İngiltere'nin Ulusal Suçla Mücadele Dairesi (NCA), bilgisayar ağlarına zarar veren kötü amaçlı yazılım bulaştıran ve fidye pazarlığı yapan kuruluşlara bir hizmet olarak fidye yazılımı sağlayan LockBit'i hedef alan uluslararası bir operasyona öncülük ettiğini bildirdi.
Yetkililer ortak basın toplantısında, operasyonun Polonya ve Ukrayna'da iki kişinin tutuklanması ve 200 kripto para hesabına el konulmasıyla sonuçlandığını söyledi.
Bu arada ABD Adalet Bakanlığı, her ikisi de Rus vatandaşı olan iki kişi hakkındaki iddianameleri açıkladı.
Yetkililer, iki Rus vatandaşının, LockBit'in sistemlerine "kapsamlı erişim" sağladıklarını, altyapının kontrolünü ele geçirdiklerini ve mağdurların verilerinin şifresini çözmelerine yardımcı olacak anahtarları elde ettiklerini söyledi.
NCA Genel müdürü Graeme Biggar, Londra'da düzenlenen basın toplantısında, "Hacker'ları hack'ledik. LockBit devre dışı bırakıldı" dedi.
Suçlanan iki Rus, Artur Sungatov ve Ivan Kondratyev, LockBit'i ABD'deki imalat şirketlerine ve dünya çapındaki yarı iletken işletmelerine karşı kullanmakla suçlanıyor. Kondratyev'in fidye yazılımını Oregon, Porto Riko ve New York'taki belediye ve özel hedeflere ve Singapur, Tayvan ve Lübnan'daki diğer mağdurlara karşı kullandığı; Sungatov'un ise Minnesota, Indiana, Porto Riko, Wisconsin, Florida ve New Mexico'daki üretim, lojistik ve sigorta şirketlerine karşı kullandığı iddia ediliyor.
Duyurudan saatler önce, LockBit'in karanlık web sızıntı sitesinin ön sayfası, İngiltere, ABD ve diğer bazı ülkelerin bayraklarının yanı sıra "bu site artık kolluk kuvvetlerinin kontrolü altındadır" sözleriyle değiştirildi.
Mesajda, İngiltere'nin NCA'sinin "FBI ve uluslararası kolluk kuvvetleri görev gücü Cronos Operasyonu ile yakın işbirliği içinde çalıştığı" belirtildi. Devam eden operasyonda Europol dahil olmak üzere Almanya, Fransa, Japonya, Avustralya, Yeni Zelanda ve Kanada'dan kurumların da yer aldığı kaydedildi.
Bu açıklamayla birlikte operasyonun başlamasından bu yana ABD'nin hakkında iddianame hazırladığı kişi sayısı beşe yükseldi. Daha önce üç Rus hakkında iddianame hazırlanmış, bunlardan ikisi gözaltına alınmıştı. Biri Kanada'da, diğeri de ABD'de olmak üzere geri kalanlar halen aranıyor.
New Jersey'deki en üst düzey federal savcı Philip Sellinger basın toplantısında "Bugün bu siber suçlulara hadlerini bildirdik" dedi.
Yetkililer, çetenin mağdur verilerini organize etmek ve aktarmak için kullandığı sunuculara da el koyduklarını ve yaklaşık 1000 potansiyel şifre çözme aracına erişim sağladıklarını söyledi. Ayrıca Lockbit platformunun kaynak kodunu ve çetenin birlikte çalıştığı kişiler hakkında istihbarat de elde edildi.
2019'dan beri faaliyet gösteren LockBit, iki yıl üst üste en üretken fidye yazılımı grubu oldu. Siber güvenlik firması Palo Alto Networks'e göre grup, geçen yıl fidye yazılımı çetelerinin ödeme almak için mağdurlardan çalınan verileri yayınladığı küresel çapta yaklaşık 4000 saldırının yüzde 23'ünden sorumluydu.
Siber güvenlik firması Emsisoft'tan Brett Callow, operasyonun "muhtemelen bugüne kadarki en önemli fidye yazılımı operasyonu" olduğunu söyledi. Bu durum muhtemelen örgütün sonunu getirecek olsa da, bu tür gruplar rutin olarak yeniden markalaşıyor ve yeni isimler altında tekrar ortaya çıkıyor. Callow, uzun vadede bu operasyonun tek başına fidye yazılım saldırılarının hacmini azaltmayacağını söyledi.
Operasyon, LockBit'in tüm verilerini çalmayı ve ardından altyapısını yok ederek siber suç tehdidinde "büyük bir dağılmaya" neden olmayı amaçlıyordu.
Rusça konuşanların hakimiyetinde olan LockBit, eski Sovyet ülkelerine saldırmıyor. Grup, müşterilerine, saldırı düzenlemek ve fidye toplamak için platform ve kötü amaçlı yazılım sağlıyor.
Biggar, yetkililerin LockBit'in yüzlerce üyesi olabileceğini ancak grubun arkasında Rusya gibi bir ulus devletin bulunduğuna dair bir kanıt olmadığını söylediğini aktardı.
"Bunlar suçlular" diyen Biggar, Rusya'nın herhangi bir baskı yapmamasının Moskova'nın çetenin faaliyetlerine göz yumduğunu gösterdiğini söyledi.
LockBit, İngiltere Kraliyet Postası, İngiltere Ulusal Sağlık Hizmetleri, uçak üreticisi Boeing, uluslararası hukuk firması Allen and Overy ve Çin'in en büyük bankası ICBC'ye yapılan saldırılarla ilişkilendirilmişti.
Europol Operasyonlardan Sorumlu Genel Müdür Yardımcısı Jean-Philippe Lecouffe, basın toplantısında yaptığı açıklamada, "LockBit fidye yazılımı grubunun suç operasyonunu her düzeyde sekteye uğrattık. Bugün sadece operasyonlarına değil, aynı zamanda daha da önemlisi itibarlarına da kesin bir darbe indirdik" dedi.
Geçtiğimiz Haziran ayında ABD federal kurumları, 2020'den bu yana ABD'de yaklaşık 1700 fidye yazılımı saldırısını LockBit'e bağlayan ve mağdurların "belediye yönetimleri, ilçe yönetimleri, kamu yüksek öğrenimi ve ilk ve orta dereceli okulları ve acil durum hizmetlerini" içerdiğini belirten bir uyarı yayınlamıştı.
Fidye yazılımları; yerel yönetimleri, mahkeme sistemlerini, hastaneleri, okulları ve işletmeleri felç eden en maliyetli ve en yıkıcı siber suç türü olarak biliniyor. Çetelerin çoğu eski Sovyet ülkelerinde ve Batı adaletinin ulaşamayacağı yerlerde olduğu için fidye yazılımlarla mücadele etmek zor. Ancak kolluk kuvvetleri fidye yazılımı çetelerine karşı son zamanlarda bazı başarılar elde etti. Özellikle de FBI'ın Hive grubuna karşı yürüttüğü operasyon bu başarılardan biri. Ancak suçluların yeniden gruplanıp markalaştığı biliniyor.