The Gentlemen Fidye Yazılımı Çetesi Veri Sızıntısıyla Çöktü

Olay Özeti

Siber güvenlik dünyası, avcının ava dönüştüğü ender anlardan birine tanıklık ediyor. 'The Gentlemen' olarak bilinen ve son dönemde birçok kurumu hedef alan fidye yazılımı çetesi, kendi yaptığı kritik bir operasyonel güvenlik (OPSEC) hatası nedeniyle kendi verilerini sızdırdı. 14 Mayıs 2024 tarihinde ortaya çıkan bu olay, grubun iç işleyişine, organizasyon yapısına ve taktiklerine dair eşi benzeri görülmemiş bir pencere açtı. Bu sızıntı, siber suçluların da dijital dünyada ne kadar kırılabileceğini ve en küçük bir hatanın bile bir imparatorluğu nasıl yıkabileceğini gözler önüne seriyor.

Olay, grubun kullandığı bir komuta ve kontrol (C2) sunucusunun yanlış yapılandırılması sonucu kamuya açık hale gelmesiyle patlak verdi. Güvenlik araştırmacıları tarafından keşfedilen bu açık, grubun tüm iç iletişimini, kaynak kodlarını, bağlı ortaklık (affiliate) bilgilerini ve kurban verilerini ifşa etti. 'The Gentlemen' çetesi, özellikle 'Hizmet Olarak Fidye Yazılımı' (Ransomware-as-a-Service - RaaS) modeliyle tanınıyordu. Bu modelde, fidye yazılımını geliştiren ana grup, yazılımı diğer siber suçlulara kiralayarak saldırılardan elde edilen gelirden pay alıyordu. Sızıntı, bu RaaS modelinin ne kadar kârlı ve çekici olduğunu da kanıtlar nitelikte.

Sızdırılan Veriler ve Kapsam

Sızıntının boyutu ve içeriği, hem güvenlik araştırmacıları hem de yasa uygulayıcı kurumlar için adeta bir hazine niteliği taşıyor. Sızdırılan veriler arasında oldukça hassas ve kritik bilgiler bulunuyor:

• Kaynak Kodları: 'The Gentlemen' fidye yazılımının hem şifreleyici (encryptor) hem de şifre çözücü (decryptor) versiyonlarının tam kaynak kodları sızdırıldı. Bu durum, grubun mevcut ve geçmiş kurbanları için bir umut ışığı olabilir. Güvenlik firmaları bu kodları analiz ederek potansiyel olarak ücretsiz bir şifre çözücü geliştirebilir ve kurbanların verilerini fidye ödemeden kurtarmasını sağlayabilir.
• İç İletişim Kayıtları: Grubun üyeleri ve bağlı ortakları arasında geçen binlerce saatlik sohbet günlüğü (chat log) ifşa oldu. Bu kayıtlar, grubun hiyerarşik yapısını, karar alma süreçlerini, hedef seçme kriterlerini ve gelir paylaşım modellerini detaylı bir şekilde ortaya koyuyor.
• Bağlı Ortaklık (Affiliate) Bilgileri: RaaS modelinin bel kemiği olan bağlı ortakların listesi, takma adları, kripto para cüzdan adresleri ve başarı oranları gibi bilgiler sızdırıldı. Bu, yasa uygulayıcıların dünya genelindeki birçok siber suçluyu tespit edip yakalaması için önemli bir fırsat sunuyor.
• Kurban Veritabanı: Grubun hedef aldığı şirketlerin bir listesi, bu şirketlerden ne kadar fidye talep edildiği, hangilerinin ödeme yaptığı ve müzakere süreçlerinin detayları da sızdırılan veriler arasında. Bu durum, saldırıya uğradığını kamuoyuna açıklamayan şirketler için ciddi bir kriz potansiyeli taşıyor.

Saldırının Teknik Boyutu

Bu olayı ilginç kılan, 'The Gentlemen' çetesinin kurbanı olmaması, aksine kendi dikkatsizliklerinin kurbanı olmasıdır. Operasyonel Güvenlik (OPSEC), bir organizasyonun veya bireyin, hassas bilgilerini düşman veya rakip analiziyle açığa çıkarabilecek eylemlerden kaçınma sürecidir. 'The Gentlemen' çetesi, tam da bu noktada başarısız oldu.

Teknik olarak sızıntının kaynağı, grubun kullandığı ve tüm operasyonel verilerini barındıran bir sunucunun yanlış yapılandırılmış bir güvenlik duvarı kuralıydı. Bu hata, sunucudaki belirli dizinlerin ve veritabanlarının internete tamamen açık hale gelmesine neden oldu. Bu tür bir hata, genellikle aceleci davranma, deneyimsizlik veya basit bir ihmalden kaynaklanır ve en sofistike siber suç gruplarının bile temel güvenlik prensiplerini göz ardı edebileceğini gösterir.

Grubun başarısının arkasındaki teknik model ise RaaS idi. Hizmet Olarak Fidye Yazılımı (RaaS), siber suçun 'franchise' modeli olarak düşünülebilir. 'The Gentlemen' gibi ana geliştiriciler, karmaşık fidye yazılımını oluşturur, altyapıyı yönetir ve teknik destek sağlar. Bağlı ortaklar (affiliates) ise bu 'hizmeti' kullanarak hedeflere sızar, fidye yazılımını dağıtır ve müzakereleri yürütür. Elde edilen gelir, genellikle 80/20 veya 70/30 gibi oranlarla ana grup ve bağlı ortak arasında paylaşılır. Sızdırılan veriler, 'The Gentlemen' çetesinin %85'e varan oranlarla oldukça cömert bir paylaşım modeli sunduğunu ve bu sayede kısa sürede çok sayıda yetenekli siber suçluyu bünyesine kattığını gösteriyor.

Etkilenen Kullanıcılar Kimler

Bu sızıntı, alışılagelmişin dışında, doğrudan son kullanıcıları veya tek bir şirketi değil, siber suç ekosisteminin kendisini etkiliyor. Etkilenen tarafları şu şekilde sıralayabiliriz:

• 'The Gentlemen' Çetesi ve Bağlı Ortakları: Sızıntının birincil kurbanlarıdır. Kimlikleri, yöntemleri ve finansal bilgileri artık açıkta. Bu durum, hem yasa uygulayıcılar tarafından yakalanma risklerini artırıyor hem de diğer rakip siber suç grupları tarafından hedef alınmalarına neden olabilir.
• Geçmiş Kurbanlar: Fidye ödemiş veya verileri şifrelenmiş olan şirketler için bu sızıntı iyi bir haber olabilir. Sızdırılan kaynak kodları sayesinde geliştirilebilecek bir şifre çözücü, verilerini geri almalarını sağlayabilir.
• Potansiyel Kurbanlar: Grubun çökmesiyle birlikte, en azından kısa bir süreliğine, bu çetenin tehdidi ortadan kalkmış oldu. Ancak, grubun bağlı ortaklarının başka RaaS platformlarına geçmesi muhtemeldir.
• Siber Güvenlik Topluluğu: Araştırmacılar için bu sızıntı, modern bir RaaS operasyonunun anatomisini incelemek için paha biçilmez bir fırsattır. Grubun Taktik, Teknik ve Prosedürleri (TTP'ler) analiz edilerek gelecekteki benzer saldırılara karşı daha etkili savunma mekanizmaları geliştirilebilir.

Ne Yapmalısınız

Bu olay, siber güvenliğin her iki taraf için de ne kadar kritik olduğunu bir kez daha hatırlatıyor. Kurumlar ve bireyler için alınması gereken dersler ve atılması gereken adımlar şunlardır:

Kurumlar İçin:

• Temel Güvenlik Hijyenini Sağlayın: En karmaşık saldırılar bile genellikle temel bir güvenlik zafiyetinden faydalanır. Güçlü parola politikaları, çok faktörlü kimlik doğrulama (MFA) ve düzenli sistem güncellemeleri hayati önem taşır.
• Varlık Yönetimi ve Yapılandırma Kontrolü: İnternete açık tüm varlıklarınızın farkında olun ve güvenlik yapılandırmalarını düzenli olarak denetleyin. 'The Gentlemen' çetesinin yaptığı hata, herhangi bir şirketin de başına gelebilir.
• Saldırı Yüzeyini Azaltın: Gereksiz portları ve hizmetleri kapatarak potansiyel saldırganların işini zorlaştırın.
• Yedekleme ve Kurtarma Planı: 3-2-1 yedekleme kuralını (verilerinizin 3 kopyası, 2 farklı medyada, 1'i tesis dışında) uygulayın. Olası bir fidye yazılımı saldırısında verilerinizi fidyeyi ödemeden geri getirebilmenin tek yolu budur.

Geçmiş Kurbanlar İçin:

Eğer 'The Gentlemen' tarafından saldırıya uğradıysanız, siber güvenlik haber kaynaklarını ve güvenilir firmaların bloglarını takip edin. Önümüzdeki günlerde veya haftalarda ücretsiz bir şifre çözücünün yayınlanma ihtimali oldukça yüksek.

Siber Güvenlik Dünyasının Tepkisi

Beklendiği gibi, 'The Gentlemen' çetesinden resmi bir açıklama gelmedi. Siber suç grupları bu tür durumlarda genellikle sessizliğe bürünür, altyapılarını kapatır ve izlerini kaybettirmeye çalışır. Ancak karanlık ağ (dark web) forumlarındaki tartışmalar, grup içinde büyük bir panik ve karşılıklı suçlamaların yaşandığını gösteriyor. Bağlı ortaklar, ana geliştiricileri beceriksizlikle suçlarken, grubun itibarı ve güvenilirliği tamamen yok olmuş durumda. Bu olay, RaaS ekosistemindeki güven dinamiklerini de derinden sarsmıştır. Artık bağlı ortaklar, birlikte çalıştıkları ana grupların operasyonel güvenliğini daha fazla sorgulayacaktır.

Sonuç olarak, 'The Gentlemen' sızıntısı, siber suç dünyasının dokunulmaz olmadığını ve en güçlü görünen aktörlerin bile basit bir hatayla devrilebileceğini gösteren ibretlik bir vaka olarak tarihe geçecektir.

Kaynak

https://www.darkreading.com/threat-intelligence/gentlemen-raas-gang-data-leak