Fidye yazılım çeteleri nasıl işler?

Ukraynalı bir araştırmacı dünyanın en kötü şöhretli fidye yazılım çetesi Conti’ye sızdı. İşte ortaya çıkardıkları.
Fidye yazılım çeteleri nasıl işler?

17 Mart - Yenibirlider Derneği - Quando
Yenibirlider Derneği ile birlikte

Yenibirlider Gelişim Programı+ başvuruları devam ediyor 25-40 yaş arasında en az 3 sene profesyonel tecrübeniz bulunuyorsa; güncel dünyaya dair vizyoner bir bakış açısı kazanırken kendinize has liderlik yönteminizi keşfetmek ve tecrübeyi farklı gönüllü alanlarda pratik etmek istiyorsanız Yenibirlider Gelişim Programı+ tam size göre. Aman dikkat; başvurular 31 Mart’a kadar . Nisanda başlayacak programın akademik içeriği ni birlikte inceleyelim; Networking Eğitmeni ve Koçu Erdal Uzunoğlu’yla “Bir Yaşam Tarzı: Networking” KONDA Araştırma Genel Müdürü Bekir Ağırdır’la “Jeopolitiği Anlamak: Dünyada ve Türkiye’de Neler Oluyor?” Tick Tock Boom Dijital PR ve Marketing Genel Koordinatörü Cem Çınlar’la “Dijital Pazarlama ve Tüketici Davranışları” ve “Metaverse: Yeni İş Alanları ve Trendleri” RNA Değişim Yönetimi Kurucusu Rana Özşeker’le “Değişim Yönetimi” Alarko Holding Dijital Dönüşüm ve İnovasyon Direktörü Tal Garih’le “Yeni Dünya Düzeni, Çevikleşme ve Hibritleşme” Ekonomist Dr. Mahfi Eğilmez’le “Bundan Sonra: Ekonomi, Finans ve Para” Vizyon Buluşmaları kapsamında katılımcılarla bir araya gelecek isimler ise; Teknoloji Yazarı, Trend Avcısı M. Serdar Kuzuloğlu’yla “Yeni Liderlere Yeni Dertler” Teknoloji İletişimcisi, Öğretim Görevlisi Dr. Sertaç Doğanay’la “Sürdürülebilirlik İletişimi ve Küresel Sürdürülebilirlik Trendleri” Dahası: Program sayesinde elde edilen gelir LEAD21 Fellowship Programındaki gençlerin güçlenmesi ve desteklenmesi için kullanılacak. Sıra sizde: Yenibirlider Gelişim Programı+ ile ilgili detaylı bilgi almak ve başvuru yapmak için bu bağlantıyı ziyaret edebilirsiniz.

Daha fazlasını öğren

Quando

Quando

Her salı ve cuma girişimcilik ve teknoloji ekosistemlerinden öne çıkan gelişmeler, paradigma değişimleri, inovasyon trendleri ve dijital dönüşüm e-posta kutunda.

Geçtiğimiz yıl kurbanlarından 180 milyon dolar koparmayı başaran dünyanın en acımasız fidye yazılım (ransomware) çetesi Conti, Rusya’nın Ukrayna’yı işgalinin ardından kendi içerisinde fikir ayrılıkları yaşadı. Öncesinde çeteye sızmayı başarmış ve anlaşmazlığı fırsata çeviren Ukraynalı bir siber güvenlik araştırmacısı ise dağılma noktasına gelen gruba ait belgeleri, kaynak kodlarını ve iç yazışmaları Twitter’da ifşa etti.

Sonun başlangıcı

Conti, Rusya’ya ait silahlı güçlerin Ukrayna’ya girmesini takip eden birkaç saat içerisinde Vladimir Putin’in işgal kararını desteklediğini açıkladı. O kadar ki, Rusya’ya yardım teklif eden grup Ukrayna’yı da önemli sistemlerini hack’lemekle tehdit etti.

Ancak grubun hesaba katmadığı bir şey vardı. Üyelerinin büyük çoğunluğu Rusya’dan olsa da bir kısmı da dünyanın dört bir yanına dağılmış haldeydi ve bunların büyük çoğunluğu işgali desteklemiyordu. Grubun yöneticileri sitede paylaştıkları Putin’e destek mesajını kaldırsalar da, artık çok geçti; ok yaydan çıkmıştı bir kere.

İfşa edilen yazışmalar çetenin acımasız uygulamalarının, üyelerinin kişiliklerinin ve fidye pazarlıklarına ait detayların yanı sıra, dünyanın en “başarılı” fidye yazılım çetesinin nasıl şirketvari bir ciddiyetle yönetildiğini de ortaya koyuyor.

Chainalysis üzerinden

Sistemin çarkları

Grubun çeşitli yönetici kademelerine sahip olduğunu ve yazılımcılardan araştırmacılara tam teşekküllü bir yazılım güvenliği firması gibi çalıştığını belirten araştırma, yazılımcıların kodu nasıl teslim etmeleri gerektiğine ait detaylı dokümantasyonun bulunduğunu ve hatta grubun bir insan kaynakları departmanının dahi olduğunu gözler önüne seriyor.

Çeteye ait iç yazışmalar 2020 yılının başından başlayarak günümüze dek uzanıyor. Öne çıkan yazışmalar ise çetenin önde gelen yöneticilerinden oldukları anlaşılan ‘Mango’ ve ‘Stern’ arasında geçiyor. Mango sık sık Stern’e uzun tiradlar atıyor. Bu yazışmalarda kimi zaman çalışma arkadaşlarını çekiştiriyor kimi zamansa grubun üzerinde çalıştığı projeler hakkında Stern’ü bilgilendiriyor.

2021’in ortasındaki yazışmalara göre Conti’nin o dönemki ekibi 62 kişiden oluşuyor, ancak ekibin boyutları projelerin boyutlarına bağlı olarak büyüyüp küçülebiliyor. Zaman zaman 100 kişiyi aştığı bile oluyor. Bir noktada Stern bir 100 kişiyi daha işe almayı daha düşündüğünü itiraf ediyor. Başka bir sohbet kanalındaki iki farklı üye, aralarında grubun “orta düzey yöneticiler olmadan” işleri yürütemeyecek kadar büyüdüğünü tartışıyor.

Grubun operasyonel büyüklüğü öyle bir boyuta ulaşmış ki, tıpkı sıradan bir yazılım geliştirme firması gibi bir şirket hiyerarşisine ihtiyaç duyuluyor. Çalışanların büyük çoğunluğunu koparılan fidyelerden pay almayan maaşlı çalışanlar oluşturuyor. İster inanın ister inanmayın, en alt kademe yazılımcılara bile ayda 1500 ila 2000 dolar arası ödeme yapılıyor. 

Tabii bu sizi yanıltmasın, önemli görevleri olan çalışanlar maaşlarına ek olarak fidyelerden de bonus alıyorlar. Örneğin çetenin bordrosunda (ismi verilmeyen) bir gazeteci olduğu da söyleniyor. Bu gazeteci kurbanlar üzerinde baskı kurarak onları fidyeyi ödemeye ikna edebilirse fidyeden yüzde 5 pay alıyor. Maaş ödemeleriyse iki haftada bir gerçekleşiyor. Bu sıklıkta yapılan ödemeler grubun başta düzenli bir nakit akışına sahip olduğuna işaret ediyor.

Chainalysis üzerinden

Akçeli işler

Para meseleleri çetenin sohbetlerinin mühim bir kısmını teşkil ediyor. Dosyaları kilitlenerek “tutsak alınan” işletmelere kilidi açacak anahtarı ne kadara satacaklarından tutun (milyon dolarlık meblağlardan bahsediliyor) yeni donanım ihtiyaçları, ofis ve sunucu giderlerine kadar birçok gelir ve gider kalemi bu mesajlaşmalarda tartışılıyor. Grup, giderlerini Google Sheets üzerinde tutuyor.

Çetenin bir üyesinin mesajlarında nihayet bir iMac satın alacak parayı kazandığı için ne kadar mutlu olduğu görülüyor. Ardından bu üye tatile çıkacağından bahsettiğinde ‘Mango’ “Senin yerinde olsam yurt dışına çıkmam” diyor. “Ömrümüz boyunca Rusya’da tıkılıp kalacak mıyız?” sorusunuysa “Yanına sakın bilgisayar falan alayım deme, telefonunu da formatla” şeklinde yanıtlıyor.

Yöneticiler sadece para kazanmayı değil ekibin motivasyonunu da düşünüyor. Çıkan belgeler arasında takım çalışmasını ve çalışan motivasyonunu sağlamak üzerine yöneticilere yönelik rehberler de bulunuyor. Tüm çabalara rağmen çalışan sirkülasyonu yine de yüksek seyrediyor. İşten ayrılmaların sıklığı nedeniyle insan kaynakları departmanı sürekli bir işe alım sürecinin içerisinde gözüküyor.

Pandemi öncesinde yaşanan yeni çalışanlar için St. Petersburg’da 6 yeni ofis açılması tartışmaları, pandemi döneminde yerini “Moskova saatiyle” ve uzaktan çalışmaya bırakıyor.

Operasyonel kararlar

Grup içi yazışmalar genelde Jabber (Cisco’nun Slack ve Teams alternatifi) üzerinden yapılsa da, saldırılar (Dünya Bankası ve ABD Donanması tarafından da kullanılan) açık kaynak kodlu yazılım RocketChat üzerinden koordine ediliyor

Her kurban ya da hedef için ayrı bir sohbet kanalı oluşturuluyor ve tüm kanallarda farklı seviyelerden iki ila dört arasında grup üyesi yer alıyor. Mesajlaşmalar genelde kurbanın ağındaki sızılmış bir bilgisayarına ait giriş bilgilerinin paylaşılmasıyla başlıyor. Genel mesaj kanalındaysa Ukrayna devlet başkanı Zelenskiy hakkında yapılan antisemitik yorumlardan, kadın ve çocuk tacizine kadar her biri birbirinden berbat tonla muhabbet dönüyor.

Grup, antivirüs yazılımlarındaki açıkları tespit etmek için uydurma isimlerle şirketler kurup bunların adına yazılım satın alıyor. Güncel güvenlik araştırmaları hakkında Youtube videoları paylaşıyor, hatta araştırmacılar kendilerinden nasıl bahsediyor diye de takip ediyor.

Haftada 5 gün, günde 3 vardiya ile 24 saat çalışan ekibin kurbanları arasında İrlanda’nın kamu sağlık sisteminin de bulunduğu biliniyor. İstenen 20 milyon dolarlık fidyeyi ödemeyen kurum için saldırının maliyetinin 600 milyon doları bulduğu düşünülüyor. Bu saldırının ardındaki isim ‘Dollar’ ise şirket içerisinde birçok tartışmaya sebep olmuş. Dollar’ın şirkette seveni pek yok. Yazışmalardan Conti gibi bir çetenin bile prensipleri olduğu anlaşılıyor. Bu prensipler arasında sağlık kurumları gibi hassas hedeflere saldırmamak bulunuyor. Mango’ya göre bu tarz saldırılar “grubun itibarını zedeliyor.” Mango, Dollar’a “burada herkes senden şikayetçi, bize hayrından çok zararın var,” diyor.

Perde ve kapanış

21 Şubat’a geldiğimizdeyse Conti yönetimi, patronun bir süreliğine ortadan kaybolacağını paylaşıyor. Sebebi net olarak belirtilmese de “dış güçlerin” dikkatini çeken patronun daha fazla dikkat çekmemek için gözlerden ırak bir yerde olacağı bildiriliyor. 

Ukrayna’nın Rusya tarafından işgalinin ardından yaşanan çözülme sürecinin sonundaysa şirketin maaş ödeyecek parası kalmadığı açıklanarak herkesten birkaç aylık zorunlu bir tatile çıkmaları isteniyor. Bu noktadan sonra şirketin operasyonları dursa da sohbet odası hâlâ açık olduğu için Rusya’nın Ukrayna’yı işgali ile ilgili muhabbetler dönmeye devam ediyor.

Sızdırılan bilgiler arasında grup üyelerinin kişisel bilgileri, sosyal medya hesaplarındaki kullanıcı isimleri, kripto cüzdanları ve e-posta adresleri de bulunuyor. Güvenlik güçlerinin bu bilgilerle neler yapacağını önümüzdeki dönemde hep birlikte göreceğiz.

Hikâyeyi paylaşmak için:

Kaydet

Okuma listesine ekle

Paylaş

Quando

Quando

Her salı ve cuma girişimcilik ve teknoloji ekosistemlerinden öne çıkan gelişmeler, paradigma değişimleri, inovasyon trendleri ve dijital dönüşüm e-posta kutunda.

NEREDE YAYIMLANDI?

QuandoQuando

BÜLTEN SAYISI

PREMIUM'A ÖZEL

🔐 Bir siber suç şebekesinin anatomisi: Conti

Rusya merkezli fidye yazılım çetesi Conti, şu ana kadar toplam 180 milyon dolarlık vurgun yaptı. Peki grubu dağılma noktasına getiren süreç nasıl işledi?

17 Mar 2022

The Intercept

YAZARLAR

Quando

Her salı ve cuma girişimcilik ve teknoloji ekosistemlerinden öne çıkan gelişmeler, paradigma değişimleri, inovasyon trendleri ve dijital dönüşüm e-posta kutunda.

İLGİLİ OKUMALAR

QuandoQuando

HİKAYE

Meta, Brain2Qwerty’yi duyurdu: Klavyenin sonu mu geliyor?

Tüketici elektroniği pazarında kullanıcıları ekrana maruz bırakan ürün sayısı her geçen gün artıyor. Ekran, pazarda doyum noktasına ulaşırken teknoloji şirketleri, ardı ardına ekransız ürün geliştirme furyasına katılıyor. Meta’nın Brain2Qwerty isimli yapay zeka teknolojisi ise ekran bağımlılığı sorununa çok daha inovatif bir çözüm sunuyor.

Doğa Yurduneri

·

13 Tem 2026

Meta, Brain2Qwerty’yi duyurdu: Klavyenin sonu mu geliyor?
QuandoQuando

HİKAYE

Influencer çağının son evresi: Yalnızlık paylaşılır, paylaşılırsa etkileşim alır

Influencerlık kendi döngüsünü geleneksel reklama dönüştürerek tamamladı. Pazar hâlâ büyüyor belki ama güven günden güne azalıyor. Tüketiciler ise bu kurgusal samimiyet ve aşırı tüketime karşı zırhlarını kuşanırken dijital kapitalizm illüzyonunun kalesini keşfetmekte gecikmedi elbette. Onun da adı yalnızlık. İşte tam bu noktada “yalnızlık influencer’lığı (loneliness / solitude influencer) adı verilen yeni bir içerik üreticisi profili yükselişe geçti.

Ümit Alan

·

10 Tem 2026

Influencer çağının son evresi: Yalnızlık paylaşılır, paylaşılırsa etkileşim alır
QuandoQuando

HİKAYE

Verimlilik miti: AI gerçekten maliyet tasarrufu sağlıyor mu?

Son birkaç yılda teknoloji arenası, pek çok işin yapay zekaya devredilmeye çalışıldığı bir atmosfere sahne oldu. Maliyet tasarrufu ve verimlilik artışı vaatleriyle gelen yapay zeka, birkaç yıl boyunca toplu işten çıkarmaların da ana gerekçelerinden biriydi. Yapay zekanın hâlâ gideri kadar gelir üretemediği 2026 yılında ise CEO’lar, işten çıkardıkları çalışanların, harcadıkları token’dan daha fazla maliyet yarattığını fark ettikleri bir eşiğe geldi.

Doğa Yurduneri

·

09 Tem 2026

Verimlilik miti: AI gerçekten maliyet tasarrufu sağlıyor mu?
QuandoQuando

HİKAYE

OpenAI, Jalapeño’yu duyurdu: Şirketler neden kendi AI çiplerini geliştiriyor?

Son yıllarda Amazon, Google ve OpenAI gibi pek çok şirket, kendi yapay zeka çiplerini duyurdu. Daha önce sektördeki yaygın eğilim, NVIDIA’nın rüştünü ispatlamış çiplerine güvenmek iken öncü şirketler, yakın zamanda ardı ardına bu eğilimin dışına çıkmaya başladı. Bu furya, oldukça kritik bir soruyu da gündeme taşıdı: Neden tüm teknoloji şirketleri, kendi yapay zeka çiplerini geliştiriyor?

Doğa Yurduneri

·

06 Tem 2026

OpenAI, Jalapeño’yu duyurdu: Şirketler neden kendi AI çiplerini geliştiriyor?
QuandoQuando

HİKAYE

'Ben aslında yoğum': Ticaret Bakanlığı’nın yapay zeka düzenlemesi bir paradoksa yol açar mı?

Modern reklam hukuku, mesajın içeriğinin doğru olup olmadığına odaklanır. Ancak yapay zeka, artık mesajı ileten kişinin gerçekten var olup olmadığını da hukukun konusu hâline getiriyor. Ticaret Bakanlığı'nın 1 Ağustos'ta yürürlüğe girecek yönetmelik değişikliği de dijital kopyaların reklamlarda kullanılmasına kısıtlamalar getiriyor ve bunu yaparken dolandırıcılık içeriklerini esas alıyor. Peki ya amaç dolandırıcılık olmadığında?

Ümit Alan

·

03 Tem 2026

'Ben aslında yoğum': Ticaret Bakanlığı’nın yapay zeka düzenlemesi bir paradoksa yol açar mı?