Fidye yazılımı tehditleri, ekosistemdeki büyük gelişmelerin etkisiyle veri sızıntısı sitelerinin rekor 81 aktif platforma ulaşmasıyla 2025’in üçüncü çeyreğinde bir dönüm noktasına ulaştı.
İngilizce konuşan bilgisayar korsanlığı topluluğu Scattered Spider, ilk hizmet olarak fidye yazılımı (RaaS) teklifi olan “ShinySp1d3r RaaS”i tanıtırken uzun süredir operatör olan LockBit, bağlı kuruluşlara kritik altyapıyı hedefleme yetkisi veren “LockBit 5.0” ile geri döndü.
LockBit, DragonForce ve Qilin arasındaki güçlü ittifak, küresel riski daha da artırdı ve yeni ortaya çıkan gruplar, saldırılarını listelemelerde yüzde 69 artış görülen Tayland gibi yeni bölgelere doğru genişletti.
Bu çeyreğin sarsıcı değişimleri, fidye yazılımlarının öngörülemezliğinin ve kapsamının giderek arttığının altını çiziyor ve her CISO için acil eylem sinyali veriyor.
Ağustos 2025’in sonlarında, daha önce karmaşık kimlik avı ve sosyal mühendislik kampanyalarıyla tanınan Scattered Spider, Telegram’da paylaşılan bir fidye notu görüntüsü aracılığıyla ilk RaaS platformu ShinySp1d3r RaaS’ı piyasaya süreceğinin imasını yaptı.
Grup, ShinySp1d3r’un sosyal mühendislik becerisini yıkıcı şifrelemeyle birleştireceğini ve “şimdiye kadar yaşanacak en iyi RaaS” vaadinde bulunacağını iddia etti. Resmi olarak başlatıldığı takdirde bu hizmet, İngiliz liderliğindeki ilk büyük RaaS olarak bir dönüm noktası olacak; DragonForce, ALPHV ve RansomHub gibi genellikle operasyonel güvenliği sağlamak için mevduat talep eden ve İngilizce konuşan bağlı kuruluşlarla nadiren işbirliği yapan Rusça konuşan sağlayıcıların hakimiyetine meydan okuyacaktır.
ShinySp1d3r’ın gelişimi, Scattered Spider’ın son işbirliklerini takip ediyor: 2025’in ikinci çeyreğinde grup, perakende, sigorta ve havacılık hedeflerine karşı DragonForce fidye yazılımını kullandı ve üçüncü çeyrekte Salesforce verilerini sızdırmak için ihlal ve sızıntı kolektifi ShinyHunters’a katıldı.
Her ne kadar birkaç üye tutuklanmış olsa da, Scattered Spider’ın geçici ve genellikle genç operatörlerden oluşan gevşek yapılandırılmış ağı, grubun RaaS tekliflerini geliştirmeye devam edeceğini öne sürüyor.
Kritik Altyapı Odağı
3 Eylül 2025’te LockBit, bağlı kuruluş programının altıncı yıldönümüne denk gelecek şekilde LockBit 5.0’ı piyasaya sürerek RAMP karanlık web forumunda yeniden dirilişini duyurdu.
Yeni sürüm, FBI ile resmi bir anlaşma aksini gerektirmediği sürece, bağlı kuruluşların nükleer, termik ve hidroelektrik santraller dahil olmak üzere kritik altyapılara saldırmasına açıkça izin veriyor.
Bu, Mayıs 2021’deki Colonial Pipeline saldırısı gibi yüksek profilli aksaklıkların ardından sektörün bu tür hedeflere karşı uzun süredir devam eden tabusundan keskin bir sapmaya işaret ediyor.
Benzer ortaklıkların geçmişte de dönüştürücü olduğu kanıtlandı; örneğin 2020’de LockBit, Maze fidye yazılımı grubuyla güçlerini birleştirmişti.
LockBit 5.0’ın genişletilmiş hedefleme seçenekleri, hakimiyeti yeniden kazanmaya ve belki de 2024’ün başlarında altyapıya el konulmasına ve üyelerin tutuklanmasına yol açan kolluk kuvvetleri eylemlerine misilleme yapmaya yönelik stratejik bir hamleyi akla getiriyor.
LockBit, bağlı kuruluşların güvenini yeniden tesis ederek ve izin verilen hedefleri genişleterek, operatörleri cezbetmek için hem finansal teşviklerden hem de intikam hikayesinden yararlanarak kendisini en büyük fidye yazılımı tehdidi olarak yeniden konumlandırmayı hedefliyor.
İttifaklar, Yeni Gruplar ve Küresel Genişleme
LockBit’in geri dönüşünü hızla DragonForce ve Qilin ile bir koalisyon izledi ve araçları, altyapıyı ve taktikleri paylaşmaya hazır bir fidye yazılımı karteli oluşturuldu.
Bu ittifak, veri sızdırırken sistemleri şifreleyen çifte gasp planlarının benimsenmesini hızlandırabilir ve daha önce güvenli olan sektörlere yönelik saldırıları güçlendirebilir.
Bu arada, aktif veri sızıntısı siteleri 2025’in ikinci çeyreğinde 72’den 3. çeyrekte 81’e yükseldi; bu durum, baskın oyunculardaki düşüşlerin bıraktığı boşlukları dolduran daha küçük grupları yansıtıyor.
Beast, The Gentlemen ve Cephalus gibi yeni ortaya çıkan aktörler sağlık sektörü listelerinde yüzde 31’lik bir artışa neden olurken, profesyonel, bilimsel ve teknik hizmetler yüzde 17’lik bir artış kaydetti.
Tayland, çeyrek başına ortalama 10’dan az sayıda kuruluşun ardından 22 kuruluşu listeleyen yeni kurulan Devman2’nin etkisiyle listelemelerde yüzde 69’luk bir artış yaşadı.
Tayland, “Devman2″nin ortaya çıkmasıyla 2025’in 2. çeyreğinden 3. çeyreğine kadar veri sızıntısı yapan site görünümlerinde %69’luk rekor bir artış gördü. “Devman”ın halefi olan ve bu çeyrekte ilk kez ortaya çıkan bu grup, şimdiden Tayland’daki kuruluşların %25’inden fazlasını listeledi.
Bu trendler, fidye yazılımının gelişen manzarasını öne çıkarıyor: İngilizce konuşan RaaS’a girenler, kritik altyapıyı hedef alan cesur eski operatörler, stratejik ittifaklar ve küresel olarak genişleyen fırsatçı yeni gelenler.
Kuruluşlar, bu çok yönlü tehdide karşı koymak için sosyal mühendislik savunmaları, ağ bölümlendirmesi ve olaylara hızlı müdahale konusunda sağlam kontroller uygulayarak 4. çeyrekte ve sonrasında tırmanmanın devam etmesine hazırlanmalı.
Fidye yazılımının erişim alanı her sektöre ve bölgeye yayıldıkça rehavet dönemi de sona erdi. Savunmacılar daha agresif ve öngörülemeyen bir düşmana uyum sağlamak zorunda kalacak, aksi takdirde yıkıcı saldırılar ve gasp riskiyle karşı karşıya kalacaklar.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.