ukraynalı adam conti fidye yazılımı suçlamalarını kabul etti

arkadaşlar, siber suç dünyasından yeni bir gelişme var. ukraynalı oleksii oleksiyovych lytvynenko isimli bir adam, abd’de conti fidye yazılımı çetesiyle çalıştığını kabul etmiş. adam loader geliştirme işlerinde bulunmuş çete için.

olay ne bu conti meselesi

conti dediğimiz şey, bildiğiniz ransomware çetelerinin devleriyle. 2020-2022 arası dönemde yüzlerce şirketi vurmuşlar, milyonlarca dolar fidye toplamışlar. costa rica’yı bile felç etmişlerdi bir ara, hatırlarsınız belki.

şimdi bu lytvynenko arkadaş, çetenin kullandığı loader’ı geliştirmekle suçlanıyormuş. loader dediğimiz şey, kötü amaçlı yazılımı sisteme yükleyen, antivirüslerden kaçıran küçük ama kritik bir parça yani. bunlar olmadan ransomware’i sisteme sokamazsınız.

spoiler: adam suçunu kabul etmiş, yani artık mahkeme süreci kısa kesilecek. ceza konusunda henüz bir açıklama yok ama conti gibi büyük bir operasyonda rol almak, ciddi yıl demek.

conti çetesi neydi hatırlayalım

conti, rusya bağlantılı bir fidye yazılımı operasyonuydu. ransomware-as-a-service (raas) modeliyle çalışıyorlardı, yani franchise gibi düşünün. çeşitli affiliate’ler (ortaklar) conti’nin yazılımını kullanıyor, fidyenin bir kısmını çeteye veriyorlardı.

conti’nin vuruş tarzı:

• hedef şirketlere sızıyorlar
• verileri şifreliyorlar
• hem fidye istiyorlar hem de “fidye vermezsen verilerini sızdırırız” diye tehdit ediyorlar (double extortion denen şey)
• özellikle sağlık, finans, kamu kurumlarını hedef alıyorlardı

2022’de rusya ukrayna’yı işgal edince, conti rusya’yı desteklediğini açıkladı. bunun üzerine ukraynalı bir araştırmacı çetenin iç konuşmalarını, kaynak kodlarını falan sızdırdı. sonra çete dağıldı, ama üyeleri hala aktif tabii, başka isimlerle devam ediyorlar.

bu tutuklama ne anlama geliyor

fbi ve uluslararası kolluk kuvvetleri conti operasyonunu yıllardır takip ediyor. bu tutuklama, o çalışmaların meyvelerinden biri. lytvynenko’nun suçu kabul etmesi, diğer çete üyelerine karşı da delil sağlayabilir.

edit: abd adalet bakanlığı, conti’ye karşı operasyonları sürdürmeye devam ediyor. daha önce de birkaç tutuklama olmuştu, bu son olmayacak gibi duruyor.

sistem yöneticileri olarak ne yapmalıyız

conti gibi çeteler dağılsa da, ransomware tehdidi bitmedi. hatta daha da sofistike hale geldi. şu önlemleri almaya devam edin:

temel güvenlik önlemleri:

1. yedek, yedek, yedek:

   • düzenli yedek alın
   • yedeği offline tutun (3-2-1 kuralı: 3 kopya, 2 farklı ortam, 1 offsite)
   • yedekleri test edin, çalışıp çalışmadığını kontrol edin

2. güncellemeleri aksatmayın:

   • işletim sistemi yamalarını düzenli uygulayın
   • uygulamaları güncel tutun
   • özellikle dışarıya açık servisleri hemen yamalayın

3. ağ segmentasyonu:

   • kritik sistemleri izole edin
   • lateral movement’ı zorlaştırın
   • zero trust prensibiyle çalışın

4. erişim kontrolü:

   • multi-factor authentication (mfa) kullanın her yerde
   • en az yetki prensibiyle çalışın
   • admin hesaplarını sıkı tutun

5. monitoring ve detection:

# log'ları düzenli kontrol edin
# anormal aktiviteleri izleyin
# edr/xdr çözümleri kullanın

ransomware için özel önlemler:

• rdp’yi internete açmayın, vpn arkasına alın
• makro’ları devre dışı bırakın office dosyalarında
• email güvenliğine yatırım yapın (phishing hala 1 numaralı giriş noktası)
• kullanıcı eğitimi verin (evet, can sıkıcı ama gerekli)

incident response planınız var mı

ransomware saldırısına uğrarsanız ne yapacağınızı biliyor musunuz?

olması gerekenler:

• net bir incident response planı
• yedekten dönüş prosedürü
• iletişim planı (kime ne zaman haber vereceksiniz)
• yasal yükümlülükler (kvkk, gdpr vs.)
• siber sigorta (varsa)

dikkat: fidye ödeme konusunda karar vermeden önce hukuki danışmanlık alın. bazı durumlarda fidye ödemek yasal sorun yaratabilir (özellikle yaptırım listesindeki gruplara).

conti’nin mirası

conti dağılsa da, üyeleri başka çetelerde aktif:

• blackcat/alphv: eski conti üyelerinin kurduğu söyleniyor
• quantum: yine conti bağlantılı
• royal: conti kodlarını kullanan yeni grup
• blackbasta: conti altyapısından yararlanan grup

yani tehdit yok olmadı, sadece şekil değiştirdi.

kaynaklar

• SecurityWeek - Ukrainian Man Pleads Guilty in US to Conti Ransomware Charges
• FBI - Conti Ransomware Advisory
• CISA - Conti Ransomware

özet: ukraynalı bir adam, conti fidye yazılımı çetesi için loader geliştirdiğini kabul etti. conti 2022’de dağılsa da, üyeleri hala aktif ve yeni gruplar kurmuş durumda. sistem yöneticileri olarak ransomware’e karşı temel güvenlik önlemlerini almaya devam edin: yedek, güncelleme, segmentasyon, monitoring. incident response planınızı hazır tutun.

agalar, ransomware tehdidi bitmedi, sadece evrim geçiriyor. güvenlik önlemlerinizi güncel tutun, yedeklerinizi kontrol edin. bir gün işinize yarayacak.

Bu içerik yapay zeka tarafından oluşturulmuştur.