Cyble’ın 2025 Yıllık Tehdit Ortamı Raporu, uluslararası kolluk kuvvetlerinin engelleme çabalarını artırmasına rağmen değişken kalan bir siber suç ortamını belgeliyor. Büyük ölçekli saldırılar, tutuklamalar ve altyapıya el koymalar, düşmanları uzun süre yavaşlatamadı. Bunun yerine, siber suç ekosistemleri merkezi olmayan platformlarda, şifreli mesajlaşma kanallarında ve yalnızca davetle girilebilen forumlarda parçalandı, yeniden düzenlendi ve yeniden ortaya çıktı. Özellikle fidye yazılımı ortamı, yaptırım baskısını geride bırakan hızlı bir yenilenme kapasitesi sergiledi.
Cyble’ın raporuna göre fidye yazılımı, 2025 yılı boyunca istikrarı en çok bozan tehdit kategorisi oldu. Saldırılar hükümet, sağlık hizmetleri, enerji, finansal hizmetler ve tedarik zincirine bağımlı sektörlere yayıldı. Pek çok grup, ödeme almak için veri hırsızlığına, kamuya ifşaya ve itibarın zedelenmesine güvenerek, şifreleme merkezli kampanyalardan yalnızca şantaj amaçlı operasyonlara doğru ilerledi. Bu değişiklik operasyonel sürtünmeyi azalttı ve saldırı döngülerini kısaltarak geleneksel tespit ve kontrol modellerini daha az etkili hale getirdi.
Yapay zeka, saldırgan operasyonlarını daha da yeniden şekillendirdi. Cyble, yapay zeka destekli otomasyonun öldürme zincirinin birden fazla aşamasına yerleştirildiğini gözlemledi. Müzakere iş akışları kısmen otomatikleştirildi. Kötü amaçlı yazılımlar daha polimorfik hale geldi. Savunmalar yanıt verdikçe izinsiz giriş yolları gerçek zamanlı olarak uyarlandı. Bu gelişmeler saldırı hızını artırırken bekleme süresini kısalttı ve savunma oyuncularını yanıt için daha dar marjlarla hareket etmeye zorladı.
Yeraltı Ekosistemlerinde Ölçülen Tehdit Faaliyeti
CRIL, 2025 yılında forumlar, pazar yerleri ve sızıntı sitelerinde 9.817 doğrulanmış siber tehdit olayını takip etti. Bu olaylar, kritik altyapıyı, devlet kurumlarını ve kolluk kuvvetlerini kapsayan kuruluşları etkiledi.
Faaliyetlerin dökümü, büyük ölçüde para kazandıran verilerin açığa çıkması yönünde çarpıktı. 6.979 olay, veri setlerinin ihlali veya satış için reklamı yapılan bilgilerin tehlikeye atılmasıyla ilgiliydi. Diğer 2.059 olay ise kimlik bilgileri, VPN giriş noktaları ve idari dayanaklar dahil olmak üzere yetkisiz erişimin satışına odaklandı. Hükümet, kolluk kuvvetleri (LEA), BFSI, BT ve ITES, sağlık hizmetleri, eğitim, telekomünikasyon ve perakende en tutarlı hedeflenen sektörlerde kalmayı sürdürdü.
Coğrafi analiz, 2.650 olayın ihlaller, sızıntılar veya erişim satışları yoluyla kuruluşları etkilediği Asya’da açık bir faaliyet yoğunlaşması gösterdi. Kuzey Amerika’yı 1.823 olayla takip ederken, Avrupa ve Birleşik Krallık 1.779 olay kaydetti. Ülke düzeyinde yıl boyunca en yüksek hedefleme hacmi Amerika Birleşik Devletleri, Hindistan, Endonezya, Fransa ve İspanya’da yaşandı.
Fidye Yazılımı Büyümesi ve Yapısal Genişleme
Cyble’ın Yıllık Tehdit Ortamı Raporu, fidye yazılımının zaman içindeki yayılma boyutunu ölçüyor. 2020’den 2025’e kadar fidye yazılımı vakaları %355 artarak yaklaşık 1.400 saldırıdan yaklaşık 6.500’e yükseldi. 2023, yıldan yıla en büyük artışa işaret ederken, 2025, önceki iki yılda gözlemlenen saldırıların toplamından %47 daha fazla saldırıyla ikinci en büyük artışı sağladı.
Fidye yazılımlarının kapsamı da yapısal olarak genişledi. CRIL, yalnızca 2025’te ortaya çıkan 57 yeni fidye yazılımı grubu ve 27 yeni gasp odaklı grup belirledi. Yıl boyunca 350’den fazla yeni fidye yazılımı türü ortaya çıktı; bunların çoğu MedusaLocker, Chaos ve Makop gibi yerleşik kod tabanlarından türetildi. Ekosistem, birleşmek yerine parçalanmaya devam ederek ilişkilendirme ve yaptırımı karmaşık hale getirdi.
Üye Hareketliliği ve Tekrarlanan Mağduriyet
Yıllık Tehdit Ortamı Raporu’nda belgelenen en önemli trendlerden biri, mağdurları hedeflemenin tekrarlamasıydı. CRIL, aynı yıl içinde, bazen haftalar içinde, birden fazla fidye yazılımı grubu tarafından listelenen 62 kuruluşu gözlemledi. Beş yıllık bir süre boyunca 250’den fazla kuruluş birden fazla kez fidye yazılımı saldırılarına maruz kaldı.
Bu model yaygın üye hareketliliğini yansıtıyordu. Hizmet Olarak Fidye Yazılımı operatörleri, platformlar arasında geçiş yapan, kurbanları yeniden listeleyen ve baskıyı sürdürmek için çalınan verileri yeniden kullanan bağlı kuruluşları paylaştı. Cl0p, Qilin, Lynx, INC Ransom, Play, LockBit ve Crypto24 gibi gruplar, kısa zaman aralıklarında defalarca üst üste gelen kurbanları iddia etti.
Devman ve Securotrop’un da aralarında bulunduğu birçok yeni grup, bağımsız araçlar ve altyapı geliştirmeden önce başlangıçta yerleşik RaaS programları dahilinde faaliyet gösteriyordu. Bu ilerleme, bağlı kuruluş ile operatör arasındaki çizgiyi bulanıklaştırdı ve fidye yazılımı ortamını daha da merkezi hale getirdi.
Kolluk Kuvvetlerinin Baskısı ve Cezai Karşı Hareketler
Kolluk kuvvetleri faaliyetleri 2025 yılı boyunca yoğunlaştı. Yetkililer CrazyHunters ve 8Base ile bağlantılı operasyonları kesintiye uğrattı ve Black Kingdom, Conti, DoppelPaymer, RobbinHood, Scattered Spider, DiskStation, Ryuk, BlackSuit ve Yanluowang ile bağlantılı bağlı kuruluşları tutukladı veya hakkında dava açtı.
Bu eylemler taktiksel değişiklikleri zorunlu kıldı ancak faaliyetleri bastırmadı. CRIL, Scattered Spider, LAPSUS$ Hunters ve Medusa’nın içeriden işe alım çabalarını doğruladı. Play ve MedusaLocker’ın da aralarında bulunduğu diğer gruplar, veri sızıntısı sitelerindeki duyurular aracılığıyla benzer işe alım stratejilerine kamuya açık bir şekilde atıfta bulundular. Fidye yazılımı ortamı, yaptırım baskısına daha az aktif olmak yerine daha şeffaf hale gelerek yanıt verdi.
Yalnızca Gasp Amaçlı Modellere Doğru Taktiksel Değişimler
Operasyonel yeniden düzenleme 2025’te daha görünür hale geldi. Hunters International, RaaS modelini terk etti ve World Leaks olarak yeniden markalaştı ve Secp0 gibi RaaS operatörleriyle çapraz ilişkileri sürdürürken kendisini Hizmet Olarak Gasp sağlayıcısı olarak yeniden konumlandırdı. Analiz ayrıca Everest’in faaliyetinin bir kısmını yalnızca şantaj amaçlı kampanyalara yönlendirdiğini ve şifreleme yüklerine olan bağımlılığı azalttığını gösterdi.
Yıl aynı zamanda yaygın bir yeniden markalaşmaya da tanık oldu. Hunters International, World Leaks oldu. Royal, Kaos olarak yeniden ortaya çıktı. LockBit 3.0, LockBit 4.5 ve daha sonra 5.0’a dönüştü. HelloKitty, Kraken olarak yeniden ortaya çıktı. Aynı zamanda ALPHV/BlackCat, Phobos/8Base, Cactus, RansomHub ve CrazyHunter dahil çok sayıda grup feshedildi veya faaliyetlerini durdurdu.
Mağduriyet ve Sektör Etkisi
Fidye yazılımı mağduriyeti verileri, Amerika kıtasında 4.292, Avrupa ve Birleşik Krallık’ta 1.251, Asya ve Okyanusya’da 589 ve META bölgesi kuruluşlarında 202 kurban olduğunu ortaya çıkardı. ABD’de 3.527 kurban bulunurken, onu Kanada (360), Almanya (251), Birleşik Krallık (198), Brezilya (111), Avustralya (98) ve Hindistan (67) izledi.
Sektörel etki düzensiz fakat şiddetli olmaya devam etti. İmalat sektörü etkilenen 600 kuruluş kaydetti; endüstriyel makineler ve fabrikasyon metal üreticileri en ağır yükü taşıyordu. Bunu 477 kurbanla sağlık hizmetleri takip etti; genel hastaneler ve özel klinikler, Kişisel Sağlık Bilgilerinin hassasiyetinden yararlanmak amacıyla defalarca hedef alındı.
İnşaat, profesyonel hizmetler, BT ve ITES, BFSI ve kamu kuruluşları da sürekli baskıyla karşılaştı.
Tedarik Zinciri İstismarı ve Altyapı Riski
Tedarik zinciri uzlaşması, 2025 fidye yazılımı manzarasının belirleyici bir özelliği olarak ortaya çıktı. Cl0p’nin Oracle E-Business Suite güvenlik açığı CVE-2025-61882’yi kullanması, başta BT ve ITES olmak üzere dünya çapında 118’den fazla kuruluşu etkiledi. Bu kurbanlar arasında kritik altyapı endüstrileri olarak sınıflandırılan altı kuruluş vardı. Sis fidye yazılımı aktörleri, GitLab kaynak kodunu birden fazla BT firmasından sızdırarak tedarik zinciri riskini artırdı.
Amerika Birleşik Devletleri’ndeki hükümet ve kolluk kuvvetleri, temel kamu hizmetlerini etkileyen 40’tan fazla olayla agresif bir şekilde hedef alındı. Tayvan ve ABD’deki yarı iletken üreticileri, küresel üretim merkezleri olma rolleri nedeniyle öncelikli hedefler olmaya devam etti. Avrupalı yarı iletken geliştiricileri de daha düşük hacimlerde de olsa saldırılarla karşılaştı.
Yüksek Etkili Olaylar ve Stratejik Hedefleme
Sağlık hizmeti saldırıları, gasp baskısını yoğunlaştırmak için kullanılan PHI’nın tekrar tekrar açığa çıkmasıyla birlikte operasyonel aksamalara neden olmaya devam etti. Telekom sağlayıcıları, tehdit aktörlerinin aktif olarak alım satımı yaptığı ve alt dolandırıcılık amacıyla yeniden kullandığı müşteri kişisel bilgilerinin büyük ölçekli hırsızlığı nedeniyle sürekli riskle karşı karşıya kaldı. Bazı durumlarda fidye yazılımı grupları, ihlal açıklamalarını yayınlandıktan kısa bir süre sonra sızıntı sitelerinden kaldırdı; bu da fidye ödemelerinin veya ikincil veri satışlarının başarılı olduğunu gösteriyor.
Havacılık ve savunma kuruluşları daha az olay yaşadı ancak etkisi daha yüksek oldu. 2025’teki en önemli olaylardan biri, Avrupa’daki birçok havaalanındaki operasyonları kesintiye uğratan ve tescilli savunma teknolojilerini açığa çıkaran Collins Aerospace’e yapılan saldırıydı. Telemetri, NATO uyumlu savunma geliştiricilerinin orantısız bir şekilde hedef alındığını gösterdi.
Cyble’ın Yıllık Tehdit Görünümü Raporu, bir sonucu kaçınılmaz kılıyor: fidye yazılımı artık kesintiye dayalı bir tehdit değil; baskı altında gelişen, istihbarat odaklı, uyarlanabilir bir iş modelidir. 2025’e ait veriler, hız, bağlı kuruluş hareketliliği ve tedarik zinciri kaldıracı için optimize edilmiş bir ekosistemi gösteriyor; yapay zeka artık gasp iş akışlarının ve izinsiz giriş yollarının derinliklerine yerleştirilmiş durumda.
Cyble Yıllık Tehdit Ortamı Raporu doğrudan CRIL’in yer altı ekosistemlerini izlemesinden elde edilen eksiksiz veri kümeleri, bölgesel dökümler, tehdit aktörü analizi ve taktiksel istihbarat sağlar. Okuyucular, bu analiz boyunca atıfta bulunulan ayrıntılı bulgulara, grafiklere ve tehdit haritalarına erişmek için raporu indirebilir.
Bu istihbaratı operasyonel hale getirmek isteyen kuruluşlar ayrıca bir rezervasyon yaptırabilir. Cyble demosu Cyble’ın yapay zeka destekli tehdit istihbaratı platformunun, otomatik tehdit avcılığını, tedarik zinciri risk görünürlüğünü ve Cyble’ın en yeni nesil ajansal yapay zekasının yönlendirdiği tahmine dayalı analitiği birleştirerek gerçek dünyadaki düşman verilerini eyleme dönüştürülebilir savunmaya nasıl dönüştürdüğünü görmek için.