Siber güvenlik dünyasında hızla yükselen The Gentlemen fidye yazılımı grubu, kurban sayısıyla ikinci sıraya yerleşti. Grubun başarısının ardında yatan en önemli faktör, saldırganlara yüzde 90 gibi yüksek bir komisyon vaat eden agresif işe alım stratejisi. Check Point güvenlik araştırmacıları, grubun fidye yazılımı hizmeti (RaaS) modeliyle çalıştığını ve endüstri standardı olan yüzde 80/20'lik dağıtım oranını yüzde 90/10'a çıkararak rakiplerinden deneyimli operatörleri bünyesine kattığını belirtiyor. Bu yazıda, grubun yöneticisi olduğu düşünülen Zeta88/Hastalamuerte'nin gerçek kimliğine dair ipuçlarını inceliyoruz.
Check Point'e göre The Gentlemen, 2025 ortasında kuruldu ve 2026 yılında 240'tan fazla olmak üzere toplamda en az 332 kurban yayınladı. Grubun saldırı yöntemi, internet üzerinden erişilebilen VPN ve güvenlik duvarı gibi cihazları hedef almak ve ağlara sızdıktan sonra saatler içinde tüm sistemi şifrelemek. Bu hızlı ve etkili yaklaşım, grubun kısa sürede bu kadar aktif hale gelmesini sağladı. Check Point, grubun yöneticisi ve ana operatörünün Rusça konuşulan siber suç forumlarında Zeta88 ve daha önce Hastalamuerte takma adlarını kullandığını tespit etti. Arka uç sistemine yapılan bir sızma, Hastalamuerte/Zeta88'in fidye yazılımını derleyen, RaaS panelini yöneten ve tüm fidyelerden yüzde 10 pay alan kişi olduğunu ortaya koydu.
Peki Hastalamuerte kimdir? Intel 471 istihbaratına göre, bu kullanıcı 2019'dan bu yana Exploit, Breachforums, Ramp, BHF, Raidforums ve Nulled gibi bir düzine siber suç forumuna kaydolmuş, Rusça ve İngilizce bilen bir kişi. Hastalamuerte, Ocak 2025'te Breachforums'a Rusya'nın Udmurt Cumhuriyeti'nin başkenti İzhevsk'ten bir IP adresiyle kaydoldu. Benzer şekilde, Zeta88 kullanıcısı da Ağustos 2022'de yine İzhevsk'ten farklı bir IP adresiyle Breached forumuna üye oldu. Bu coğrafi tutarlılık, iki hesabın aynı kişiye ait olduğuna dair güçlü bir kanıt.
Intel 471, Hastalamuerte'nin 2020'de Raidforums'a [email protected] e-posta adresiyle kaydolduğunu buldu. 1488 sayısı, beyaz üstünlükçü sembollerle ilişkilendirilen bir kombinasyon. Bu e-posta adresinin Epieos açık kaynak istihbarat sorgusu, bir Apple hesabına ve 04 ile biten bir telefon numarasına bağlı olduğunu gösterdi. Ayrıca, aynı e-posta adresi, SantaMuerte kullanıcı adıyla bir GitHub hesabına da bağlı. Bu hesap gizli olsa da, kullanıcının çeşitli kötü amaçlı yazılım araçları ve istismarlar geliştirdiği ve izlediği tespit edildi.
Nisan 2020'de Hastalamuerte, Nulled forumunda @hastalamuerte18 Telegram hesabıyla iletişim kurulabileceğini belirtti. Flashpoint tehdit istihbaratı, bu kullanıcı adının 30907522 Telegram ID'sine sahip olduğunu doğruladı. Constella Intelligence ihlal takip hizmeti, bu Telegram ID'sinin "bu4vs" kullanıcı adı ve 79127650004 Rus telefon numarasıyla bağlantılı olduğunu ortaya çıkardı. Bu telefon numarası üzerinden yapılan sorgulamalar, numaranın İzhevsk'te yaşayan 36 yaşındaki Alexander Andreevich Yapaev'e ait olduğunu gösterdi. Constella, aynı numaranın Pikabu sosyal medya platformunda "4apai18" kullanıcı adıyla hesap oluşturmak için kullanıldığını ve Yapaev'in birçok web sitesinde "Ivanov" veya "Chapaev" soyadlarını kullandığını belirledi.
Sistem Güvenliği
Intel 471'de SantaMuerte takma adıyla yapılan arama, 2020'de Codeby Rus hacker forumunda aynı isimle bir hesap buldu. Bu kullanıcı, Codeby'ye ilk kaydolduğunda "Alexandr 4apaev" takma adını kullanmıştı. Constella, Yapaev'in [email protected] e-posta adresini düzenli olarak kullandığını tespit etti. Epieos, bu adresin Alexander Yapaev'e ait bir LinkedIn hesabına bağlı olduğunu gösterdi. LinkedIn profiline göre Yapaev, Rusya'nın en büyük elektroteknik ve aydınlatma ürünleri tedarikçilerinden Uralenergo Udmurtia'da B2B pazarlama müdürü olarak çalışıyor. Yapaev, yorum taleplerine yanıt vermedi.
Bu tür vakalarda sıkça sorulan bir soru: Neden birçok Rus siber suçlu gerçek kimliklerini gizlemek için çaba göstermiyor? Bunun birkaç nedeni var. Birincisi, çoğu siber suçlu profesyonel kariyerlerine başlarken tam anlamıyla suçlu olmayı hedeflemiyor; zamanla becerileri geliştikçe bu yola giriyorlar. İkincisi, Rus hükümeti genellikle kendi vatandaşlarına ve şirketlerine zarar vermeyen siber suçluları görmezden geliyor veya onlarla iş birliği yapıyor. Bu nedenle başarılı Rus siber suçluları, doğru kişilere düzenli ödeme yapmaları ve yurt dışına seyahat etmemeleri koşuluyla kovuşturmadan korunuyor. Ancak en basit açıklama, tüm siber suçluların kariyerlerinin başında, daha az deneyimliyken ve dikkatsizliklerinin sonuçları daha az ciddiyken temel operasyonel güvenlik hataları yapmalarıdır. Hastalamuerte'nin 2019-2020 yıllarındaki ilk forum gönderileri, nispeten deneyimsiz ve düşük becerili bir hacker profili çiziyor.
Teknik Analiz
The Gentlemen fidye yazılımı grubunun arkasındaki ismin Alexander Yapaev olduğuna dair güçlü kanıtlar bulunuyor. Bu durum, siber suçluların kimliklerini gizleme çabalarına rağmen, açık kaynak istihbaratı ve ihlal veritabanları sayesinde nasıl ortaya çıkarılabileceğini gösteriyor. Kurban sayısı hızla artan bu gruba karşı şirketlerin VPN ve güvenlik duvarı gibi internet bağlantılı cihazlarını güncel tutmaları, çok faktörlü kimlik doğrulama kullanmaları ve ağlarında anormal aktiviteleri izlemeleri kritik önem taşıyor. Ayrıca, fidye yazılımı saldırılarına karşı düzenli yedekleme ve felaket kurtarma planları hayati öneme sahip.
Kaynak: krebsonsecurity.com