. Benzer şekilde Zeta88 kullanıcısı, Ağustos 2022'de İngilizce dilindeki Breached siber suç forumuna Izhevsk'teki farklı bir İnternet adresinden kaydoldu.
Intel 471, Hastalamuerte'nin 2020 yılında [email protected] e-posta adresini kullanarak Raidforums'a kayıtlı olduğunu tespit etti (1488, beyaz üstünlüğüyle ilişkilendirilen iki sayısal sembolün ortak birleşimidir). Açık kaynaklı istihbarat servisi Epieos'ta bu adrese yapılan arama, adresin Apple'daki bir hesaba ve 04 ile biten bir telefon numarasına bağlı olduğunu gösteriyor.
Epieos, Protonmail adresinin SantaMuerte kullanıcı adı altındaki bir GitHub hesabına da bağlı olduğunu söylüyor. Bu hesap özel olarak işaretlendi, ancak bu kullanıcının etkinlik geçmişi, onun bir dizi kötü amaçlı yazılım aracını ve açıklarını izlediğini ve geliştirdiğini gösteriyor.
Nisan 2020'de Hastalamuerte, Nulled suç forumunda kendileriyle Telegram anlık mesajlaşma adı @hastalamuerte18 üzerinden iletişime geçilebileceklerini söyledi ve tehdit istihbarat şirketi Flashpoint, bu kullanıcı adına benzersiz Telegram kimlik numarası 30907522'nin atandığını tespit etti [tam açıklama: Flashpoint, bu blogdaki bir reklamverendir].
İhlal izleme hizmeti Constella Intelligence, Hastalamuerte'nin Telegram kimliğinin başka bir kullanıcı adına ('bu4vs') ve 79127650004 numaralı Rus telefon numarasına bağlı olduğunu bildirdi. Constella'da bu telefon numarasına odaklanıldığında, saldırıya uğramış Rus hükümeti veritabanlarından bu numaranın Izhevsk'ten 36 yaşındaki Alexander Andreevich Yapaev'e ait olduğunu gösteren çok sayıda kayıt getiriliyor.
Constella, telefon numarasının Rus sosyal medya platformu Pikabu'da "4apai18" adı altında bir hesap oluşturmak için kullanıldığını ortaya koyuyor ve Bay Yapaev'in, Ivanov veya "Chapaev" (4 rakamı genellikle Rusça'da "ch" sesinin kısaltması olarak kullanılır) ortak soyadını kullanarak bir dizi web sitesine kaydolduğunu gösteriyor.
Intel 471'de bir arama
SantaMuerte takma adını taşıyan siber suç forumu üyeleri, 2020 yılında Rus hack forumu Codeby'de aynı isimle oluşturulmuş bir hesap ortaya çıkarır. Intel 471, bu kullanıcının ilk olarak Codeby'ye pek de incelikli olmayan Alexandr 4apaev takma adıyla kayıtlı olduğunu gösteriyor.
Constella, Bay Yapaev'in düzenli olarak [email protected] e-posta adresini kullandığını tespit etti. Bu arada Epieos, bu adresin kendisini Rusya'nın en büyük elektroteknik ve aydınlatma ürünleri tedarikçilerinden biri olan Uralenergo Udmurtia şirketinde B2B pazarlama başkanı olarak listeleyen Alexander Yapaev'in LinkedIn hesabına bağlı olduğunu gösteriyor.
Bay Yapaev çok sayıda yorum talebine yanıt vermedi.
Bu Breadcrumbs öykülerinden birini neredeyse her yayınladığımızda, okuyucular Rusya'daki pek çok siber suçlunun gerçek hayattaki kimliklerini gizlemek için neden çok az şey yaptığını merak ediyor. Gerçek şu ki - Rus olsun ya da olmasın - çoğu tam olarak baş suçlu olmak için yola çıkmadı, bunun yerine birkaç yıl içinde becerileri genişledikçe ve keskinleştikçe yavaş yavaş sahneye çekildiler.
Bir diğer önemli dinamik ise, Rus hükümetinin, bilgisayar korsanları Rus işletmelerine ve vatandaşlarına saldırmadığı veya onlardan hırsızlık yapmadığı sürece sınırları içindeki siber suç faaliyetlerini genellikle ya seçmesi ya da görmezden gelmesidir. Sonuç olarak, Rusya'daki başarılı siber suçlular, ara sıra doğru kişilere ödeme yapmaları ve yurt dışına seyahat etmemeleri koşuluyla, genellikle yabancı kolluk kuvvetleri tarafından kovuşturulmaktan ve tutuklanmaktan muaf tutuluyor. Ve bu yazılı olmayan kurallara sıkı sıkıya uymayı amaçlayan siber suçlular (en azından başlangıçta) çevrimiçi ortamda izlerini gizleme konusunda daha az endişe duyabilirler.
Ancak en basit açıklama, tüm uluslardan siber suçluların, kariyerlerinin başlarında, daha az bilgili olduklarında ve dikkatsizlikleri nedeniyle kaybedecekleri çok daha az şeyin olduğu bir dönemde bir dizi temel operasyonel güvenlik hatası yapma eğiliminde olduklarıdır. Hastalamuerte'nin suç forumlarındaki ilk gönderileri (2019-2020 civarı) incelendiğinde, nispeten tecrübesiz ve düşük vasıflı bir bilgisayar korsanının hâlâ işin inceliklerini öğrenmeye ve bu topluluklarda olumlu bir itibar kazanmaya çalıştığı görülüyor.
Örneğin, Haziran 2020'de Hastalamuerte'nin Telegram hesabı, popüler penetrasyon testi araçlarının nasıl kullanılacağını öğrenmek için çok aylık bir eğitim programına (@pntst) katıldı ve bu hacker eğitim kampındaki samimi paylaşımları, Hastalamuerte'nin bu araçları etkili bir şekilde kullanmakta zorlandığını gösteriyor. Hastalmuerte'nin @pntst'e gönderdiği gönderilerin Google tarafından çevrilmiş kaydı burada.
Güncelleme, 11 Haziran, 10:23 ET: Tehdit araştırma grubu PRODAFT, The Gentlemen'in geçmişi ve mevcut operasyonları hakkında ayrıntılı bir yazı yayınladı. PRODAFT, bulgularının aynı kişiyle "yüksek güvenle" eşleştiğini söyledi ve yöneticinin (Zeta88/Hastalamuerte) bağlı kuruluşlara, öncelikle kaba kuvvet saldırıları yoluyla elde edilen veya grubun kendi sızıntı veri tabanından alınan Fortinet SSL-VPN kimlik bilgilerini doğrudan ilk erişim sağladığını tespit etti. Ayrıca yöneticinin fidye yazılımını ve ilgili araçları geliştirmek ve sürdürmek ve ayrıca istismar sonrası faaliyetlere yardımcı olmak için yapay zekayı kullandığını da keşfettiler.