ABD Adalet Bakanlığı tarafından hazırlanan yeni bir iddianame ve NCA tarafından yapılan basın açıklamasına göre, ‘LockBitSupp’ ve ‘putinkrab’ olarak bilinen LockBit fidye yazılımı operatörünün Rusya’nın Voronej kentinden 31 yaşındaki Dmitry Yuryevich Khoroshev adlı bir Rus vatandaşı olduğu ve çetenin faaliyetleri kapsamında 100 milyon dolar kazandığı bildirildi.
İngiltere Ulusal Suç Ajansı, “LockBit fidye yazılım grubunun yöneticisi ve geliştiricisi olan Rus vatandaşı Dmitry Khoroshev’e (altta resimde görülen) yönelik yaptırımlar, ABD Hazine Bakanlığı Yabancı Varlıkların Kontrolü Ofisi (OFAC) ve Avustralya Dışişleri Bakanlığı ile birlikte FCDO tarafından bugün açıklanıyor” dedi ve ekledi “Anonimlik konusunda başarılı olan ve kimliğini açıklayana 10 milyon dolar ödül teklif eden Khoroshev, nam-ı diğer LockBitSupp, artık bir dizi mal varlığı dondurma ve seyahat yasağına tabi olacak.”
Bugünkü duyurular arasında Khoroshev’e karşı mal varlığının dondurulması ve seyahat yasağı gibi yaptırımlar da yer alıyor. Europol’den yapılan duyuruda “LockBit’in yöneticisi ve geliştiricisi olan Rus vatandaşı, ABD Hazine Bakanlığı Yabancı Varlıkların Kontrolü Ofisi (OFAC) ve Avustralya Dışişleri ve Ticaret Bakanlığı’nın yanı sıra Birleşik Krallık Dışişleri, Milletler Topluluğu ve Kalkınma Ofisi tarafından yayınlanan bir dizi varlık dondurma ve seyahat yasağına tabidir” denildi.
Bu yaptırımlar fidye yazılım operasyonlarında büyük aksamalara neden olabilir zira fidye ödemek potansiyel olarak yaptırımları ihlal edebilir ve şirketlere devlet cezaları getirebilir. Geçmişte, benzer fidye ödemelerinin kısmen de olsa azalmasına neden olmuştu.
ABD yönetimi Adalet için Ödüller programının bir parçası olarak LockBitSupp’ın tutuklanmasına ve/veya mahkum edilmesine yol açan bilgiler için 10 milyon dolarlık bir ödül de sunuyor.
Kolluk kuvvetleri ayrıca LockBit altyapısının hacklenmesi ve ele geçirilmesinin, daha önce açıklanandan daha fazla şifre çözme anahtarı elde etmelerini sağladığını duyurdu. Artur Sungatov, Ivan Kondratyev (Bassterlord), Ruslan Magomedovich Astamirov, Mikhail Matveev (Wazawaka) ve Mikhail Vasiliev de dahil olmak üzere beş LockBit üyesi daha ABD hükümeti tarafından suçlandı. Mikhail Vasiliev daha önce tutuklanmış ve dört yıl hapis cezasına çarptırılmıştı, Ruslan Astamirov ise gözaltında yargılanmayı bekliyor.
LockBit’in yükselişi ve düşüşü
LockBit hizmet olarak fidye yazılımı (Raas) operasyonu Eylül 2019’da başlatıldı, önce kendisini ‘ABCD’ olarak adlandırdı ve daha sonra LockBit olarak yeniden markalaştı. Siber suç operasyonu, şifreleyici ve Tor müzakere ve veri sızıntısı sitelerini geliştirdi ve kurumsal ağları hacklemek, veri çalmak ve cihazları şifrelemek için bazı alt saldırı vektörlerini, bağlı kuruluşları veya “reklamcıları” işe aldı.
Bu anlaşmanın bir parçası olarak, LockBit operatörleri herhangi bir fidye ödemesinin yaklaşık %20’sini kazanıyor, geri kalanı ise bağlı kuruluşta kalıyordu. Tüm bu çete şeması ise, online dünyada LockBitSupp olarak bilinen ve şu anda Khoroshev olduğu bilinen, Rusça konuşulan bilgisayar korsanlığı forumlarını sık sık ziyaret eden ve gazeteciler ve araştırmacılarla suç girişimi hakkında konuşmaktan zevk alan, halka açık bir operatör tarafından yürütülmekte.
LockBit kısa sürede en büyük ve en aktif fidye yazılımı operasyonu haline geldi ve Şubat 2024’e kadar çetenin veri sızıntısı sitesi ve 194 bağlı kuruluşu tarafından sürekli yeni kurban akışı duyuruldu. Ancak Şubat ayında fidye yazılımı çetesi, ‘Cronos Operasyonu’ olarak bilinen bir kolluk kuvvetinin LockBit’in veri sızıntısı web sitesine ev sahipliği yapan 34 sunucu, ayna siteler ve ortaklık paneli de dahil olmak üzere altyapısını çökertmesinin ardından büyük bir kesintiye uğradı. Bu eylem aynı zamanda kolluk kuvvetlerinin kurbanlardan çalınan verileri, kripto para adreslerini, şifre çözme anahtarlarını ve çeteyle ilgili bir dizi başka bilgiyi kurtarmasına olanak sağladı.
Verdiği zarar milyar doların üzerinde
Kolluk kuvvetleri başlangıçta Cronos Operasyonu kapsamında 1.000 şifre çözme anahtarı elde edebildiklerini belirtirken, bugünkü duyuru 1.500 şifre çözme anahtarı daha elde edebildiklerini ve LockBit kurbanlarına dosyalarını ücretsiz olarak kurtarmalarında yardımcı olmaya devam ettiklerini ortaya koyuyor.
Ele geçirilen verileri analiz eden İngiltere Ulusal Suç Ajansı, LockBit’in dünya çapında binlerce şirketten 1 milyar dolar gasp etmekten sorumlu olduğunu, Adalet Bakanlığı’nın ise Khoroshev ve bağlı kuruluşlarının 500 milyon doların üzerinde fidye ödemesi gasp ettiğini söylediğini belirtti.
Kolluk kuvvetleri, Haziran 2022 ile Şubat 2024 arasında fidye yazılımı operasyonunun 7.000’den fazla saldırı gerçekleştirdiğini ve en çok etkilenen ilk beş ülkenin ABD, İngiltere, Fransa, Almanya ve Çin olduğunu iddia ediyor.
LockBit bugün yeni kurbanları hedef alarak ve yakın zamanda büyük miktarda eski ve yeni veri yayınlayarak faaliyet göstermeye devam ediyor. Ancak NCA, Cronos Operasyonu’nun bağlı kuruluşların kitlesel göçüne yol açtığını ve tehdit aktörlerinin liderliğe olan güvenini kaybetmesi nedeniyle aktif üye sayısının 194’ten 69’a düştüğünü bildirdi.