XSS.is, Fidye Yazılımı Tedarik Zincirini Yöneten Forum Çöktü. Piyasa Değil
Pierluigi Paganini 30 Haziran 2026 30 Haziran 2026
Polis, güvenilir emanet hizmeti yeraltı ekonomisinin güçlenmesine yardımcı olan büyük bir siber suç forumu olan XSS.is'in sözde yöneticisini tutukladı.
22 Temmuz 2025'te Fransız ve Ukrayna polisi, Kiev'de 38 yaşındaki bir adamı tutukladı ve son on yılın Rusça dilindeki en etkili siber suç forumu olan XSS.is'i kapattı. Operasyonu Ratatouille adı altında koordine eden Europol, forumun 50.000'den fazla üyesi olduğunu ve şüphelinin suç anlaşmalarında güvenilir bir aracı olarak hareket ederek 7 milyon Euro'dan fazla kazandığını söyledi. Bu son kısım göründüğünden daha önemli.
XSS sadece bir mesaj panosu değildi. Kötü amaçlı yazılım yazarlarının, istismar satıcılarının, spam gönderenlerin ve fidye yazılımı bağlı kuruluşlarının ticaret yapmak için buluştuğu, izinsiz giriş ekonomisinin toptan katmanıydı. Forum kendi emanet ve tahkim hizmetini yürütüyordu, böylece daha önce hiç tanışmamış iki suçlu, aldatılmadan bir işlemi tamamlayabiliyordu. Sunulan tek bir ürün değil, bu güven işlevi XSS'yi tüm operasyon için yapısal olarak önemli kılan şeydi.
Soy uzundur. DaMaGeLaB, yöneticisinin tutuklandığı 2004 yılından 2017 yılına kadar faaliyet gösterdi. 2018'de kısmi yedekleme, en az 2005'ten beri Rus yeraltında aktif olan "Toha" tanıtıcısını kullanan bir operatör tarafından xss.is olarak yeniden başlatıldı. Sızan veritabanındaki en eski kayıt zaman damgaları Kasım 2004'e kadar uzanıyor. Europol, tutuklanan şüphelinin yaklaşık 20 yılını siber suçlarda geçirdiğini değerlendirdi.
Europol, canlı soruşturmaya atıfta bulunarak şüphelinin adını vermedi ancak açık kaynak araştırmacıları ve siber suç topluluğu Toha'da bir araya geldi. KrebsOnSecurity, tarihi e-posta adresine bağlı alan adı kayıt kayıtlarını inceledi ve Aralık 1987 doğumlu, yaşı tutuklanan şüpheliyle aynı olan Anton Medvedovskiy adında bir Kiev sakinini ortaya çıkardı. Daha sonra LockBitSupp tarafından güçlendirilen 2022 tarihli ayrı bir iddia, Anton Avdeev adlı bir Rus'a işaret ediyordu. Bu iz kasıtlı olarak yanlış yönlendirilmiş olabilir.
Ransomnews Araştırma Ekibi, XSS XenForo veritabanının sızdırılmış bir kopyasını analiz etti: 14.509 ileti dizisi, 123.241 genel mesaj, 7.706 kayıtlı hesap ve 6.168 görüşmeden oluşan özel katman. Dil sinyali açıktır. Tüm mesaj metinlerinde alfabetik karakterlerin %62,2'si Kiril alfabesinden oluşuyor ve hesapların %53,6'sı BDT bölgesi alan adında bir e-postayla kayıtlı. Rus web posta sağlayıcılarının sayısı toplam olarak Gmail'den fazladır. Azınlık, bu toplulukta rutin operasyonel güvenlik olan ProtonMail'i kullandı.
"51 bölümü mesaj hacmine göre haritalamak, forumun gerçekte ne için olduğunu gösteriyor. Kaçınılmaz konu dışı salon ve yönetim kurullarının ötesinde, en yoğun ticaret bölümleri web uygulaması güvenlik açıkları, kötü amaçlı yazılımlar, yararlanma kitleri ve şifreleme, ağ ve Wi-Fi güvenlik açıkları ve özel bir erişim panosu ("kabuklar, FTP, kökler, veritabanları, SQL enjeksiyonu, RDP'ler"). Ransomnews Araştırma Ekibi tarafından yayınlanan raporu okuyor. "Çöplükte saklanan bir idari konu başlığı, 'thesecure.biz'den gelen spam şikayeti başlı başına bir eser: Thesecure.biz, Europol'ün daha sonra tutuklanan yöneticinin çalıştırdığını söylediği şifreli Jabber sunucusu."
Mesaj hacmine göre en yoğun ticaret bölümleri web uygulaması güvenlik açıkları, kötü amaçlı yazılımlar, yararlanma kitleri, şifreleme hizmetleri ve kabuklar, FTP kökleri, veritabanları ve RDP'ler için özel bir erişim panosuydu. Mesajları anahtar kelime sıklığına indirgemek aynı hikayeyi anlatıyor: hırsız günlükleri, FUD (tamamen tespit edilemeyen) şifreleme, kredi kartı verileri, ağ erişimi, açıklardan yararlanmalar ve web kabukları. Raporun belirttiği gibi, "bu, saldırının bir katman yukarısında işlem gören fidye yazılımı saldırılarının ham maddesidir".
Gönderim zamanının sahtesini yapmak zordur çünkü insanların gerçekte uyanık ve çalışırken ne zaman olduğunu yansıtır. XSS verileri ders kitabına göre maaşlı iş günü modelini göstermektedir. Etkinlik 06:00 UTC'den itibaren keskin bir şekilde tırmanıyor ve çalışmaların ortası olan 09:00 ile 13:00 UTC arasında zirveye ulaşıyor
Moskova'da g günü. Hafta içi günler hakimdir; pazartesi ve salı en yoğundur ve hafta sonları belirgin bir düşüş yaşanır. Bu, aynı araştırma ekibinin 16.699 fidye yazılımı sızıntı sitesi gönderisini zamanlarken bulduğu ritimle aynı.
Erişim günlüğü telemetrisi, 79 ülkede 7.061 benzersiz IP adresinde 19.192 olayı kapsıyor. Rusya, 564 hesapla en büyük tekil hesap kaynağıdır ve diğer tüm ülkelerden çok ileridedir. ABD ve Hollanda ham IP sayısında üst sıralarda yer alıyor ancak bu toplamlarda VPN uç noktaları, barındırma sağlayıcıları ve Tor çıkış geçişleri hakim durumda.
"Rusya, farklı hesapların en büyük tek kaynağıdır (564), diğer tüm ülkelerin çok ilerisindedir. Amerika Birleşik Devletleri ve Hollanda, ham IP sayısında üst sıralarda yer almaktadır, ancak bu toplamlarda yerleşiklerden ziyade VPN uç noktaları, barındırma sağlayıcıları ve Tor çıkış geçişleri hakimdir." rapora devam ediyor. "Güvenlik bilincine sahip bir suç forumunun coğrafi konumunun belirlenmesi, üyelerin uyudukları yere değil, trafiği yönlendirdikleri yere; %62 Kiril metni ve Moskova çalışma saatleri ile birleştiğinde, ağırlık merkezi açıkça Rusça konuşulan dünyadır."
XSS, MITRE ATT&CK'nin Kaynak Geliştirme ve İlk Erişimin tedarik tarafı olarak adlandırdığı saldırı zincirinin en başında yer alıyordu. Üyeler fidye yazılımını çalıştırmadı. Kapıyı sattılar. İlk erişim komisyoncuları, başlangıç fiyatı, teklif artışı ve hemen satın alma seçeneğiyle kurumsal ağlardaki dayanak noktalarını yapılandırılmış açık artırmalar olarak listelediler. Belgelenmiş bir listelemede, 800 milyon ABD doları gelire sahip ABD'li bir üreticiye erişim için 25.000 ABD Doları tutarında bir başlangıç ve 40.000 ABD Doları tutarında hemen satın alma ödülü bulunuyordu. Bir bağlı kuruluş bu listeyi satın alır, izinsiz girişi çalıştırır ve komisyoncu asla fidye yazılımına dokunmaz.
Intel 471, Haziran 2024 ile Mayıs 2025 arasında ilk erişim komisyoncularından 4.878 erişim ve kimlik bilgisi satış listesi kaydetti, 70 tanesini daha sonra fidye yazılımı sızıntı sitelerinde adı verilen kurbanlarla ilişkilendirdi ve bir erişim listesi ile kurbanın bir sızıntı blogunda görünmesi arasında yaklaşık 19 günlük bir ortalama değer ölçtü. Bu boşluk, raporun tamamındaki operasyonel açıdan en yararlı sayıdır. Bu bir algılama penceresidir.
13 Mayıs 2021'de, Colonial Pipeline'a yapılan DarkSide saldırısından günler sonra, XSS yöneticisi tüm fidye yazılımı faaliyetlerini yasakladı ve mevcut fidye yazılımı dizilerini sildi. Bunu birkaç saat içinde Exploit ve RaidForums takip etti. Bu, forumların eylemlerini temizlemesi olarak geniş çapta okundu.
Veriler farklı bir hikaye anlatıyor.
"Expoit ve RaidForums'un takip ettiği saatler içinde. Bu hareket genellikle forumların fidye yazılımına "karşı dönmesi" olarak tanımlanıyor. Veri bilinçli okuma daha dar: Yasak, Batılı kolluk kuvvetlerinin ilgisini çeken gürültülü, markalı bağlı kuruluş işe alım konularını ortadan kaldırırken, aslında fidye yazılımını besleyen daha sessiz ve daha değerli erişim ticareti devam etti." raporu belirtiyor. “Bu bir iş değişikliği değil, itibar yönetimiydi.”
Ratatouille Operasyonu, Ukrayna Ulusal Polisi ve SBU ile birlikte çalışan Fransız Polisi ve JUNALCO tarafından yönetildi. Soruşturma Temmuz 2021'de başladı ve tutuklanmadan dört yıl önce yürütüldü. Polis memurları, forumun yanı sıra Thesecure.biz Jabber sunucusuna da el koydu. Yeraltının en çok korktuğu kısım burasıydı.
XSS birkaç gün içinde yeni bir Tor adresinde yeniden ortaya çıktı, ancak tüm moderatörler görevden alındı, üye bakiyeleri sıfırlandı ve geri dönen kullanıcılardan yeni bir depozito ödemeleri istendi. Çok az kişi buna güveniyordu. KELA, kesintiden ortaya çıkan "DamageLib" adlı kıymığın izini sürdü. Intel 471, erişim aracısı faaliyetinin RAMP ve DarkForums'a doğru kaymasıyla, sonrasındaki durumu altyapı kaybı yerine güven kaybı olarak çerçeveledi.
Adli maruziyet kalıcı bir sorundur. Bir Exploit forum üyesi, tutuklamayla ilgili bir başlıkta konuyu özetledi: Araştırmacılar artık iki yıllık Jabber sunucu günlüklerini, tam bir yedeklemeyi ve forum veritabanını, takma adları, e-postaları, şifre karmalarını, Jabber kimliklerini, IP adreslerini ve yazı stilini hazır dosyalara bağlayabilen materyali elinde tutuyor. Tüm değeri herkesin sırlarını saklayan güvenilir bir aracı olan bir pazar için bu, daha kalıcı bir hasardır.
Savunmacılar 19 günde neler yapabilir?
Yayından kaldırma işlemi bir hub'ı kaldırır,
ekonomi değil. Erişim komisyonculuğu ve istismar satışları, tek bir tutuklamanın bastıramayacağı kadar hızlı geçiş yapar. Pratik müdahale erken ve istihbarat odaklıdır: sektörünüz ve adlandırılmış varlıklarınız için ilk erişim komisyoncusu konuşmalarını izleyin, kuruluşunuzun kimlik bilgilerinin hırsız günlüklerinde ortaya çıkmasını izleyin ve canlı kurban akışında sızıntı sitesi etkinliğini izleyin. Açığa çıkan RDP ve VPN'yi kapatın, kimlik avına karşı dayanıklı MFA'yı zorunlu kılın ve ihlal verilerinde görünen kimlik bilgilerini döndürün. XSS'nin ele geçirilmesi gerçek bir kazançtır. Hizmet verdiği pazar hâlâ açık.
Beni Twitter'da takip edin: @securityaffairs ve Facebook ve Mastodon
Pierluigi Paganini
(SecurityAffairs – hackleme, XSS.is)