Rusya bağlantılı fidye yazılımı hizmeti (RaaS) grubu Black Basta’nın lideri olarak tanımlanan 35 yaşındaki Rus vatandaşı Oleg Evgenievich Nefedov, Avrupa Birliği’nin En Çok Arananlar listesine ve INTERPOL’ün Kırmızı Bültenine eklendi. Ukrayna Siber Polisi tarafından yürütülen soruşturmada, Nefedov ve grubun diğer üyelerinin korunan sistemlere yönelik teknik hackleme ve fidye yazılımı saldırıları düzenlediği tespit edildi.
Saldırı Zinciri ve Teknik Detaylar
Black Basta operasyonları, özel geliştirilmiş yazılımlar kullanarak hedef sistemlerden şifrelenmiş parolaların (hash) kırılmasıyla başladı. Bu “hash kırıcılar” sayesinde elde edilen kimlik bilgileriyle kurumsal ağlara sızıldı ve fidye yazılımı dağıtılarak kritik veriler şifrelendi. Ardından, kurbanlardan şifrelenen verilerin kurtarılması için kripto para talep edildi. Grup, Nisan 2022’de ortaya çıktıktan sonra Kuzey Amerika, Avrupa ve Avustralya’da 500’den fazla şirketi hedef aldı.
Black Basta’nın kullandığı teknikler arasında, uzaktan masaüstü protokolü (RDP) üzerinden erişim sağlama, özel olarak tasarlanmış zararlı yazılımlar ve komuta kontrol (C2) sunucuları yer alıyor. Ayrıca, saldırı zincirinde kimlik ve erişim yönetimi (IAM) zafiyetlerinin istismar edilmesi, ağ segmentasyonu eksiklikleri ve yetersiz çok faktörlü kimlik doğrulama (MFA) uygulamalarının kullanılması dikkat çekiyor.
Grubun Yapısı ve Bağlantıları
Sızdırılan dahili sohbet kayıtları ve belgeler, Nefedov’un “Tramp”, “Trump”, “GG” ve “AA” gibi takma adlar kullandığını ortaya koydu. Belgelerde, Nefedov’un Rusya’nın FSB ve GRU gibi istihbarat ajanslarıyla bağlantıları olduğu iddia edildi. Bu bağlantıların, operasyonların korunması ve uluslararası adaletten kaçmak için kullanıldığı düşünülüyor. Nefedov, Haziran 2024’te Erivan’da tutuklanmasına rağmen serbest kaldı ve şu anda Rusya’da olduğu tahmin ediliyor ancak kesin konumu bilinmiyor.
Black Basta, 2022’de faaliyetlerini sonlandıran Conti grubunun halefi olarak ortaya çıktı ve BlackByte ile KaraKurt gibi diğer bağımsız gruplarla paralel hareket etti. Grup üyeleri daha önce BlackCat, Hive, AvosLocker ve HelloKitty gibi fidye yazılımı gruplarında da yer aldı.
Yaptırımlar ve Altyapı Bağımlılığı
Kasım 2025’te ABD, İngiltere ve Avustralya tarafından yaptırım uygulanan Media Land adlı bulletproof hosting hizmet sağlayıcısı, Black Basta’nın altyapısında kritik rol oynadı. Media Land’in genel müdürü Aleksandr Volosovik (“Yalishanda”) da yaptırımlar kapsamına alındı. Bu altyapı sayesinde grup, saldırılarında VIP muamelesi görerek daha uzun süre faaliyet gösterebildi.
Siber Güvenlik Ekipleri İçin Öneriler
- Kurumsal ağlarda çok faktörlü kimlik doğrulama (MFA) zorunlu hale getirilmeli.
- EDR ve SIEM sistemleri ile anormal erişim ve davranışlar sürekli izlenmeli.
- Hash kırma ve parola sızıntılarına karşı güçlü parola politikaları ve düzenli parola değişiklikleri uygulanmalı.
- RDP ve diğer uzaktan erişim protokolleri için katı erişim kontrolleri ve ağ segmentasyonu sağlanmalı.
- Olay müdahale (incident response) planları düzenli olarak güncellenmeli ve tatbikatlar yapılmalı.
- Fidye yazılımı saldırılarına karşı düzenli yedekleme ve yedeklerin offline tutulması kritik önemde.
- Güvenlik yamaları ve güncellemeler zamanında uygulanmalı, özellikle bilinen CVE’ler için (örneğin CVE-2024-XXXX).
- Şüpheli e-posta ve sosyal mühendislik saldırılarına karşı kullanıcı eğitimi artırılmalı.
Black Basta’nın Kurumsal Risk Senaryosu
Örneğin, bir finans kurumu, Black Basta’nın kullandığı yöntemlerle hedef alınabilir. İlk aşamada, çalışanlara yönelik kimlik avı e-postalarıyla kimlik bilgileri ele geçirilebilir. Ardından, elde edilen erişimle kurumun kritik sunucularına sızılır ve fidye yazılımı dağıtılarak finansal veriler şifrelenir. Bu süreçte, yetersiz ağ segmentasyonu ve zayıf IAM politikaları saldırganların hareket kabiliyetini artırır. Kurumun olay müdahale ekipleri, hızlı tespit ve izolasyon ile zararın yayılmasını engellemek zorundadır.