Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı
Bazı Tanınmış Grupların Ortadan Kaybolmasına Rağmen Fidye Yazılımı Rekabeti Şiddetli Devam Ediyor
Mathew J. Schwartz (euroinfosec) •
15 Ocak 2026
Yeraltı fidye yazılımındaki karışıklık, daha az kurban veya yeni saldırılar başlatmaya hazır dijital gasp grupları anlamına gelmiyor.
Ayrıca bakınız: Sanal Bulut Fidye Yazılımı Masaüstü: Bir Saldırının Tespitinden Kurtarmaya Paketinin Açılması
Aslında tam tersi gerçekleşti: Fidye yazılımı faaliyetlerinde son 12 ayda yapılan bağımsız analizlere göre, daha fazla kurban ve daha fazla siber suçlu grubu kripto kilitleme yazılımını serbest bırakıyor.
RansomLook.io tarafından toplanan bir dizi rakam, 2025 yılında iddia edilen kurbanların sayısının 6.034’ten 8.835’e yükseldiğini, bu da neredeyse %50’lik bir artışa ve çıkış yapan yeni grupların sayısının 59’dan 63’e yükseldiğini gösteriyor. Ransomware.live tarafından toplanan bir diğer grup, mağdurların sayısının %33 artışla 6.129’dan 8.159’a ve yeni grupların sayısının 64’ten 65’e yükseldiğini gösteriyor. Siber güvenlik firması Emisoft, rakamları bir raporda topladı.
Fidye yazılımı izleme istihbaratı, grupların veri sızıntısı sitelerinde listelenen kurbanların sayısının sayılmasından ve ayrıca karanlık web siteleri, siber suç forumları ve Telegram kanallarındaki sohbetlerden elde ediliyor.
Mağdurların ve ilgili grupların sayısındaki artış, bazı tanınmış grupların ortadan kaybolmasına, çabalarının süresiz olarak duraklatılmasına veya operasyonlarına el konulmasına rağmen gerçekleşti. Bunlar arasında Ocak ayında Hunters International, kolluk kuvvetlerinin müdahalesinin ardından Şubat ayında 8Base, Mart ayında FunkSec ve BianLian ve Nisan ayında Babuk-Bjorka ve RansomHub yer aldı. BlackSuit, Temmuz ayında polis operasyonu sayesinde aynı şeyi yaptı.
Emsisoft, “Kolluk kuvvetlerinin çabaları işe yarıyor; büyük grupları parçalıyor, kapanmaya zorluyor ve tepede istikrarsızlık yaratıyor. Ancak bu kesinti daha az kurbana dönüşmedi.” dedi.
Bu dalgalanmaya rağmen bazı ünlü gruplar hayatta ve iyi durumda. Fidye yazılımı istihbarat projelerinin bildirdiğine göre, Qilin geçen yıl 1.000’den fazla kurban, Akira muhtemelen 640 ila 750 kurban ve Cl0p’de 550’ye kadar kurban kaydetti.
Pek çok fidye yazılımı grubu ve bağlı kuruluşları Rusya’dan veya eski Sovyetler Birliği’ndeki diğer güvenli bölgelerden faaliyet gösteriyor. Uzmanlar, geçtiğimiz yıl boyunca bu saldırganların çoğunun kripto kilitleme sistemleriyle hedefleri bozmaya daha az odaklandığını ve daha çok çalıntı verileri gasp amacıyla kullanmaya odaklandığını söylüyor. Bu değişim kolluk kuvvetlerinin radarının altında kalma çabasını yansıtıyor olabilir, çünkü Kremlin bile ara sıra siber suçlarla mücadeleye girişebilir (bkz.: Rusya Fidye Yazılımı Kullanan Suçluları Dizginliyor mu?).
Fidye yazılımı korsanlarının Sovyet sonrası ortamının önemli bir istisnası, The Com olarak bilinen, çoğunlukla ergenlik çağındaki Batılı siber suç topluluğundan ortaya çıkan Scattered Lapsus$ Shiny Hunters’tır. Geçen yıl katılımcılar birçok sektörde büyük aksamalara neden oldu ve İngiliz ekonomisinden bir ısırık aldı.
Buna rağmen fidye yazılımı uzmanı Jen Ellis, “Bunlar hala bir anormallik; tamamen dikkat etmemiz gereken çok önemli bir anormallik, ancak bütünü temsil etmiyorlar” dedi.
Düşüş, Sonra Yükseliş
Guidepoint Security’nin Perşembe günkü raporuna göre, geçen yıl faaliyet gösteren yaklaşık 125 fidye yazılımı grubu, ikinci çeyrekten üçüncü çeyreğe kadar veri sızıntısı sitelerinde kurban sayısında azalma bildirdi. Ancak bu eğilim tutmadı. Kurbanların çoğunluğunun ABD’den gelmeye devam ettiği, “Fidye yazılımı faaliyeti 4. çeyreğin büyük bölümünde yeniden canlandı ve rekor kıran bir yıl rekor sayılarla kapandı.” ifadesine yer verildi.
Guidepoint’in raporuna göre, 2024’te olduğu gibi, grupların sitelerinde listelenen mağdurlar çoğunlukla şu dört sektörden geliyordu: imalat, teknoloji, perakende ve toptan satış ve sağlık hizmetleri. “Bu endüstrilerin, fidye yazılımının ağlar üzerindeki etkilerinden dolayı mali veya operasyonel kayıplara maruz kalma ve kişisel ve diğer sağlık verileri de dahil olmak üzere yüksek değerli veya özellikle hassas verileri tutma olasılıkları daha yüksektir” ve bu da bu kurbanlar üzerinde ödeme yapma baskısını artırıyor.
İzleme grubu ve saldırı hacmi bir uyarı taşıyor: Fidye yazılımı pazarına ilişkin kesin bir tablo mevcut değil. Bazı gruplar yalnızca mağdurlarla doğrudan iletişim kurar ve baskıyı artırmak için veri sızdıran siteleri kullanmaz. Bunu yapanların çoğu yalnızca ödeme yapmayan mağdurların bir alt kümesini listeleyecek.
Siber suç grupları, örneğin halka açık bir firma kadar açık sözlü olsaydı, sektör çapındaki genel tablo şu şekilde olurdu: Fidye yazılımı hala çok kazançlı. Blockchain istihbarat şirketi Chainathesis, 2024’te fidye yazılımı gruplarına akan 814 milyon dolarlık kripto para fidye ödemelerini takip etti. Bu, 2023’teki 1,25 milyar dolardan bir düşüş olsa da, hala önemli.
2025 yılına ait tüm yıl verileri henüz mevcut olmasa da, genel olarak yasa dışı kripto akışları arttı; bu durum büyük ölçüde Rusya gibi ülkelerin yaptırım kaçırmalarına bağlı olarak arttı, ancak aynı zamanda fidye yazılımı operasyonları da dahil olmak üzere “daha ‘geleneksel’ siber suçların hala canlı kaldığını” gösterdi.
Yüz milyonlarca dolar değerinde kolektif kâr hâlâ mümkün olabilir, ancak saldırganların bunu elde etmek için daha çok çalışması gerekiyor. Veeam’in fidye yazılımı müdahale bölümü Coveware, araştırmaya yardımcı olduğu binlerce vakaya dayanarak, üçüncü savaş sırasında herhangi bir nedenle fidye ödeyen kurban hacminin “%23 gibi tarihi bir düşük seviyeye düştüğünü” ve ödenen ortalama fidyede üçte ikilik bir düşüş olduğunu bildirdi (bkz.: Fidye Yazılımı Hackerları Düşen Kârların Ortasında Yeni Taktikler Arıyor).
Uzmanlar, kredinin, olası hedefler açısından gelişmiş siber güvenlik savunmalarına ve dirençliliğe gittiğini ve özellikle birçok suçlunun, çok daha yüksek fidye ödemeleri arayışı içinde, büyük oyun avcılığı olarak adlandırılan, hedeflemeyi tercih ettiği daha büyük kuruluşlarda olduğunu söylüyor.
Diğer faktörler arasında kolluk kuvvetlerinin görevden alınması ve operatörün tükenmişliği yer alıyor. Siber suç uzmanları, bu tür saldırılara karışan kişilerin çoğunun uyuşturucu veya başka sorunlar yaşadığını söylüyor. Psikolojik olarak konuşursak, kişisel istikrar yetersiz olabilir.
Operatörlerin ve grupların en azından bir süreliğine düzenli olarak ortadan kaybolması şaşırtıcı değil. Bu olduğunda diğerleri pazar payları için rekabet ederler. Geçen yıl uzmanlar, belki de kolluk kuvvetlerinin sızmasına ve müdahalesine maruz kalmayı en aza indirmek için tasarlanmış daha küçük grupların sayısında bir artış olduğunu belirtti.
Ancak siber güvenlik firması ReliaQuest’in geçtiğimiz Ekim ayında bildirdiğine göre, kolay zaferlerin sayısı azaldıkça ve daha fazla grup oyundayken, saldırganlar yenilik yapmak için yeni yollar arıyor ve bu da “Tayland gibi geleneksel olarak hedeflenmeyen sektörleri ve bölgeleri etkileyen öngörülemeyen saldırı modelleriyle” sonuçlanıyor. Uzmanlar ayrıca küçük ve orta ölçekli kuruluşlara yönelik fidye yazılımı saldırılarında da artış olduğunu bildirdi.
ReliaQuest’in bir raporuna göre, fidye yazılımı grupları, mağdur müzakereleri için yapay zeka sohbet robotları, mobil yönetim araçları ve bağlı kuruluşları tüm fidye ödemelerinin %85’ine kadar vaat ederek cezbeden operatörler dahil olmak üzere daha otomatik yaklaşımları da benimsiyor.
“Bu otomasyon, gereken teknik uzmanlığı ve zaman taahhüdünü azaltarak, daha az gelişmiş bağlı kuruluşların aynı anda birden fazla kampanyayı yönetmesine olanak tanıyor” dedi.