Kaspersky, 12 Mayıs Uluslararası Fidye Yazılımıyla Mücadele Günü kapsamında yayımladığı raporla, 2025 yılında yaşanan fidye yazılımı trendlerini mercek altına alırken, 2026 ve sonrası için kritik uyarılarda bulundu. Kaspersky Security Network verilerine göre, geçen yıl kurumsal düzeyde en fazla fidye yazılımı saldırısına uğrayan bölge %8,13 ile Latin Amerika olurken, onu Asya-Pasifik (%7,89), Afrika (%7,62), Orta Doğu (%7,27), Bağımsız Devletler Topluluğu (%5,91) ve Avrupa (%3,82) izledi. Raporda, özellikle şifreleme kullanılmayan şantaj odaklı saldırılardaki artış, kuantum sonrası kriptografiye geçiş ve Telegram kanalları üzerinden çalıntı veri ticareti dikkat çekiyor.
Şifresiz Şantaj ve EDR ‘Killer’ Araçları Öne Çıkıyor
2025’te fidye yazılımı saldırılarına maruz kalan kuruluşların oranında 2024’e kıyasla hafif bir düşüş yaşansa da, saldırganların operasyonlarını endüstriyel ölçekte organize etmesi ve sızma yöntemlerini otomatikleştirmesi nedeniyle risk seviyesi yüksek kalmaya devam ediyor. Özellikle, uç nokta güvenlik çözümlerini devre dışı bırakmak için tasarlanan EDR ‘killer’ araçları, saldırıların standart bir parçası haline geldi. Bu araçlar, kötü amaçlı yazılım çalıştırılmadan önce güvenlik yazılımlarını etkisiz hale getirerek saldırıların daha planlı ve sistematik olmasını sağlıyor.
Kaspersky araştırmacıları, bazı fidye yazılımı ailelerinin post-kuantum kriptografi standartlarını benimsemeye başladığını tespit etti. Daha önce öngörülen bu gelişme, gelecekte kuantum bilgisayarlar tarafından çözülmesi zor olabilecek şifreleme yöntemlerine doğru kaygı verici bir geçişe işaret ediyor. Aynı zamanda, Initial Access Broker (IAB) olarak bilinen siber suç aracıları, yeraltı forumları ve mesajlaşma platformları üzerinden önceden ele geçirilmiş kurumsal erişimleri satarak saldırıları kolaylaştırıyor. RDWeb portalları, ‘Access-as-a-Service’ modeliyle hedef alınarak fidye yazılımı saldırılarının eşiği düşürülüyor.
Telegram Kanalları ve Dark Web Forumları Veri Ticaretinde Kullanılıyor
Telegram kanalları ve dark web forumları, çalınmış veri setleri ve erişim bilgilerinin dağıtımı ile satışı için aktif olarak kullanılmaya devam ediyor. Büyük yeraltı forumlarından RAMP, Ocak 2026’da yetkililer tarafından kapatılırken, LeakBase ise Mart 2026’da operasyon dışı bırakıldı. Ancak kolluk kuvvetlerinin müdahalesine rağmen, benzer platformların zamanla yeniden ortaya çıkabileceği belirtiliyor. Bu durum, siber suç ekosisteminin ne kadar dirençli olduğunu gösteriyor.
2025’in En Aktif Fidye Yazılımı Grupları
Kaspersky’nin veri sızıntısı sitelerine dayanan analizine göre, RansomHub operasyonlarının çökertilmesinin ardından Qilin, 2025’in en baskın ‘hizmet olarak fidye yazılımı’ (RaaS) operatörü oldu. Clop ikinci, Akira ise üçüncü sırada yer aldı. 2025’te birçok büyük grubun faaliyetlerini sonlandırmasına rağmen, yeni aktörler ortaya çıkmaya devam ediyor. 2026’da hızlı büyümesi ve organize yapısıyla Gentlemen grubu en dikkat çekici yeni tehdit aktörlerinden biri olarak öne çıkıyor. Grubun, geçmişte büyük fidye yazılımı operasyonlarında yer almış saldırganları içerdiği değerlendiriliyor. Gentlemen, kaotik saldırılardan, hassas verilerin çalınması ve itibar kaybı üzerinden şantaja dayalı, ölçeklenebilir bir iş modeline geçişin somut bir örneğini oluşturuyor.
Kaspersky GReAT Baş Güvenlik Araştırmacısı Fabio Assolini, “Fidye yazılımları, çalınan veriler üzerinden gelir elde etmeye, savunma mekanizmalarını devre dışı bırakmaya ve saldırıları kurumsal bir verimlilikle ölçeklendirmeye odaklanan son derece organize bir ekosisteme dönüştü. Tehdit aktörleri; meşru araçları kötüye kullanma, uzaktan erişim altyapılarını istismar etme ve hatta post-kuantum kriptografiyi beklenenden çok daha erken benimseme konusunda hızla adapte oluyor. Bu nedenle tüm kullanıcıları katmanlı savunma stratejileri oluşturmaya, yedekleme yatırımlarını artırmaya ve siber okuryazarlık seviyelerini güçlendirmeye davet ediyoruz.” dedi.
Kurumlar İçin Öneriler
Kaspersky, fidye yazılımı tehdidine karşı kurumların şu adımları izlemesini tavsiye ediyor: Tüm uç noktalarda fidye yazılımı koruması etkinleştirilmeli, yazılımlar güncel tutulmalı ve savunma stratejisi yanal hareketler ile veri sızıntısını tespit etmeye odaklanmalı. Ayrıca, saldırganların kurcalayamayacağı çevrimdışı yedeklemeler oluşturulmalı ve acil durumlarda hızlı erişim sağlanabilmelidir.
Kaynak: Beyaz Haber Ajansı