Etiket arşivi: Medibank

Siber Saldırılar

Medibank siber saldırısının arkasındaki hacker Aleksandr Ermakov kimdir?

Yorum yapın

Avustralya’nın sağlık sigortası devi Medibank’a siber saldırı düzenleyen hacker Alexander Ermakov’un  fidye yazılım çetesi SugarLocker’a üye olduğu çıktı.

Rus yetkililer, SugarLocker için çalıştıkları iddia edilen üç kişiyi tutukladığını açıklamıştı.

GustaveDore ve JimJones takma adlarını kullandığı belirtilen bir üyenin, Medibank’a yönelik 2022 yılında gerçekleştirilen fidye yazılımı saldırısının arkasındaki Aleksandr Ermakov olduğu anlaşıldı.

Rus polisi, üç kişiyi ülkenin ceza kanununun zararlı bilgisayar kodlarının oluşturulmasını, kullanılmasını veya dağıtılmasını yasaklayan 273. maddesini ihlal etmek suçlamasıyla tutukladığını duyurdu.

Rusya İçişleri Bakanlığı Özel Teknik Olaylar Bürosu’nun üç şüpheliyi, ilk olarak 2021’in başında ortaya çıkan ve ele geçirilen SugarLocker, diğer adıyla Sugar veya Encoded01 adlı hizmet olarak fidye yazılımı operasyonunun üyesi olmakla suçladığı bildirildi.

Tutuklanan kişilerin, fidye yazılımlarının tanıtımını yapmakla kalmayıp, özel yapım kötü amaçlı yazılımlar geliştiren, çevrim içi mağazalar için kimlik avı siteleri oluşturan ve kullanıcı trafiğini Rusya ve BDT’de popüler olan dolandırıcılık planlarına yönlendiren yasal bir BT şirketi kisvesi altında çalışan Shtazi-IT adlı şirket üzerinden faaliyetlerini yürüttükleri tespit edildi.

AVUSTRALYA’DA SİBER YAPTIRIM UYGULANAN İLK İSİM: ALEKSANDR ERMAKOV

SugarLocker’ın, 2021 yılında RAMP adlı darknet forumunda “GustaveDore” adlı kullanıcının paylaşımıyla piyasaya sürüldüğü duyurulmuştu. REvil’e bağlı bir grup olduğu düşünülen SugarLocker’ın operatörlerinden birinin kullandığı bu takma ad, Avustralya, İngiltere ve ABD tarafından yaptırım uygulanan Rus vatandaşı Aleksandr Ermakov tarafından da kullanılıyordu.

Rus siber suç forumlarında Aleksandr Ermakov’un “GustaveDore, JimJones ve Blade Runner” gibi birden fazla takma ad kullandığını biliniyordu.

Aleksandr Ermakov ismi geçtiğimiz ay gündeme gelmiş, Avustralyalı yetkililer tarafından Medibank saldırısının arkasındaki kişi olarak duyurulmuştu.

Fidyeciler 9,7 milyon kişinin verilerini sızdırdı: Saldırının arkasında Rusya mı var?

Medibank saldırısı 2022 yılında gerçekleşmiş, saldırı neticesinde 9,7 milyon müşterinin hassas kişisel verileri çalınmıştı. Şirket tarafından 10 milyon dolarlık fidye talebi reddedilince veriler daha önce REvil ile bağlantılandırılan bir blogda sızdırılmıştı.

Avustralyalı yetkililer, soruşturmalar neticesinde saldırının arkasında kimin olduğunu bildiklerini ancak isim vermeyeceklerini açıklamışlardı.

Avustralya hükümeti ise, yayımladığı açıklamayla saldırının arkasındaki ismin Rus fidye yazılımı çetesi REvil ile ilişkilendirilen Aleksandr Ermakov olduğunu ve mali yaptırım uyguladığını duyurmuştu.

Söz konusu uygulama Avustralya tarihinde bir ilk olarak tarihe geçmişti.

İKİ UYGULAMA ARASINDA HERHANGİ BİR BAĞ YOK

Ancak uzmanlar, Aleksandr Ermakov’a yönelik Avustralya’nın yaptırımıyla Rusya’nın tutuklaması arasında bir bağ olmadığını düşünüyor.

Kimi uzmanlar söz konusu tutuklamanın, fidye yazılımı çetesi LockBit’e karşı düzenlenen büyük bir operasyonla örtüşmesini “olağanüstü” olarak yorumluyor.

Bazıları da bu tutuklamanın Rusya’nın PR girişimi olabileceğini, şüphelilerin bir şekilde operasyonlarına devam edeceğini belirtiyor.

Siber Güvenlik

Fidyeciler 9,7 milyon kişinin verilerini sızdırdı: Saldırının arkasında Rusya mı var?

Yorum yapın

Avustralya’da 9,7 milyon kişinin verilerini sızdıran ve Rusya destekli olduğu düşünülen fidye çetesi  kişi başı 1 dolar fidye talep etti.

Siber tehdit aktörleri geçtiğimiz günlerde Avustralya’nın en büyük sağlık sigortası kuruluşu olarak bilinen Medibank’ın 9,7 milyon müşterisinin sağlık bilgilerini çalmıştı. 

Müşterileri arasında Başbakan Anthony Albanese’in de olduğu şirket, siyasetçilerden aktörlere kadar milyonlarca kişinin kişisel verileri ve bütün sağlık bilgilerini tutuyordu. Saldırganlar ise fidye taleplerinin kabul edilmesi için tüm bu bilgileri sızdırmaya başladı.

HASSAS SAĞLIK VERİLERİ ÇALINDI

Avustralya’nın en büyük sağlık sigortası kuruluşu, geçtiğimiz günlerde yaptığı açıklamayla siber tehdit aktörleri tarafından müşteri verilerinin çalındığını duyurmuştu.

Çalınan verilerin arasında ad, soyadı, adres gibi kişisel bilgilerin yanı sıra kürtaj, akıl hastalıkları gibi sağlık bilgileri de bulunduğu açıklanmıştı.

Yaklaşık 200 GB’lık verileri çalan tehdit aktörleri Medibank’tan 10 milyon dolar fidye talep etmişti. Daha sonra indirime giden tehdit aktörleri, fidye talebini kişi başı 1 dolar olmak üzere fiyatlandırmıştı.

Medibank ise tehdit aktörlerine fidye ödemeyi reddetmişti.

Rusya, Ukrayna’ya yeni Data Wiper’la saldırıyor

Ayrıca Medibank, 1,8 milyon yabancı müşterisinin de olduğunu duyurmuştu.

MEDİBANK FİDYE ÖDEMEYİ REDDETTİ

Medibank ile tehdit aktörleri arasındaki fidye pazarlığı yaklaşık üç haftadır sürüyordu. Sigorta şirketi, kötü örnek olacağı gerekçesiyle aktörlerin şantajına boyun eğmeyeceğini açıklamıştı.

Fidye talepleri reddedilince siber tehdit aktörleri, sızıntı verileri dark web forumunda yayımlamaya başladı.

Verilerin anlaşılabilir bir şekilde depolanmadığını belirten tehdit aktörleri, verileri düzenlemenin zaman aldığını ve düzenledikçe yayımlanacaklarını duyurdu.

Daha sonra yüzlerce kişinin verilerinin bulunduğu veriler sızdırılmaya başlandı. İki liste hâlinde paylaşılan verilerden birincisine “Good List” ikincisine “Naughty List” adı verildi.

İlk listede düşük profilli kişiler yer alırken ikinci listede yüksek profilli kişilerin yer aldığı belirtildi.

Sızıntılar başlasa da fidye ödemeyi reddeden Medibank’ın CEO’su David Koczkar yasa dışı sızıntıları kınayarak, “İnsanların özel bilgilerini para koparmak için silah hâline getirmek habislik ve toplumun en hassas üyelerine saldırıdır.” ifadelerini kullandı.

Eski FBI ve ABD Savunma Bakanlığı İstihbarat Teşkilatı ajanı Dennis Desmond, “Kime ait olduğu belirlenebilen sağlık dosyalarının tehdit aktörleri için hazine anlamına geldiğini” söyledi.

SALDIRI REvil İLE İLİŞKİLENDİRİLDİ

Avustralya Federal Polisi, tehdit aktörlerinin yakalanması için Siber Komutanlık bünyesinde özel sektörden destekle başlatılan operasyonda, ABD Federal Soruşturma Bürosu (FBI) ve diğer ülkelerin uzmanlarıyla işbirliği yapıldığını açıklamıştı.

Avustralya Federal Polisi’nin (AFP) Başkanı Reece Kershaw, 11 Kasım Cuma günü gerçekleştirdiği basın toplantısında, Medibank’ın müşteri verilerini çalanların Rusya merkezli olduğunu açıklamıştı. 

ABC’den Andrew Greene ise yetkililerin Rusya merkezli REvil adlı gruptan şüphelendiğini iddia etti. Greene, REvil’in Rusya devletinin bir parçası olmasa da Rusya Devlet Başkanı Vladimir Putin’in koruması altında olduğunun düşünüldüğünü belirtti.

Halka yönelik uyarılarda bulunan Kershaw, sızan verilerin paylaşılmamasını istedi. Ayrıca Kershaw, dark webde yayımlanan verilere erişmeye çalışanların da takip edileceğini söyledi.

REvil ÜYELERİ OPERASYONLARINA DEVAM EDİYOR

Rus merkezli fidye yazılımı çetesi REvil, daha önce ACER, JBS Foods, Quanta Computer ve Kaseya olmak üzere birçok yüksek profilli saldırıya imza atmıştı.

Sene başında Rusya Federal Güvenlik Servisi (FSB), uluslararası fidye yazılımı çetesi “REvil” üyelerinin ABD’nin talebiyle gözaltına alındığını ve grubun çökertildiğini duyurmuştu.

Yaklaşık 14 REvil üyesi ise sene başında Rus polisi tarafından düzenlenen operasyonda tutuklanmıştı.

Operasyon neticesinde 426 milyon ruble, 600 bin dolar, 500 bin avro, çeşitli bilgisayar ekipmanlarıyla bazı kripto cüzdanların ele geçirildiği kaydedilmişti.

Ancak dışarıda olan REvil üyelerinin farklı fidye yazılımı gruplarında veya bireysel olarak faaliyet gösterdiği biliniyor.

Bunun yanı sıra bazı fidye yazılımı grupları da REvil’in halefi olarak görülüyor.