Siber suç , Hizmet olarak siber suç , Dolandırıcılık Yönetimi ve Siber Suç
Özensiz Kodlama Verileri Kurtarılamaz Bıraksa da İnovasyon Devam Ediyor
Mathew J. Schwartz (euroinfosec) •
28 Kasım 2025
Fidye yazılımı grupları, fidye ödeyen yeni kurbanları toplama ve kârları en üst düzeye çıkarma arayışlarında daha fazla yenilik, kararlılık ve planlama sergilemeye devam ediyor. Buna tekrarlanan tedarik zinciri saldırıları, daha sonraki kampanyalarda kullanılacak kimlik bilgilerinin toplanması ve yeni ortaklık programlarının başlatılması da dahildir.
Ayrıca bakınız: İsteğe Bağlı | Kuzey Kore’nin Gizli Bilişim Ordusu ve Bununla Nasıl Mücadele Edilir?
Saldırı hacmi yüksek kalıyor. Siber güvenlik firması Cyble’ın bir raporuna göre, fidye yazılımı gruplarının veri sızıntısı sitelerinde listelenen kurbanların sayısı Eylül’den Ekim’e kadar üçte bir oranında arttı. En çok kurbanı listeleyen gruplar arasında yüksek uçanlar Qilin ve Akira, yalnızca Temmuz ayında ortaya çıkan yeni gelen Sinobi ve güçlü INC Ransom and Play yer alıyordu.
Blockchain istihbarat şirketi Chainaliz, 2023’te 1,25 milyar dolarlık fidye ödemesini takip etti ve 2024’te 814 milyon dolara düştü.
Gruplar bu düşüşü tersine çevirmeye kararlı göründüğü için inovasyon hala yaygın.
Tedarik Zinciri Saldırıları
Bunu yapmak için bazı gruplar ölçek arar. Buna, birçok kuruluştan aynı anda veri çalan ve fidye için tutan tedarik zinciri saldırılarını gerçekleştirmek için yaygın olarak kullanılan yazılımlardaki sıfır gün güvenlik açıklarından defalarca yararlanan Cl0p olarak da bilinen Clop grubu da dahildir.
Yönetilen dosya aktarım yazılımındaki sıfır gün kusurlarını hedef alan bir dizi saldırının ardından grup, verileri çalmak için Oracle E-Business Suite’in 12.2.3 ila 12.2.14 sürümlerine karşı aynı stratejiyi kullandı.
Siber güvenlik firması SOCRadar, Clop’un “her ikisi de temel EBS bileşenlerine doğrulanmamış erişime izin veren” iki sıfır gün güvenlik açığını hedef aldığını ve gruba “kampanyanın ölçeğini açıklayan hızlı ve güvenilir bir giriş noktası” sağladığını söyledi. Oracle, bu kusurların her ikisini de düzelten güncellemeler yayınladı.
Bu kampanyayla bağlantılı veri hırsızlığı Ağustos ayında başlamış gibi görünse de, Clop bunu 29 Eylül’de açıklayana kadar gün ışığına çıkmamıştı (bkz.: Oracle E-Business Suite’e Yönelik Clop Saldırıları Temmuz Ayına Kadar İzleniyor).
SOCRadar, EBS kullanan birçok kuruluşun Ekim ayına kadar açığa çıktığını ve kavram kanıtı saldırı kodunun yayınlanmasının ardından saldırıların yoğunlaştığını söyledi.
Geçen hafta Clop, veri sızıntısı sitesinde, diğerlerinin yanı sıra Broadcom, Canon, Oracle, Mazda, Michelin ve Estée Lauder Şirketlerinin adlarını vererek, fidye ödememiş olan EBS kullandığı iddia edilen kurbanları listelemeye başladı.
Bu tür listelerde genellikle yalnızca ödeme yapmayan mağdurlar yer alır, bu da tam bir resim sunmadıkları anlamına gelir. Raporlar, çoğu zaman saldırganın ilk talebini pazarlıkla karşılasa da, tüm kurbanların yaklaşık dörtte birinin artık fidye ödediğini gösteriyor.
Kimlik Bilgilerini Toplama
Bazı gruplar, verileri hemen çalmak yerine, uç cihazlardan kimlik bilgilerini toplamak için güvenlik açıklarından topluca yararlanıyor ve bunları daha sonra kripto kilitleme kötü amaçlı yazılım kampanyalarının bir parçası olarak kullanıyor.
Bu taktik, Akira ve Fog fidye yazılımı grupları tarafından SonicWall SSL VPN güvenlik duvarlarını hedeflemede kullanılıyor gibi görünüyor.
Güvenlik uzmanları, saldırganların, satıcının Ağustos 2024’te yamaladığı SonicWall SonicOS’teki uygunsuz bir erişim kontrolü güvenlik açığı olan CVE-2024-40766’yı kullanarak kimlik bilgilerini daha önce toplamış göründüklerini söyledi.
Eylül ayında SonicWall, yama uygulamasının tek başına yeterli olmadığı ve saldırganların toplanmış kimlik bilgilerini yeniden kullanmasını engellemek için kuruluşların güncelleme sonrasında kimlik bilgilerini döndürmesi gerektiği yönündeki önceki uyarısını yineledi (bkz: Akira’nın SonicWall Hack’leri Büyük İşletmeleri Yıkıyor).
Yeni Ortaklık Operasyonları
Fidye yazılımının başarısının en büyük nedenlerinden biri, grupların para kazanmasını ve saldırılarını nakde çevirmesini kolaylaştıran kripto para birimidir. Bir diğeri ise hizmet olarak fidye yazılımı iş modelinin yükselişi oldu. Bu, uzmanlaşmaya izin verir: Operatörler kötü amaçlı yazılım geliştirebilir ve kurbanları etkisiz hale getirebilir; buna karşın bağlı iş ortakları, kötü amaçlı yazılım geliştirmek yerine bilgisayar korsanlığına odaklanır ve her ikisi de bunun karşılığını alır.
Bir kurban fidye ödediğinde endüstri standardı, bağlı kuruluşun %70 ila %80’i elinde tutmasıdır.
Son zamanlarda kendisine Dağınık Lapsus$ Avcıları adını veren son derece aktif, çoğunlukla genç siber suç topluluğu için bir yenilik, ShinySp1d3r adlı yeni bir fidye yazılımı çeşidi kullanarak kendi ortaklık programını başlatmak oldu. Ağustos ayında, Scattered Lapsus$ Hunters veya SLSH, kendi RaaS programının yakında başlatılacağını duyurdu ve 19 Kasım’da güvenlik araştırmacıları, halihazırda kullanılmakta olan veya en azından doğada test edilen kripto kilitleme kötü amaçlı yazılımlarının belirgin örneklerini ele geçirdi.
Daha önce, kurucu grupların (Scattered Spider, Lapsus$ ve ShinyHunters) üyeleri, ortaklık programları aracılığıyla elde edilen ALPHV, yani BlackCat’in yanı sıra Qilin, DragonForce ve RansomHub gibi türlerin kullanımına bağlıydı.
Siber güvenlik firması ZeroFox, ShinySp1d3r’ün piyasaya sürülmesinin “büyük olasılıkla platform sağlayıcılarla fidye paylaşımını ortadan kaldırarak karı artırma çabası” olduğunu söyledi. Grup aynı zamanda kendi bağlı kuruluşlarını da işe alarak kârını artırabilir.
ZeroFox, tasarlandığı gibi, “bir ağdaki diğer cihazlara yayılma, kötü amaçlı yazılım çalıştırmak için kendi hizmetini oluşturma, ardından kötü amaçlı yazılımı başlatma ve son olarak bir başlangıç komut dosyası oluşturma yeteneği” dahil olmak üzere daha önce hiç görülmemiş bazı yetenekler içeriyor, dedi ZeroFox.
Kötü amaçlı yazılımın iyi çalışıp çalışmadığı henüz bilinmiyor. Tehdit istihbarat firması Kela’nın Mart ayında bildirdiğine göre, ShinySp1d3r fidye yazılımının yönetiminden sorumlu Scattered Lapsus$ Hunters üyesi “Rey”, daha önce Hellcat fidye yazılımı operasyonuna ve BreachForums’a ilk kez “Hikki-Chan” adını kullanarak katılmıştı. Kela, Rey’in Ürdün uyruklu Saif Khader adlı gerçek kimliğini ortaya çıkardı ve bu bilgiyi kolluk kuvvetleriyle paylaştı, ancak siber güvenlik gazetecisi Brian Krebs’in 15 yaşındaki çocuğun adını kamuoyuna bildirmesinin ardından Çarşamba gününe kadar kamuoyuna açıklamadı.
Khader, Krebs’e ShinySp1d3r’nin Hellcat fidye yazılımının yapay zeka araçları kullanılarak güncellenen bir versiyonu olduğunu söyledi. “Temel olarak Hellcat fidye yazılımının kaynak kodunu verdim” dedi.
İnovasyon Başarısız Olduğunda
Hellcat’in bu sözde yapay zeka destekli versiyonunun amaçlandığı gibi çalışıp çalışmadığı henüz bilinmiyor. Fidye yazılımı gruplarının karşılaştığı tekrarlanan sorunlardan biri, kurbanın verilerini silmeden önce düzgün bir şekilde şifrelemeyen, özensizce kodlanmış kripto kilitleme kötü amaçlı yazılımlarına sahip olmaktır; bu, geriye kalanların kalıcı olarak bozulduğu ve bir şifre çözücüyle bile kurtarılamayacağı anlamına gelir.
Yakın zamanda keşfedilen Obscura adlı fidye yazılımı çeşidinde de durum böyledir.
Obscura’nın zayıf kodlaması nedeniyle, “şifrelenmiş geçici anahtarı dosyanın altbilgisine yazamıyor”, bu da bir sorun haline geliyor çünkü “1 gigabaytın üzerindeki dosyalar için bu altbilgi hiçbir zaman yaratılmıyor – bu da şifre çözme için gereken anahtarın kaybolduğu anlamına geliyor,” diye bildirdi fidye yazılımı olay müdahale firması Coveware.
Bu gerçek, kurban fidye ödedikten sonra gün ışığına çıkmayabilir, özellikle de kurbanın bunun mümkün olduğunu kanıtlamak için şifrenin çözülmesi için saldırgana şifrelenmiş bir dosya gönderdiği bir “yaşam kanıtı” testi yapılırsa. Coveware, “Sorun şu ki, bu örnekler neredeyse hiçbir zaman büyük dosyalar içermiyor ve büyük dosyalar, fidye yazılımı kodundaki kusurlardan en çok zarar gören dosyalardır.” dedi.