Fidye yazılımını sadece tekil bir hücum olarak görmek, savunma düzeneklerinin da bu bakış açısıyla şekillenmesine yol açıyor. Halbuki bu tehdit, kolay bir akının ötesinde, kendi dinamikleri olan organize bir operasyon ve giderek büyüyen bir sanayi niteliği taşıyor. Siber güvenlik alanında dünya lideri olan ESET, fidye yazılımının görünen yüzünün ötesine dikkat çekerek değerlendirmelerini paylaştı. Fidye notunda yazmayanlara dikkat çekti.
Dışarıdan bakıldığında fidye yazılımı hücumları, fidye notu bırakılan bir hırsızlık üzere algılanabilir. Saldırgan sisteme sızar, kritik evrakları şifreler ve ödeme talebinde bulunur. Fakat bu, sürecin sırf görünen kısmıdır. Saldırıyı mümkün kılan asıl yapı, art planda işleyen ve birçok vakit göz arkası edilen ögelerden oluşur. Fidye yazılımının ardında; iş gücü ve araç pazarları, abonelik tabanlı hizmetler, tedarikçiler ve iş ortaklarından oluşan, hizmet düzeyi anlaşmalarını andıran ilişkilerle kurulu bir yapı yer alır. Bu yapı, fidye notu ortaya çıkmadan çok evvel akına yer hazırlar. Kuruluşların fidye yazılımı olaylarını ani ve rastlantısal hücumlar olarak değerlendirmesi, savunma stratejilerinin de eksik kalmasına neden olabilir. Halbuki tehdit, yüksek derecede organize, kaynaklı ve tekrarlanabilir bir yapıya sahiptir.
ESET’in tespit bilgileri, 2025’in birinci yarısında yüzde 30’luk bir artışın akabinde, ikinci yarıda fidye yazılımı faaliyetlerinin evvelki altı aya nazaran yüzde 13 arttığını gösteriyor. Verizon’un 2025 Data İhlali Araştırma Raporu (DBIR), fidye yazılımı içeren ihlallerin oranının yüzde 32’den yüzde 44’e yükseldiğini ortaya koyarken ortalama fidye ödemesinin 150 bin dolardan 115 bin dolara gerilediğini gösteriyor. Mandiant’ın tahlilleri ise saldırganların, savunmaları daha az olgun olan daha küçük ölçekli kuruluşlara yöneldiğine işaret ediyor.
Fidye yazılımı operasyonları, ferdî iştirakçilerin yetkinliklerinden bağımsız olarak ölçeklenebilir biçimde tasarlanır. Bu yapı, iştirakçiler ortasındaki itimada ve onları bir ortada tutan teşvik düzeneklerine dayanır. Vakit içinde ferdî saldırganlar, organize kümelere; bu kümeler ise pazar hissesi için rekabet eden, birbirine bağlı uzman ağlarına dönüşmüştür. Klasik dallarda yıllar süren gelişim süreçleri, siber kabahat ekosisteminde çok daha kısa müddette gerçekleşmiştir. Kolluk kuvvetlerinin müdahaleleri belli ölçüde kesinti yaratsa da rekabetçi yapı nedeniyle bir kümenin ortadan kalkması pazarı ortadan kaldırmaz. Tıpkı teşvikler varlığını sürdürdüğü sürece yeni oyuncular ortaya çıkar, mevcut kümeler tekrar yapılanır yahut iş birlikleri geliştirir. Bu dinamik, fidye yazılımı ekosisteminin sürekliliğini sağlar.
Kırmızı Kraliçe’nin yarışı
Siber tehdit ortamı daima değişim hâlinde. Geçmişte yaygın olan evrak şifreleme temelli akınlar, yerini data hırsızlığı ve ifşa tehdidini içeren çift şantaj metotlarına bıraktı. Lakin dönüşüm bununla sonlu değil. Kısa mühlet öncesine kadar neredeyse bilinmeyen kimi teknikler, bugün yaygın halde kullanılıyor. Örneğin, kullanıcıları uydurma kusur iletileriyle kandırarak makus gayeli komutları çalıştırmaya yönlendiren ClickFix yolu hem siber hata kümeleri hem de devlet dayanaklı aktörler tarafından kullanılmaktadır. Bu adaptasyon suratı, bir versiyonunun tabiatta, aslında sonsuza dek devam ettiğini fark ettiğinizde pek de şaşırtan değil. Rekabet içinde olan tipler, yalnızca pozisyonlarını korumak için daima olarak adapte olmak zorunda. Avcılar hızlanır, bu yüzden avlar da hızlanır. Avlar kamuflaj geliştirir, bu yüzden avcılar daha keskin bir görüş geliştirir. Biyoloji buna, Lewis Carroll’un Aynanın İçinden kitabındaki, yalnızca yerinde kalmak için koşmaya devam etmek zorunda olan bir karakterin ismini taşıyan Kırmızı Kraliçe tesiri ismini verir. Siber güvenlikte de emsal bir dinamik kelam konusu: Savunma sistemleri geliştikçe saldırganlar da buna karşılık verir. Bu durumun en somut örneklerinden biri, güvenlik tahlilleri ile bu tahlilleri devre dışı bırakmaya yönelik araçlar ortasındaki rekabette görülür. Uç nokta tespit ve müdahale (EDR) ve genişletilmiş tespit ve müdahale (XDR) tahlilleri, saldırgan faaliyetlerini tespit etmede kritik rol oynarken saldırganlar da bu sistemleri etkisiz hâle getirmeye yönelik araçlar geliştiriyorlar.
ESET araştırmacıları, etkin olarak kullanılan yaklaşık 90 farklı “EDR katili” aracı izliyor. Bunların 54’ü, güvenlik açığı bulunan lakin yasal bir şoförün sisteme yüklenmesi ve bu sayede çekirdek düzeyinde ayrıcalık elde edilmesine dayanan birebir tekniği kullanıyor. “Kendi Güvenlik Açığı Bulunan Sürücünü Getir” (BYOVD) olarak bilinen bu usul, farklı akın araçlarında tekrar tekrar karşımıza çıkıyor. EDR katili araçlar, tıpkı fidye yazılımı ekosisteminin kendisi üzere, nizamlı güncellenen ve abonelik modeliyle sunulan hizmetlerle destekleniyor. Bu araçların seçimi birden fazla vakit direkt saldırıyı gerçekleştiren operatörlerden çok, bağlı kuruluşlar tarafından yapılır. Savunma sistemleri güncellendikçe, bu sistemleri aşmaya yönelik araçlar da tıpkı süratle evrilir. Bu döngü, siber tehdit ortamında Kırmızı Kraliçe tesirinin somut bir yansımasıdır.
Kaynak: (BYZHA) Beyaz Haber Ajansı
