Gördüğünüz şey bir fidye saldırısı olabilir ancak karşı karşıya olduğunuz şey bir iş operasyonudur
Mart 2024’te, BlackCat fidye yazılımı çetesinin bir üyesi bir siber suç forumuna şikâyette bulundu. ABD tarihinin en büyük sağlık veri ihlallerinden biri olan Change Healthcare’e saldırı düzenlemişlerdi ancak 22 milyon dolarlık fidye ödemesinden paylarını alamamışlardı. BlackCat’in operatörleri parayı alıp ortadan kaybolmuş ve kaçışlarını örtbas etmek için sızıntı sitesine sahte bir FBI el koyma bildirimi koymuştu.
Bu şikâyet, neredeyse bir yüklenici anlaşmazlığı gibi görünüyor. Suç unsurunu ve bariz ihaneti bir kenara bırakırsak geriye herhangi bir şirket yöneticisinin tanıyabileceği bir şey (ya da bunun ipuçları) kalır: Tedarik zincirleri, fiyatlandırma, rekabet ve paralarının karşılığını bekleyen müşterilerle tamamlanan iş anlaşmaları. Günümüzün fidye yazılımları tam da bu mantıkla çalışıyor.
Ancak dışarıdan bakıldığında bunu anlamak mümkün değildir. Eğitimsiz bir göze saldırılar, fidye notu eklenmiş bir hırsızlık gibi görünür – biri içeri girer, kritik dosyaları kilitler (ve çalar), kaba bir talep bırakır ve ödülünü bekler. Açık ve basit ancak neredeyse kesinlikle eksik bir tablo.
Anlaşılır bir şekilde, patlama ve özellikle de etkisi manşetlere taşınırken buna yol açan her şey “kamera arkasında” kalır. Ancak bu, operasyonun nihayet su yüzüne çıktığı yerdir. Saldırıyı mümkün ve başarılı kılan şeylerin çoğu, kimsenin bakmadığı yerlerde gerçekleşir.
Başarısız olamayacak kadar ucuz
Fidye yazılımının “vitrininin” arkasında, iş gücü ve araç pazarları, abonelik hizmetleri, tedarikçiler ve ortaklar ile ilgili taraflar arasında hizmet seviyesi anlaşmalarına benzer bir şeyin bulunduğu bir tür franchise operasyonu veya belki de gig ekonomisi yatmaktadır. Toplu olarak, fidye notu gelmeden çok önce saldırıya zemin hazırlarlar. Kuruluşunuz bir fidye yazılımı olayını, sanki birdenbire ortaya çıkmış, neredeyse rastgele bir saldırı olarak görüyorsa savunması da buna göre oluşturulabilir. Ancak bu durumda, tehdidin aslında ne kadar kaynaklı ve tekrarlayıcı olduğunu hesaba katmayabilirler.
Sektör, her katılımcının yalnızca kendi (dar) işlevinde yetkin olması gerektiği şekilde tasarlanmıştır. Fidye yazılımı platformunu ve markayı yöneten geliştirici, ödülünü kazanmak için kurbanın ortamına dokunmakla hiç uğraşmak zorunda kalmaz. Ortak, kendisinin toplamadığı kimlik bilgilerini kullanarak erişim için bir pay veya ücret öder. Kurumsal bir ağa giriş imkânı satan ilk erişim aracısı, alıcının bu giriş bilgileriyle ne yapmayı planladığını bilmek zorunda bile değildir.
Ancak birlikte, franchise mantığını eski bir “sanat” olan şantaja uygulayarak, suçun yükünü aralarında paylaştılar. Ve bir sektör bu şekilde yapılandığında, hacim de buna paralel olarak artar.
ESET’in tespit verileri, 2025’in ilk yarısında yüzde 30’luk bir artışın ardından, 2025’in ikinci yarısında fidye yazılımlarının önceki altı aya kıyasla yüzde 13 arttığını gösteriyor. Bu arada, Verizon’un 2025 Veri İhlali Araştırma Raporu (DBIR), fidye yazılımı içeren ihlallerin payında %32’den %44’e bir sıçrama kaydederken ortalama fidye ödemesi 150.000 dolardan 115.000 dolara düştü. Hedefler de değişiyor. Mandiant’ın analizi, savunmaları daha az olgun olan daha küçük kuruluşlara doğru bir kayma olduğunu gösteriyor.
Daha fazla (ve daha savunmasız) hedef ile daha küçük miktarlarda fidye talebi, klasik bir hacim oyununa denk geliyor.
Şekil 1. 2025’in ilk yarısı ve ikinci yarısında fidye yazılımı tespit eğilimi, yedi günlük hareketli ortalama (kaynak: ESET Tehdit Raporu 2025’in ikinci yarısı)
Fidye yazılımı “rastgele yazılım” değildir
Fidye yazılımı operasyonları, tek tek katılımcıların ne kadar yetkin becerilere sahip olduklarına bakılmaksızın ölçeklenebilir şekilde tasarlanmıştır. Kuşkusuz, genellikle “hizmet olarak fidye yazılımı” (RaaS) olarak bilinen bu yapının iç işleyişi, örneğin bir fast food zincirininkinden daha dağınıktır. Koordinasyon gevşek, bölgeler arası çatışmalar gerçektir ve zaman zaman kamuoyuna da yansır. Yine de temel mantık geçerlidir.
Fidye yazılımı endüstrisi, katılımcıları arasındaki güven ve onları birbirine bağlayan teşviklere bağlı olarak ayakta kalır veya yok olur. Teşviklerin, sonuçları her şeyden daha fazla belirlediği bilinen bir gerçektir.
Öyle ki bu alan buna bağlı olarak kalabalıklaşmıştır. İnsanlar arasındaki rekabet genel olarak kendi biçimini genişletir – önce bireyler arasında, sonra aileler arasında, sonra topluluklar arasında, sonra uluslar arasında. Dijital dünyada, şöhret için rekabet eden bireysel hackerlar, bölge için rekabet eden organize gruplara dönüştü; bu gruplar da pazar payı için rekabet eden, birbirine bağlı bir uzmanlar ağına dönüştü. Sınırların veya bürokrasinin engelini aşan siber suçlular, meşru endüstrilerin on yıllarını alan bir süreci birkaç yıla sıkıştırdı.
Elbette kolluk kuvvetleri de boş durmuyor ve hedefli kesintiler gerçek bir belirsizlik yaratıyor ve gerçek maliyetler getiriyor. Ancak rekabetçi bir pazarda bir firmayı kapatmak, pazarı kapatmaz. Teşvikler aynı kaldığı sürece, bir fidye yazılımı grubunun ortadan kalkması, hayatta kalanlar arasında onun yerini almak için rekabeti tetikler. Yeni oyuncular ortaya çıkıyor, diğerleri markalarını değiştiriyor veya rakiplerle iş birliği yapıyor, müşteriler yeni tedarikçiler seçiyor, kanıtlanmış stratejiler hayatta kalıyor. Siber suç grupları arasındaki iç çekişmeler bile piyasanın zayıf oyuncularını elemeye yarıyor – rekabet, beklendiği gibi işliyor.
Örneğin, 2024 yılında LockBit ve BlackCat kolluk kuvvetleri tarafından durdurulduğunda, bağlı kuruluşları çoğunlukla RansomHub’a geçti. 2025’te, o dönemde nispeten küçük bir oyuncu olan DragonForce, birkaç rakibin sızıntı sitelerini tahrip etti ve o dönem lider olan RansomHub’ın sitesini çökertti. RansomHub sessizliğe büründüğünde, Akira ve Qilin onun pazar payını devraldı. Giriş engeli düşük kaldığı, araçlar hizmet olarak sunulduğu ve iş gücü o kadar bol olduğu için arzın katılımcı sıkıntısı çekmemesi nedeniyle bu model devam ediyor.
Kırmızı Kraliçe’nin yarışı
Siber suçlar asla durmaz. Eskiden kullanılan fidye yazılımı taktiği – dosyaları kilitlemek ve fidye talep etmek – yerini çift şantaja bıraktı; bu taktikte saldırganlar kurumsal verileri şifrelemeden önce çalar ve ele geçirdikleri verilerin en azından bir kısmını özel sızıntı sitelerinde yayımlar. FBI ve CISA artık fidye yazılımını rutin olarak “veri hırsızlığı ve şantaj” sorunu olarak tanımlamaktadır.
Şekil 2. LockBit sızıntı sitesi (kaynak: ESET Research)
Ancak spesifik tehlikeler de hızla değişiyor. Henüz iki yıl önce, sahte bir hata mesajının kullanıcıları kandırarak kötü amaçlı komutları kopyalayıp yapıştırmaya ve çalıştırmaya yönlendiren bir sosyal mühendislik tekniği olan ClickFix, neredeyse hiç kimsenin radarında değildi. Şimdi ise yaygınlaşmış durumda ve hem devlet destekli hem de siber suç grupları tarafından kullanılıyor.
Ancak bu adaptasyon hızı, bir versiyonunun doğada, aslında sonsuza dek devam ettiğini fark ettiğinizde pek de şaşırtıcı değildir. Rekabet içinde olan türler, sadece konumlarını korumak için sürekli olarak adapte olmak zorundadır. Avcılar hızlanır, bu yüzden avlar da hızlanır. Avlar kamuflaj geliştirir, bu yüzden avcılar daha keskin bir görüş geliştirir. Biyoloji buna, Lewis Carroll’un Aynanın İçinden kitabındaki, sadece yerinde kalmak için koşmaya devam etmek zorunda olan bir karakterin adını taşıyan Kırmızı Kraliçe etkisi adını verir.
Güvenlik uzmanları bu dinamiği tanıyacaktır ancak silahlanma yarışı ve kedi-fare oyunu gibi daha tanıdık isimler bunu yeterince ifade edemeyebilir. Kırmızı Kraliçe daha spesifik bir şeyi tanımlar: Karşı taraf da neredeyse paralel olarak uyum sağladığı için net bir avantaj sağlamayan uyum.
Bunun en açık örneği, savunmacıların araçları ile saldırganların anti-araçları arasındaki boşlukta yer alır. Uç nokta tespit ve müdahale (ve genişletilmiş tespit ve müdahale, veya EDR/XDR) ürünleri, fidye yazılımı ortaklarının ele geçirilmiş ağların içinde yürüttüğü türden faaliyetleri yakalamak için kilit öneme sahiptir. Ürünler geliştikçe, suçlular da bunları devre dışı bırakmak için tasarlanmış araçlar için gizli bir pazar oluşturarak yanıt verdiler.
Ve pazarın olduğu yerde ürün de vardır – genellikle çok sayıda.
EDR katilleri
ESET araştırmacıları, aktif olarak kullanılan yaklaşık 90 EDR katili izlemektedir. Bunların 54’ü aynı temel tekniği kullanır: Hedef makineye meşru ancak güvenlik açığı bulunan bir sürücüyü yüklemek ve bunu, güvenlik ürününü kapatmak için gereken çekirdek düzeyinde ayrıcalıkları elde etmek amacıyla kullanmak. Bu tekniğe “Kendi Güvenlik Açığı Bulunan Sürücünü Getir” (BYOVD) denir ve güvenlik açığı bulunan sürücüler bir meta niteliğindedir – aynı sürücü, birbiriyle ilgisi olmayan araçlarda karşımıza çıkar ve aynı araç, kampanyalar arasında sürücüler arasında geçiş yapar.
EDR katili pazarı, hizmet ettiği fidye yazılımı ekonomisini yansıtıyor. Bu anti-araçlar, tespit edilmeden bir adım önde olmak için düzenli olarak güncellenen abonelik tabanlı gizleme hizmetleriyle birlikte sunuluyor. Genellikle fidye yazılımı operatörleri değil, bağlı kuruluşlar hangi katili kullanacaklarına karar veriyor – satın alma kararı franchise düzeyinde veriliyor. Savunma ürünü güncellendiğinde, gizleme hizmeti de onu takip ediyor. Yine Red Queen.
EDR katillerine yapılan büyük yatırım, biraz tersine, tespit araçlarının suç iş modeline ne kadar zarar verdiğinin en açık göstergesidir. Sonuçta, kârınızı etkilemeyen bir şeyi devre dışı bırakmak için bütün bir ürün kategorisi oluşturmazsınız.
Ayrıca yapay zekâ sayesinde pazara, hatta daha geniş kapsamlı siber suç ekonomisine katılmak her zamankinden daha kolay hâle geldiğinden bu tür saldırı araçlarının yaygınlığı daha da artabilir. ESET araştırmacıları, bazı EDR engelleyicilerin geliştirilmesinde yapay zekânın rol oynadığından şüpheleniyor; Warlock çetesinin ürünleri buna sadece bir örnek.
Bunun dışında, diğer araştırmacılar “ vibeware” olarak adlandırdıkları şeyi belgelemişlerdir: Yapay zekâ destekli, büyük miktarlarda üretilen ve bazılarının geçebileceği umuduyla hedef ortamı tek kullanımlık kodlarla doldurmayı amaçlayan kötü amaçlı yazılımlar. Kötü amaçlı yazılım üretmenin önündeki engel, zorlu becerilerden ziyade niyete bağlı bir noktaya kadar düşmüştür – tıpkı daha geniş siber suç sahnesinde tanık olduğumuz gibi.
Fidye saldırılarına karşı pazarı okumak
Fidye yazılımını yalnızca bir saldırı olarak görmek, saldırılara karşı savunma mekanizmaları oluşturulmasına yol açar. Ancak bunu bir endüstri olarak düşünürseniz başka öncelikler de gündeme gelir.
Savunma ürünleri ile anti-araçlar arasındaki Red Queen dinamiği nasıl gelişiyor? Şu anda hangi kötü amaçlı araçlar, teknikler ve prosedürler dolaşımda? Güvenlik yığınınız, şu anda dolaşımda olan sürücüleri kullanan bir BYOVD saldırısını önleyebilir mi? Tedarik zincirinizdeki bir MSP tehlikeye girerse ortamınıza ne olur? Hangi fidye yazılımı aktörleri sektörünüzü aktif olarak hedefliyor ve hangi EDR katillerini satın alıyorlar?
Bu ve diğer acil soruları yanıtlayamıyorsanız sektörün çıktıları size ulaştığında zincirin büyük bir kısmı çoktan işlenmiş olabilir. Hangi grubun sizi ne zaman ve hangi vektör üzerinden hedef alacağını tahmin edemezsiniz. Ancak aktif grupların nereye gittiğine ve bu yolların herhangi birinin kapınıza çıkıp çıkmayacağına dair güncel bir harita tutabilirsiniz.
Bu veri ihlali uyarısı bir tuzak olabilir
