Büyük dil modelleri, fidye yazılımı operasyonlarını temel olarak dönüştürmüyor. Ancak hız, hacim ve çok dilli yeteneklerde ölçülebilir kazanımlar sağlayarak tehdit ortamını önemli ölçüde hızlandırıyorlar.
SentinelLABS araştırmasına göre, rakipler keşif, kimlik avı, araç yardımı, veri önceliklendirme ve fidye müzakerelerinde LLM’lerden yararlanıyor ve savunucuların anında uyum sağlamasını gerektiren daha hızlı, daha gürültülü bir tehdit ortamı yaratıyor.
Hızlanma ve dönüşüm arasındaki ayrım kritiktir. LLM’lerin fidye yazılımı operasyonlarını inkar edilemez bir şekilde etkilemesine rağmen, tehdit istihbaratı topluluğunun saldırganların bu araçları nasıl entegre ettiğine dair anlayışı sınırlı kalıyor ve bu da izole vakaların devrim niteliğinde değişiklikler olarak yorumlanmasını kolaylaştırıyor.
SentinelLABS’ın analizi, LLM’lerin çığır açan yeteneklerden ziyade operasyonel ivmeyi temsil ettiğini ortaya koyuyor. Fidye yazılımı operatörleri, yasal kuruluşların günlük olarak kullandığı LLM iş akışlarının aynısını benimsiyor ve bunları suç amacıyla yeniden kullanıyor.
Kimlik avı kampanyaları artık kurban kuruluşlara özel olarak hazırlanmış, kendi ana dillerinde ve kurumsal üslupla yazılmış, yapay zeka tarafından oluşturulan içerikten yararlanıyor.
Operatörler, daha önce İngilizce konuşmayan aktörleri kör eden dil engellerini aşarak hassas belgeleri tanımlama konusunda modellere talimat verebildiğinden, veri önceliklendirmesi katlanarak daha verimli hale geldi.
Rusça konuşan bir operatör, artık “Fatura” (Türkçe fatura) veya “Rechnung”un (Almanca fatura) bir zamanlar hedefleme hassasiyetini sınırlayan kör noktaları ortadan kaldıran mali açıdan hassas bilgiler içerdiğini fark edebilir.
Paralel Olarak Hızlanan Üç Yapısal Değişim
SentinelLABS, fidye yazılımı ekosistemini yeniden şekillendiren üç eşzamanlı yapısal dönüşümü tespit ediyor.
Birincisi, giriş engelleri düşmeye devam ediyor. Düşük ila orta düzeyde beceriye sahip aktörler, artık kötü amaçlı görevleri, sağlayıcının korkuluklarını atlayan görünüşte zararsız istemlere ayrıştırarak, işlevsel bir hizmet olarak fidye yazılımı altyapısını bir araya getiriyor.
İkincisi, LockBit ve Conti gibi mega markalı kartellerin dönemi sona erdi, yerini Termite, Punisher, The Gentlemen, Obscura’nın radarı altında faaliyet gösteren ve marka sahtekarlığı ve atıfları karmaşıklaştıran yanlış iddialar altında çalışan küçük ekiplerin çoğalmasıyla geçti.
Üçüncüsü, fidye yazılımı bağlı kuruluşları ve kültürel motivasyona sahip gruplar bağlı kuruluş ekosistemlerini satın alırken, devlet yanlısı aktörler ay ışığına çıktıkça, APT grubu ile suç yazılımı arasındaki çizgi bulanıklaşıyor.
Bu değişimler, LLM’nin yaygın olarak kullanıma sunulmasından önce başlamış olsa da, yapay zeka etkisi altında eş zamanlı olarak hızlanıyor.
2025’in ortalarında Global Group RaaS, “Yapay Zeka Destekli Sohbet”in reklamını yapmaya başladı. Bu özellik, mağdur şirketlerden elde edilen gelir ve geçmiş kamu davranışları da dahil olmak üzere verileri analiz ettiğini ve ardından iletişimi bu analiz etrafında şekillendirdiğini iddia ediyor.
Üst düzey tehdit aktörleri, sağlayıcıların korkuluklarından kaçınmak için giderek daha fazla kendi kendine barındırılan, açık kaynaklı Ollama modellerine yöneliyor.
Bu yerel olarak konuşlandırılan çözümler, ticari LLM’lere göre daha fazla kontrol, minimum telemetri ve daha az koruma sunar.
Erken dönem kavram kanıtı Yüksek Lisans (LLM) özellikli fidye yazılımı araçları hantal olmaya devam ediyor, ancak gidişat açık: optimize edildikten sonra, kendi kendine barındırılan modeller ileri düzey ekipler için varsayılan haline gelecek.
Benimseme hızlandıkça ve modeller saldırı amaçları için ince ayar yapıldıkça, savunucular özelleştirilmiş, düşman kontrollü sistemlerden kaynaklanan suiistimalleri tespit etme ve engelleme konusunda giderek artan zorluklarla karşılaşacak.
Gerçek Dünya Sömürüsü
Son kampanyalar pratik LLM dağıtımını göstermektedir. Ağustos 2025’te, Anthropic’in Tehdit İstihbaratı ekibi, tek bir düzenlenmiş iş akışında keşif, veri değerlendirme, fidye hesaplama ve fidye notu düzenlemeyi otomatikleştiren yüksek düzeyde özerk gasp kampanyaları gerçekleştirmek için Claude Code kullanan bir aktörün raporunu bildirdi.
Benzer şekilde, Google Tehdit İstihbaratı, veri sızdırmayı geliştirmek için yerel olarak yüklenen yapay zeka araçlarını silah haline getiren, kripto para birimi cüzdanları ve hassas kimlik bilgileri genelinde akıllı dosya keşfi için doğal dil anlayışından yararlanan QUIETVAULT hırsız kötü amaçlı yazılımını tespit etti.
LLM’nin yaygın olması, daha parlak hedef seçimi, özel talepler ve platformlar arası ticaret ile şantajın endüstrileşmesini sağlıyor.
Risk, süper akıllı kötü amaçlı yazılım değil, geniş ölçekte operasyonel açıdan verimli gasptır. Savunmacılar, zorluğu yeni yeteneklerin değil operasyonel temponun tanımladığı daha hızlı, daha gürültülü bir tehdit ortamına uyum sağlayarak hız, erişim ve hassasiyette giderek artan ancak hızlı verimlilik kazanımları elde eden rakiplerine hazırlıklı olmalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.