Amerikan makamları, fidye yazılımı saldırılarını kolaylaştırdığı tespit edilen bir VPN sağlayıcısı ile zararlı yazılım şifreleyicisi satan iki bireye yönelik yaptırım kararı aldı. Ukrayna kökenli 45 yaşındaki Dmytro Rashevskyi’nin yönettiği ve “1VPNS” adıyla bilinen bu VPN hizmeti, fidye yazılımı gruplarına araç temin etmekle suçlanıyor. Ayrıca, Belaruslu Yegeniy Vladimirovich Silayev, zararlı yazılımların güvenli programlar olarak algılanmasını sağlamak amacıyla şifreleyici satışı yaptığı gerekçesiyle yaptırım listesine alındı.
Fidye Yazılımı Saldırı Zincirinde VPN Rolü
2014’ten beri faaliyet gösteren 1VPNS, kullanıcılarının kimlik ve aktivitelerine dair kayıt tutmadığını ve yasadışı faaliyetlere karşı kolluk kuvvetleriyle iş birliği yapmadığını iddia ediyordu. Ancak paylaşılan bilgilere göre, bu VPN birçok fidye yazılımı grubunun ABD’deki şirketlere ve kurumlara yönelik saldırılarında kullanılan altyapı olarak işlev gördü. Avrupa ve Kuzey Amerika’nın ortak operasyonuyla 2026 Mayıs’ında kapatılan servis, veri hırsızlığı, tarama ve hizmet engelleme gibi suçların izini gizlemek için kullanılıyordu.
ABD Hazine Bakanlığı, Rashevskyi’nin “Maksim Sorin” ve “Roman Chabanenko” gibi sahte isimlerle hizmet alımı yaparak internet servis sağlayıcılarının şikayetlerine rağmen altyapı sağladığını belirtti. Fidye yazılımı saldırılarında VPN üzerinden yönetilen kötü amaçlı yazılımlar, mağdur şirketlerin finans, sağlık ve belediye gibi kritik sektörlerde faaliyet göstermesine rağmen saldırıların önlenmesini zorlaştırdı.
Rusya’ya Yönelik Yeni Siber Yaptırımlar
ABD’nin yaptırımları, Avrupa Birliği ve Birleşik Krallık’ın da Rusya’nın siber saldırıları ve hibrit operasyonlarına karşı aldığı önlemlerle eş zamanlı gerçekleşti. Rusya’nın istihbarat teşkilatlarıyla bağlantılı 24 kişi ve kuruma yönelik uygulanan yaptırımlar, özellikle GRU’nun üst düzey isimleri ve FSB’nin enerji altyapısına yönelik sabotaj faaliyetlerinde bulunan Centre 16 birimini kapsıyor.
İngiltere hükümeti, GRU’nun 29155 numaralı siber biriminin üniversitelerden hacker ve uzmanları işe alarak siber suç örgütleriyle iş birliği yaptığını bildirdi. Aynı zamanda Lumma Stealer adlı kötü amaçlı aracın arkasındaki kişiler de yaptırım kapsamına alındı. Bu zararlı, çalınan kimlik bilgilerinin Kremlin destekli casusluk faaliyetlerinde kullanılmasına olanak sağlıyordu.
FSB’nin Zayıf Ağ Cihazları Üzerinden Saldırı Girişimleri
FBI tarafından yayınlanan yeni bir uyarı, FSB Centre 16’nın dünya çapında zayıf yapılandırılmış ağ cihazlarını hedef alarak kritik altyapılara sızmaya çalıştığını ortaya koydu. Bu aktörler özellikle SNMP protokolünde varsayılan kimlik doğrulama parametrelerini kullanarak router gibi ağ cihazlarını tarıyor. Ardından, kötü amaçlı komutlarla cihazların yapılandırmalarını ele geçirip saldırganların kontrolündeki sunuculara aktarıyorlar.
Kullanılan zafiyetler arasında Cisco cihazlarındaki CVE-2018-0171 ve CVE-2008-4128 gibi kritik açıklar dikkat çekiyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) bu açıkları resmen bilinen istismar edilen zafiyetler listesine dahil ederek federal kurumlara 16 Temmuz 2026’ya kadar yamaları uygulama zorunluluğu getirdi.
Farklı isimlerle takip edilen bu tehdit aktörleri, Energetic Bear, Ghost Blizzard ve Berserk Bear gibi takma adlarla anılıyor. Ağ güvenliği açısından bu kampanya, savunma sanayi, enerji, finans, iletişim ve sağlık gibi birçok kritik sektörde zarar verici etkiler doğuruyor.
Teknik Özet: Fidye Yazılımı Saldırı Zincirinde VPN ve Şifreleyiciler
- Fidye yazılımı grupları VPN üzerinden gerçek kimliklerini gizleyerek saldırılarını gerçekleştiriyor.
- Şifreleyiciler, zararlı yazılımların tespiti zorlaşması için programları şifreleyip güvenli gibi gösteriyor.
- Saldırılar, genellikle veri hırsızlığı, ağ taraması ve hizmet kesintisi ile devam ediyor.
- Yamaların hızla uygulanması, ağ segmentasyonu ve çok faktörlü kimlik doğrulama (MFA) kritik savunma yöntemleri.
- SIEM ve EDR çözümleriyle şüpheli VPN trafiğinin ve şifreleyici aktivitelerinin izlenmesi önem taşıyor.
Sistem Yöneticilerine Pratik Öneriler
- VPN trafiğini ayrıntılı olarak analiz edin ve anormal bağlantıları tespit edin.
- SNMP protokolünü varsayılan kimlik doğrulama bilgilerinden arındırın ve erişimi sınırlandırın.
- Cisco ve diğer ağ cihazları için güncel yamaların uygulanmasını sağlayın.
- Kritik altyapı cihazlarında log toplama ve analiz süreçlerini güçlendirin.
- Şüpheli dosya ve programları izlemek için EDR çözümlerini entegre edin.
- Çalışanları e-posta güvenliği ve sosyal mühendislik saldırılarına karşı eğitin.
Bu gelişmeler, siber güvenlik dünyasında VPN ve zararlı yazılım şifreleyicilerinin tehdit aktörleri tarafından nasıl kullanıldığına dair önemli bir pencere açıyor. Kurumlar, saldırı zincirinin her aşamasını anlamadan etkin savunma gerçekleştiremeyecek. Olay müdahale stratejilerinin güncellenmesi ve bulut güvenliği ile ağ segmentasyonu politikalarının sıkılaştırılması artık daha kritik.
