Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Dijital Şantajcılar İçeriden Kişileri İşe Almayı ve E-posta Barajlarını Deneyiyor
Mathew J. Schwartz (euroinfosec) •
28 Ekim 2025
Siber suçlular için fidye yazılımının kârlılığının azalması, dijital şantajcıların rüşvet ve yalanlar da dahil olmak üzere yeni ve saldırgan yöntemler denemesine neden olmak gibi istenmeyen bir yan etkiye neden oluyor.
Ayrıca bakınız: En Son MITRE ATT&CK Değerlendirmelerine İlişkin Tam Kılavuz
Veri koruma ve yedekleme firması Veeam’in Coveware birimi tarafından hazırlanan bir raporda, “Giderek kötüleşen ekonomi, fidye yazılımı aktörlerini kurbanlarını seçerken daha az fırsatçı, daha yaratıcı ve hedefe yönelik olmaya zorluyor” diyor.
Coveware verileri, üçüncü çeyrekte herhangi bir nedenle fidye ödeyen kurban sayısının fidye yazılımı tarihinde ilk kez dörtte birin altına düştüğünü gösteriyor. Mağdur ödemeyi seçtiğinde daha az ödedi: ortalama 376.941 dolar veya ortalama 140.000 dolar ödeme; bunların her ikisi de ikinci çeyreğe göre değerde üçte ikilik bir düşüşe işaret ediyordu.
Bu düşüşün büyük bir kısmı, büyük şirketlerin bilgisayar korsanlarının çalınan verileri silme vaatlerine yönelik şüphelerinden kaynaklanıyor. Yalnızca veri sızıntısını içeren bir saldırıya yanıt olarak ödenen fidyelerin oranı üçüncü çeyrekte yalnızca %19’a düştü.
Uzmanlar, getirilerin azalması ve bazı büyük oyuncuların sahadan ayrılma kararıyla karşı karşıya kalan fidye yazılımı ekosisteminin önemli ölçüde parçalandığını söylüyor. Siber güvenlik firması ReliaQuest, “Daha küçük fidye yazılımı grupları, daha büyük fidye yazılım gruplarının bıraktığı boşlukları doldurduğundan, benzersiz veri sızdıran sitelerin sayısı üçüncü çeyrekte tüm zamanların en yüksek seviyesi olan 81’e ulaştı” dedi. “Bu parçalanma, Tayland gibi geleneksel olarak hedeflenmeyen sektörleri ve bölgeleri etkileyen, öngörülemeyen saldırı modellerine yol açtı.”
Coveware, Rusça konuşulan Akira ve Qilin de dahil olmak üzere bazı operasyonların, “büyük fidyeleri karşılayamayan ancak bozulması daha kolay olan” orta ölçekli kuruluşları hedeflemeye odaklandığını söyledi.
Kârı artırmaya yönelik diğer yeni stratejiler arasında içerdeki kişileri işe alma veya rüşvet verme girişimlerinde artış, sosyal mühendislik yardım masaları, tedarik zinciri saldırıları başlatma ve geri arama kimlik avı yer alıyor.
2021’de Ryuk fidye yazılımı grubunun öncülüğünü yaptığı geri arama kimlik avı, kurbanları dolandırıcıları kendileri aramaya teşvik ederek savunmalarını kırmayı ve saldırganların gerçek zamanlı müzakereye katılmasına olanak sağlamayı içeriyor. Temmuz ayında yayınlanan bir raporda Cisco Talos, “Bir telefon görüşmesi sırasındaki canlı etkileşim, saldırganların sosyal mühendislik taktikleri kullanarak kurbanın duygularını ve tepkilerini manipüle etmelerine olanak tanıyor” dedi.
Coveware, Silent Ransom grubunun özellikle bu stratejiyi kullandığını, “sigorta ve hukuk firması sektörlerindeki firmaları dar bir şekilde hedef alarak” verilerini çalmaya ve fidye için tutmaya çalıştığını söyledi.
Coveware, fidye yazılımı bilgisayar korsanlarının aynı zamanda içerideki kişilere, özellikle de “büyük ölçekli, yüksek değerli hedeflere”, diğer bir deyişle “beyaz balinalara” sahip olan ve saldırganların ihlal etmesi zor olan çalışanlara rüşvet vermeye başvurduğunu söyledi. Buna göre, “işletmeler, hem yetkisiz veri hırsızlığının azaltılması hem de görünüşe göre tam teşekküllü fidye yazılımı saldırılarının hazırlanması ve yürütülmesi için içeriden tehdit programlarının olgunluğunu yeniden değerlendirmelidir” dedi.
Fidye yazılımı gruplarının yalnızca veri çalmak için değil, aynı zamanda bol miktarda fidye yazılımının serbest bırakılmasına yardımcı olmak için içerideki kişileri yetiştirmeye çalıştığına dair anekdotsal kanıtlar. Scattered Spider ve Shiny Hunters’ın unsurlarından oluşan Batılı kolektif Scattered Lapsus$ Hunters, bu ayın başlarında darknet sitelerinden birinde, kendisiyle çalışmak isteyen büyük Avustralyalı firmaların içerdekileri için bir reklam yayınladı.
Bir BBC muhabiri, Medusa hizmet olarak fidye yazılımı operasyonunun onu işe alma girişimini ayrıntılarıyla anlattı. Grubun “iletişim yöneticisi” şu söz verdi: “BBC’nin size ne kadar ödediğinden emin değiliz ama biz BBC’nin toplam gelirinin %1’ini alırken son müzakerenin %25’ini siz alsanız ne olur? Bir daha çalışmanıza gerek kalmaz.”
Palo Alto Networks’ün Birim 42 tehdit istihbarat grubu, Salesloft kampanyası için Telegram kanallarında, Scattered Lapsus$ Hunters’ın benzer şekilde “kurbanlara e-posta yoluyla şantaj notları göndermeye yardımcı olmak için diğer tehdit aktörlerini de işe almaya çalıştığını, özellikle yöneticilerle iletişim kurmaya odaklandığını” söyledi.
Fidye yazılımı grup üyeleri de diğer sarsılma stratejilerini test ediyor. Clop şantaj grubu, Oracle E-Business Suite kullanıcılarını hedef alan son veri çalma kampanyasında birden fazla kuruluştaki yöneticilere fidye e-postaları gönderdi ve bir vakada 50 milyon dolarlık fidye ödemesi talep etti.
Tehdit istihbarat firması Resecurity, Clop’un veri sızıntısı sitesinde yayınlanan bilgiye göre “E-postalar, ele geçirilen iş e-posta hesaplarından veya yeni kayıtlı hesaplardan gönderildi ancak fidye yazılımı operatörleriyle gerçek iletişim noktaları içeriyordu” dedi.