Kaspersky, 12 Mayıs Uluslararası Fidye Yazılımıyla Mücadele Günü vesilesiyle yayımladığı raporla, 2025 yılına damga vuran fidye yazılımı trendlerini değerlendirirken, 2026’daki tehdit ortamına dair kritik öngörülerini kamuoyuyla paylaştı.
Kaspersky Security Network verilerine göre, 2025 yılında fidye yazılımı saldırılarının kurumsal düzeyde en yoğun görüldüğü bölge %8,13 ile Latin Amerika oldu. Bu bölgeyi sırasıyla Asya-Pasifik (%7,89), Afrika (%7,62), Orta Doğu (%7,27), Bağımsız Devletler Topluluğu (BDT, %5,91) ve Avrupa (%3,82) takip etti. Raporda; “şifreleme içermeyen” (encryption-less) şantaj odaklı saldırılardaki artış, fidye yazılımı gruplarının kuantum sonrası kriptografi (post-quantum cryptography) kullanımı ve siber suçluların ele geçirilen veri setleri ile kimlik bilgilerini yaymak için Telegram kanallarını sistematik bir şekilde kullanmaya devam etmesi öne çıkan başlıklar arasında yer alıyor.
2025 yılında fidye yazılımı saldırılarına maruz kalan kuruluşların genel oranında 2024’e kıyasla hafif bir düşüş görülse de, saldırganların operasyonlarını endüstriyel ölçekte organize etmesi, sızma yöntemlerini otomatikleştirmesi ve sistemleri şifrelemek yerine hassas verileri çalıp sızdırmaya daha fazla odaklanması nedeniyle kullanıcılar açısından risk yüksek seviyesini koruyor.
2025’in öne çıkan eğilimlerinden biri de, uç nokta güvenlik çözümlerini devre dışı bırakmak amacıyla tasarlanan EDR “killer” araçlarının kullanımındaki artış oldu. Saldırganlar, kötü amaçlı yazılımı çalıştırmadan önce güvenlik çözümlerini etkisiz hale getiren bu araçları artık saldırıların standart bir parçası olarak kullanıyor. Bu durum, saldırıların daha planlı ve sistematik hale geldiğini gösteriyor.
Araştırmacılar ayrıca, bazı fidye yazılımı ailelerinin post-kuantum kriptografi standartlarını benimsemeye başladığını tespit etti. Kaspersky’nin daha önce öngördüğü bu gelişme, gelecekte kuantum bilgisayarlar tarafından çözümlenmesi zor olabilecek şifreleme yöntemlerine doğru kaygı verici bir geçişe işaret ediyor.
Yeraltı forumları ve mesajlaşma platformları üzerinden önceden ele geçirilmiş kurumsal erişimleri satan siber suç aracıları olarak bilinen Initial Access Broker’ların (IAB) rolü de giderek büyüyor. Uzaktan cihaz yönetimine imkan tanıyan RDWeb portalları, fidye yazılımı gruplarının “Access-as-a-Service” modeliyle saldırıları endüstriyel ölçekte yürütmeye devam etmesi nedeniyle daha fazla hedef alınıyor. Bu durum, fidye yazılımı saldırıları gerçekleştirme eşiğini düşürüyor.
Telegram kanalları ve dark web forumları, fidye yazılımı saldırıları sonucunda ele geçirilenler de dahil olmak üzere, çalınmış veri setleri ve erişim bilgilerinin dağıtımı ile satışı için kullanılmaya devam ediyor. Tehdit aktörlerinin fidye yazılımı hizmetlerini tanıttığı ve hizmet güncellemeleri paylaştığı büyük yeraltı forumlarından biri olan RAMP, Ocak 2026’da yetkililer tarafından kapatıldı. Sızdırılmış ve ele geçirilmiş verilerin paylaşıldığı bir diğer yeraltı forumu LeakBase ise Mart 2026’da operasyon dışı bırakıldı. Ancak kolluk kuvvetleri dark web platformları ve veri sızıntısı sitelerine yönelik operasyonlarını sürdürse de, benzer platformların zaman içinde yeniden ortaya çıkabileceği belirtiliyor.
Fidye yazılımı saldırılarında öne çıkan aktörler
Kaspersky, veri sızıntısı sitelerine dayanan analizinde, RansomHub operasyonlarının çökertilmesinin ardından Qilin’i 2025’in en baskın “hizmet olarak fidye yazılımı” (RaaS) operatörü olarak belirledi. Clop en aktif ikinci grup olurken, Akira üçüncü sırada yer aldı.
2025 yılında birçok büyük fidye yazılımı grubunun faaliyetlerini sonlandırmasına rağmen, yeni aktörler ortaya çıkmaya devam ediyor. 2026’ya bakıldığında ise hızlı büyümesi, organize yapısı ve veri odaklı şantaj yöntemlerine artan ilgisi nedeniyle Gentlemen grubu en dikkat çekici yeni tehdit aktörlerinden biri olarak öne çıkıyor. Grubun, geçmişte diğer büyük fidye yazılımı operasyonlarında yer almış saldırganları da içerdiği değerlendiriliyor. Gentlemen, fidye yazılımı ekosistemindeki daha geniş dönüşümün de bir örneğini oluşturuyor. Bu dönüşüm, yüksek gürültü yaratan kaotik saldırılardan; hassas verilerin çalınmasına, itibar kaybı ve regülasyon baskısı üzerinden şantaja dayalı, ölçeklenebilir ve iş modeli gibi çalışan operasyonlara geçişi ifade ediyor.
Kaspersky GReAT Baş Güvenlik Araştırmacısı Fabio Assolini şunları söyledi: “Fidye yazılımları, çalınan veriler üzerinden gelir elde etmeye, savunma mekanizmalarını devre dışı bırakmaya ve saldırıları kurumsal bir verimlilikle ölçeklendirmeye odaklanan son derece organize bir ekosisteme dönüştü. Tehdit aktörleri; meşru araçları kötüye kullanma, uzaktan erişim altyapılarını istismar etme ve hatta post-kuantum kriptografiyi beklenenden çok daha erken benimseme konusunda hızla adapte oluyor. Fidye Yazılımıyla Mücadele Günü’nün amacı, fidye yazılımlarının oluşturduğu tehditlere yönelik küresel farkındalığı artırmak ve önleme ile müdahale konusunda en iyi uygulamaları teşvik etmektir. Bu nedenle tüm kullanıcıları katmanlı savunma stratejileri oluşturmaya, yedekleme yatırımlarını artırmaya ve siber okuryazarlık seviyelerini güçlendirmeye davet ediyoruz.”
Kaspersky, fidye yazılımı tehdidine karşı kurumların aşağıdaki adımları izlemesini tavsiye ediyor:
- Enable ransomware protection for all endpoints. There is a free Kaspersky Anti-Ransomware Tool for Business that shields computers and servers from ransomware and other types of malware, prevents exploits and is compatible with already installed security solutions.
- Always keep software updated on all the devices you use to prevent attackers from exploiting vulnerabilities and infiltrating your network.
- Focus your defense strategy on detecting lateral movements and data exfiltration to the internet. Pay special attention to outgoing traffic to detect cybercriminals’ connections to your network. Set up offline backups that intruders cannot tamper with. Make sure you can access them quickly when needed or in an emergency.
- Companies from non-industrial sector can protect themselves by installing anti-APT and EDR solutions that enable capabilities for advanced threat discovery and detection, investigation and timely remediation of incidents. Organizations can also provide their SOC teams with access to the latest threat intelligence and regularly upskill them with professional training. All of the above is available within Kaspersky Next.
- Tüm uç noktalarda fidye yazılımı korumasını etkinleştirin. Anti-Ransomware Tool Business çözümü; bilgisayarları ve sunucuları fidye yazılımlarına ve diğer kötü amaçlı yazılımlara karşı korurken, exploit girişimlerini engelliyor ve mevcut güvenlik çözümleriyle uyumlu çalışıyor.
- Saldırganların güvenlik açıklarından faydalanarak ağınıza sızmasını önlemek için kullandığınız tüm cihazlardaki yazılımları güncel tutun.
- Savunma stratejinizi, ağ içerisindeki yatay hareketlerin ve internet üzerinden veri sızdırma girişimlerinin tespitine odaklayın. Siber suçluların ağınıza yönelik bağlantılarını belirlemek için özellikle giden trafiği dikkatle izleyin. Saldırganların müdahale edemeyeceği çevrimdışı yedeklemeler oluşturun ve ihtiyaç anında hızlı erişim sağlayabildiğinizden emin olun.
- Endüstriyel faaliyet göstermeyen şirketler; gelişmiş tehdit keşfi, tespiti, olay inceleme ve hızlı müdahale yetenekleri sunan anti-APT ve EDR çözümleri kullanarak kendilerini koruyabilir. Kuruluşlar ayrıca SOC ekiplerine güncel tehdit istihbaratı erişimi sağlayabilir ve profesyonel eğitimlerle ekiplerin yetkinliklerini düzenli olarak geliştirebilir. Bu çözümlerin tamamı Kaspersky Next kapsamında sunuluyor.
Kaynak: (BYZHA) Beyaz Haber Ajansı