Rusça konuşan kripto suçlularının yükselişi
Fidye yazılım gruplarından yasadışı pazar yeri operatörlerine kadar, Rusça konuşan tehdit aktörleri uluslararası kripto suçlarında her yerde bulunan bir güç haline gelmiştir.
Kripto işlemlerinin çevrimiçi doğası ve gizlilik araçlarının yaygın kullanımı nedeniyle, bu aktörlerin aslında Rusya merkezli olup olmadıklarını veya hükümetle bağları olup olmadığını doğrulamak genellikle zordur. Ancak konumları ne olursa olsun, TRM araştırması, Rusça dilini kullanmalarıyla bir araya gelen bu grup ve bireylerin, kripto destekli siber suçların çoğunda büyük bir rol oynadığını göstermektedir.
- Fidye yazılımları: Rusça konuşan fidye yazılımı grupları, 2023 yılında fidye yazılımlarından elde edilen tüm kripto gelirlerinin en az %69’unu oluşturarak 500 milyon ABD dolarını aştı
- Darknet pazarları: Rusça darknet pazarları 2023’te dark web’deki tüm kripto cinsinden yasadışı uyuşturucu satışlarının %95’ini oluşturdu
- Yaptırımlar: Rusya merkezli tek bir kripto borsası olan Garantex’e girişler, uluslararası yaptırım uygulanan tüm kuruluşlara ait kripto hacimlerinin %82’sini oluşturdu
Rusça konuşan kripto suçlarının hakimiyetinin bazı istisnaları vardır: Kuzey Kore,
2023 yılında 1 milyar USD’ye yakın kripto para çalmaktan sorumlu olarak dünyanın hackleme süper gücü olmaya devam ederken, Asya merkezli suçluları dolandırıcılık ve yatırım sahtekarlığında lider görünüyor. Bununla birlikte, Rusça konuşan tehdit aktörleri, kötü niyetli faaliyetlerinin genişliği bakımından benzersizdir.
Rusça konuşan bazı tehdit aktörlerinin Kremlin ile bağlantıları vardır ve Rus savaşı için yabancı ekipman tedarik etmek üzere aktif olarak kripto kullanmaktadır çaba. Son üç yılda, bu tür tedarik ve sınır ötesi ticarete dahil olan Rus ve Çinli kuruluşlar tarafından kullanılan cüzdanlara 85 milyon ABD dolarının üzerinde para gönderilmiştir.
Bu rapor, Rusça konuşan tehdit aktörleri tarafından işlenen çok çeşitli kripto suçlarını belgelemek için TRM Labs tarafından toplanan ve analiz edilen blok zinciri verilerini bir araya getiriyor.
Rusça konuşan gruplar fidye yazılımında dünya lideridir
Fidye yazılımı, kurbanın dosyalarını veya verilerini şifreleyerek erişilemez hale getiren kötü amaçlı bir yazılım türüdür. Saldırgan daha sonra şifre çözme anahtarı karşılığında genellikle kripto para birimi cinsinden bir fidye talep eder. Fidye yazılımları kritik sağlık ve altyapı tesislerine yönelik yüksek profilli saldırılarla bireyler işletmeler ve hatta hükümetler için önemli bir tehdit haline gelmiştir.
Rusça konuşan fidye yazılımı grupları, 2023 yılında 500 milyon ABD Dolarını aşan fidye yazılımı gelirlerinin en az %69’unu oluşturmuştur. Lockbit ve ALPHV/Black Cat – 2023’teki en büyük iki operatör ve her ikisi de Rusça konuşuyor – birlikte en az 320 milyon ABD doları saldırı geliri elde etti.
Fidye yazılımı grupları ayrıca bazen “hizmet olarak fidye yazılımı” veya RaaS adı verilen bir siber suç iş modelinin parçası olarak tescilli kötü amaçlı yazılımlarını bağlı kuruluşlara veya diğer tehdit aktörlerine satmaktadır. Bu, bir lisans anlaşması, abonelik hizmeti, sabit ücret veya kar paylaşımı içerebilir – bu da hızlı dağıtım ve artan saldırı sıklığına izin verir.
LockBit, ortaya çıkana kadar dünyanın en üretken fidye yazılımı gruplarından biriydi
2024’te uluslararası bir kolluk kuvveti operasyonuyla çökertildi. Bu kesintiden sağ çıkmasına rağmen geleceği belirsizliğini koruyan grup, binlerce saldırı gerçekleştirmek ve kurbanlardan kripto para cinsinden büyük fidye ödemeleri almak için bir RaaS modeli işletiyordu.
Lockbit’in 2023’teki kurbanları arasında Boeing ve Birleşik Krallık’ın posta operatörü Royal Mail de vardı. Boeing’in 200 milyon USD fidye ödemeyi reddetmesinin ardından Lockbit, hacklediği 43 gigabaytlık veriyi internette yayınladı. Royal Mail de Lockbit tarafından çalınan 44 gigabaytlık veri için 80 milyon ABD doları tutarındaki fidyeyi ödemedi.
Yine bir RaaS grubu olan BlackCat/ALPHV, etkinliğini artıran ve analiz edilmesini zorlaştıran Rust programlama dilinde yazılmış sofistike bir fidye yazılımı türü kullanmaktadır. Önemi, sağlık ve kritik altyapı gibi yüksek profilli sektörleri etkileyen gelişmiş ikili ve üçlü gasp taktiklerini kullanmasında yatmaktadır.
BlackCat/ALPHV saldırıları 2023 yılında MGM Resorts ve sağlık sektörü için muayenehane yönetimi yazılımı ve çözümleri de sağlayan Fortune 500 diş ve tıbbi malzeme distribütörü Henry Schein’ı hedef aldı.
Rusça darknet piyasaları kripto cinsinden ilaç satışlarını tekeline alıyor
Rusça darknet pazarları (DNM’ler) küresel olarak tüm kripto cinsinden dark web uyuşturucu satışlarının %95’ini temsil etmektedir. DNM’ler, çoğunlukla yasadışı uyuşturucu satan çok satıcılı çevrimiçi yasadışı küresel ticaret platformlarıdır. Ulus ötesi organize suçun yerleşik bir biçimi olan DNM’ler, anonimleştirme ağlarını ve kripto para birimlerini şifreleme teknolojileriyle birleştirir.
2024’te dünyanın en büyük DNM’si olan Kraken Market, Rusça dilinde bir pazardır. Rusça dilindeki en büyük üç DNM, 2023 yılında 1,4 milyar ABD doları tutarında kripto para işlemiştir ve bu rakam 2022 yılına kıyasla yaklaşık üçte bir oranında daha yüksektir. Buna karşılık, tüm Batı DNM ekosistemi 2023’te 100 milyon ABD dolarının altında işlem gerçekleştirmiştir; bu rakam 2022’dekinden yaklaşık beşte bir daha azdır.
Kuzey Amerika, Batı Avrupa ve Avustralya’da DNM’lerden satın alınan ilaçlar genellikle müşterilere postalanmaktadır. Buna karşın, eski Sovyet coğrafyasında hizmet veren Rusça DNM’ler zakladka ya da “zula” sisteminin bir parçası olarak ölü damlalar kullanmaktadır.
Posta teslimatlarının ulaşması genellikle birkaç gün sürerken, ölü damlalar dakikalar içinde gerçekleşebilir. Bu verimlilik, Tor ve Telegram üzerinden faaliyet gösteren DNM satıcılarının Rusya’daki ana yasadışı uyuşturucu kaynağı olarak sokak satıcılarının yerini almasına yol açtı. Rusça DNM satıcıları ayrıca Çinli üreticilerden önemli miktarlarda sentetik uyuşturucu öncülleri tedarik etmektedir.
Çinli uyuşturucu öncüsü üreticilerinin uluslararası sentetik uyuşturucu ticaretindeki rolü hakkında daha fazla bilgi için TRM’nin yakın tarihli raporunu buradan (İngilizce) okuyabilirsiniz.
Rusya merkezli bir kripto borsası neredeyse tüm dünya nüfusunu yaptirim uygulanan kri̇pto hacmi̇
Nisan 2022’de OFAC tarafından yaptırım uygulanan Rusya merkezli bir kripto borsası olan Garantex, 2023’te uluslararası yaptırım uygulanan tüm kuruluşlarla ilişkili kripto hacimlerinin %82’sini oluşturdu. Bunlar arasında kripto borsalarının yanı sıra ABD ve uluslararası yaptırım rejimlerine tabi bireyler de yer alıyor.
Bu hacmin en azından bir kısmı, Rusça konuşan aktörler tarafından Ukrayna’daki Rus güçleri tarafından kullanılan askeri ekipman ve kritik bileşenleri satın almak üzere yaptırım uygulanan Çinli üreticilere gönderilen kripto para birimini temsil etmektedir. Bu ekipmanlar arasında ticari İHA’lar, anti-İHA ekipmanları, termal optikler, entegre devreler (IC’ler), GPS modülleri ve Rus silah sistemlerinin üretimi için kritik öneme sahip tantal kapasitörler yer alıyor.
2021 yılından bu yana, askeri ve çift kullanımlı ekipman ve kritik bileşenlerin üretimi, nakliyesi ve satışında yer alan hem Rus hem de Çinli kuruluşlarla bağlantılı cüzdanlara en az 85 milyon ABD doları gönderilmiştir.
Daha fazla kuruluş keşfedildikçe ve ilişkilendirildikçe artması muhtemel olan bu hacmin tamamı yaptırım uygulanan varlıklarla ilgili değildir: Rusya ve Çin arasında kripto para birimi kullanılarak yapılan daha geniş sınır ötesi ticaretin bir parçası olarak savaş çabalarıyla ilgili olmayan diğer malların satışını da içerebilir.
Blockchain istihbaratı Rusça konuşan kripto suçlularını yakaladı
Kripto suçları söz konusu olduğunda, Rus ve Rusça konuşan siber tehdit aktörleri nadiren haberlerin dışında kalıyor. Colonial Pipeline ve Demokratik Ulusal Kongre’den İngiliz Kütüphanesi ve Royal Mail’e kadar, son yıllardaki en yüksek profilli fidye yazılımı saldırılarından bazılarının sorumlusu oldular.
Ve hatta manşetlerin ötesinde, Rusça konuşan siber ekosistem, DNM’lerden yaptırımlı borsa işlemlerine kadar diğer kripto cinsinden yasadışı ticaret türlerinin arkasındaki baskın güçtür. Bazı tehdit aktörleri Ukrayna’da savaşan Rus güçleri için askeri ekipman tedarikinde doğrudan yer almaktadır.
Tarihsel, düzenleyici ve normatif olmak üzere çeşitli faktörler, Rusça konuşan aktörlerin kripto cinsinden siber suçlara görünürdeki orantısız katılımını açıklamaya yardımcı olabilir. Sovyetler Birliği’nin çöküşü, Rusça konuşan yüksek vasıflı bir işgücünü sınırlı meşru ekonomik fırsatlarla baş başa bırakmıştır. Bu durum, halef devletlerin çoğunda katı düzenleyici çerçevelerin ve yaptırım mekanizmalarının bulunmamasıyla birleşince, siber suçlar için nispeten düşük riskli bir ortam yaratmıştır. Ortak bir dil ve geçmiş, siber suç aktörlerinin çeşitli eski Sovyet ülkelerinin yanı sıra Batı’daki diaspora toplulukları arasında bağlar kurmasına ve güçlü ağ etkileri yaratmasına da yardımcı olmuş olabilir.
Eski Sovyetler Birliği’nde (ve ötesinde) aktif oldukları ve kolluk kuvvetleri tarafından tespit edilmelerini engellemek için bir dizi önlem aldıkları için, Rusça konuşan suçluları engellemek zor ve zaman alıcı bir iştir. Bununla birlikte, blok zinciri istihbarat araçları, araştırmacıların modi operandi’leri hakkında önemli bilgiler toplamasına ve kullandıkları fiziksel altyapının konumu hakkında hayati ipuçları toplamasına olanak tanır.
O dönemde dünyanın en büyük DNM’si olan Lockbit ve Hydra gibi büyük grupların çökertilmesi, blok zinciri verileriyle desteklenen uluslararası kolluk kuvvetleri işbirliğinin gücünü göstermektedir.