FBI ve İngiltere Ulusal Suç Ajansı gibi kolluk kuvvetleri, kurbanları arasında Royal Mail ve Boeing’in de bulunduğu dünyanın en üretken siber suç çetelerinden biri olan LockBit’e ağır bir darbe indirdi.
Cronos Operasyonu’nun arkasındaki 11 uluslararası kolluk kuvveti, salı günü üyelerinin çoğu Rusya’da bulunan fidye yazılım grubunun, kendi sistemlerinden kapı dışarı edildiğini söyledi. Grubun kilit üyelerinden birçoğu tutuklandı, gözaltında alındı ya da kimlikleri tespit edildi ve “dark web” ana sayfası da dahil olmak üzere bir çok temel araçlarına el konuldu.
NCA (Birleşik Krallık Ulusal Suç Dairesi) genel müdürü Graeme Biggar, kolluk kuvvetlerinin “LockBit’e başarılı bir şekilde sızdığını ve kökten bozguna uğrattığını” söyledi. “LockBit çok büyük zararlara ve maliyetlere neden oldu. Artık olamayacak.” diyen Biggar, Londra’da düzenlenen ve FBI, ABD Adalet Bakanlığı ve Europol’den yetkililerin katıldığı bir basın toplantısında konuştu. “Bugün itibariyle LockBit fiilen devre dışıdır. LockBit erişime kapatıldı.“
LockBit, geçtiğimiz dört yıl boyunca yüksek profilli kurumsal hedeflerden hastanelere ve okullara kadar dünyanın dört bir yanındaki kurbanlara yönelik binlerce fidye yazılımı saldırısına karıştı. Yetkililere göre, hacker grubunun kurumları kendi BT sistemlerinden mahrum bırakan teknolojisi, küresel bir hacker ağı tarafından, yaklaşık 120 milyon dolar fidye ödemesi ve milyonlarca dolar kurtarma masrafı yoluyla kurbanlara milyarlarca dolar zarar vermek için kullanıldı.
Yetkililer, aralarında iki Rus vatandaşının da bulunduğu beş sanığın ABD’de suçlandığını söyledi. Beş kişiden ikisi gözaltına alındı. Ekibin üyesi olduğu iddia edilen diğer iki kişi de Salı günü Ukrayna ve Polonya’da tutuklanırken, yetkililer daha fazlasının da tutuklanacağı sözünü verdi.
“Bu kişilerin peşini bırakmayacağız” diyen Biggar, ajansların yaklaşık 200 kripto para hesabını dondurduğunu ve soruşturmayı hızlandırmak için “bir ton veri” ele geçirdiğini belirtip sözlerine şunu ekledi: “LockBit operasyonu hakkında çok net bir anlayışa sahibiz.”
Binlerce saldırıdan sorumlu grubun alan adı ve sunucularına el konuldu
Dünya çapında yaklaşık 11.000 alan adı ve sunucuya el konulmasının yanı sıra, bilinen 2.000’den fazla kurbanın verilerine yeniden erişim sağlamasına yardımcı olabilecek yaklaşık 1.000 potansiyel şifre çözme aracına erişim sağlandı.
Güvenlik araştırmacıları Salı günü erken saatlerde LockBit’in internetin gizli bölümlerindeki (dark web), web sitesinin kaldırıldığını ve yerine “artık kolluk kuvvetlerinin kontrolü altında” olduğunu belirten bir mesajın yerleştirildiğini söyledi. Yetkililer bu hamlenin, yüzlerce üyesi, iştirakçisi ve geliştiricisi serbest kalsa bile, grubun hackerlarının korkutucu itibarını küçük düşürmek ve zayıflatmak için tasarlandığını söyledi.
“Bu kişilerin büyük bir çoğunluğu Rusya’da” diyen Biggar, orada “siber suçlara açıkça bir tolerans” olduğunu ve soruşturmanın “Rus devletinden doğrudan destek görmediğini” belirtti.
Rus kökenli LockBit, “hizmet olarak fidye yazılımı” (RaaS) modeli aracılığıyla uluslararası bir suç örgütüyle işbirliği yapıyordu. Grup, kötü amaçlı yazılımını uluslararası finans grupları ve hukuk firmalarından okullar ve tıbbi tesislere kadar çok çeşitli hedefleri felç etmek için kullanan, dağınık bir bilgisayar korsanları ağına kiralıyordu. Sonrasında LockBit genellikle kurbanlar tarafından ödenen fidyenin yüzde 20’si kadar bir komisyon alıyordu.
LockBit’in 2023’ün başlarında İngiltere’nin posta servisi Royal Mail’e yaptığı saldırı grubun dikkatleri üzerine çekmesine neden olurken, Kasım ayında Çin’in en büyük bankası olan Industrial and Commercial Bank of China’nın finansal hizmetler koluna yaptığı saldırı finans dünyasında şok etkisi yarattı. Aynı ay, Boeing’den çalındığı iddia edilen tonlarca veri, havacılık grubunun fidye ödemeyi reddetmesinin ardından internete sızdırılmıştı.
Grup o kadar büyük bir şöhrete sahip oldu ki, bazı hackerlar bir promosyonun parçası olarak LockBit’in logosunu dövme yaptırmak için 1.000 dolar ödeme aldı
Siber güvenlik şirketi Sophos’un küresel saha CTO’su Chester Wisniewski, ilk olarak 2019’da ortaya çıktığına inanılan LockBit’in son iki yılda “en üretken fidye yazılımı grubu” haline geldiğini söyledi. “Saldırılarının sıklığı ve ne tür bir altyapıyı sakatlayacaklarına dair bir sınırlarının olmaması, onları son yılların en yıkıcıları haline getirdi” dedi. “Grubun faaliyetlerini sekteye uğratan ve bağlı kuruluşları ile tedarikçileri arasında güvensizlik tohumları eken her şey kolluk kuvvetleri için büyük bir kazançtır.”
Bununla birlikte Wisniewski, “grubun altyapılarının büyük bir kısmının hala çevrimiçi olduğunu” sözlerine ekleyerek, bilgisayar korsanlarının kolluk kuvvetlerinin tam kontrolü altına alınması için hala yapılması gereken işler olduğunu belirtti.
Kaynak: Ars Technica