Kaspersky, fidye yazılımı trendleri ve akın taktiklerine ait öngörülerini paylaştı

Kaspersky, 12 Mayıs Milletlerarası Fidye Yazılımıyla Çaba Günü vesilesiyle yayımladığı raporla, 2025 yılına damga vuran fidye yazılımı trendlerini değerlendirirken, 2026’daki tehdit ortamına dair kritik öngörülerini kamuoyuyla paylaştı.

Kaspersky Security Network bilgilerine nazaran, 2025 yılında fidye yazılımı taarruzlarının kurumsal seviyede en ağır görüldüğü bölge %8,13 ile Latin Amerika oldu. Bu bölgeyi sırasıyla Asya-Pasifik (%7,89), Afrika (%7,62), Orta Doğu (%7,27), Bağımsız Devletler Topluluğu (BDT, %5,91) ve Avrupa (%3,82) takip etti. Raporda; “şifreleme içermeyen” (encryption-less) şantaj odaklı ataklardaki artış, fidye yazılımı kümelerinin kuantum sonrası kriptografi (post-quantum cryptography) kullanımı ve siber hatalıların ele geçirilen data setleri ile kimlik bilgilerini yaymak için Telegram kanallarını sistematik bir biçimde kullanmaya devam etmesi öne çıkan başlıklar ortasında yer alıyor.

2025 yılında fidye yazılımı hücumlarına maruz kalan kuruluşların genel oranında 2024’e kıyasla hafif bir düşüş görülse de, saldırganların operasyonlarını endüstriyel ölçekte organize etmesi, sızma usullerini otomatikleştirmesi ve sistemleri şifrelemek yerine hassas bilgileri çalıp sızdırmaya daha fazla odaklanması nedeniyle kullanıcılar açısından risk yüksek düzeyini koruyor.

2025’in öne çıkan eğilimlerinden biri de, uç nokta güvenlik tahlillerini devre dışı bırakmak hedefiyle tasarlanan EDR “killer” araçlarının kullanımındaki artış oldu. Saldırganlar, makûs hedefli yazılımı çalıştırmadan evvel güvenlik tahlillerini etkisiz hale getiren bu araçları artık atakların standart bir modülü olarak kullanıyor. Bu durum, atakların daha planlı ve sistematik hale geldiğini gösteriyor.

Araştırmacılar ayrıyeten, birtakım fidye yazılımı ailelerinin post-kuantum kriptografi standartlarını benimsemeye başladığını tespit etti. Kaspersky’nin daha evvel öngördüğü bu gelişme, gelecekte kuantum bilgisayarlar tarafından çözümlenmesi sıkıntı olabilecek şifreleme metotlarına yanlışsız dert verici bir geçişe işaret ediyor.

Yeraltı forumları ve iletileşme platformları üzerinden evvelce ele geçirilmiş kurumsal erişimleri satan siber cürüm aracıları olarak bilinen Initial Access Broker’ların (IAB) rolü de giderek büyüyor. Uzaktan aygıt idaresine imkan tanıyan RDWeb portalları, fidye yazılımı kümelerinin “Access-as-a-Service” modeliyle taarruzları endüstriyel ölçekte yürütmeye devam etmesi nedeniyle daha fazla gaye alınıyor. Bu durum, fidye yazılımı akınları gerçekleştirme eşiğini düşürüyor.

Telegram kanalları ve dark web forumları, fidye yazılımı akınları sonucunda ele geçirilenler de dahil olmak üzere, çalınmış bilgi setleri ve erişim bilgilerinin dağıtımı ile satışı için kullanılmaya devam ediyor. Tehdit aktörlerinin fidye yazılımı hizmetlerini tanıttığı ve hizmet güncellemeleri paylaştığı büyük yeraltı forumlarından biri olan RAMP, Ocak 2026’da yetkililer tarafından kapatıldı. Sızdırılmış ve ele geçirilmiş bilgilerin paylaşıldığı bir öteki yeraltı forumu LeakBase ise Mart 2026’da operasyon dışı bırakıldı. Lakin kolluk kuvvetleri dark web platformları ve data sızıntısı sitelerine yönelik operasyonlarını sürdürse de, misal platformların vakit içinde tekrar ortaya çıkabileceği belirtiliyor.

Fidye yazılımı taarruzlarında öne çıkan aktörler

Kaspersky, data sızıntısı sitelerine dayanan tahlilinde, RansomHub operasyonlarının çökertilmesinin akabinde Qilin’i 2025’in en baskın “hizmet olarak fidye yazılımı” (RaaS) operatörü olarak belirledi. Clop en etkin ikinci küme olurken, Akira üçüncü sırada yer aldı.

2025 yılında birçok büyük fidye yazılımı kümesinin faaliyetlerini sonlandırmasına karşın, yeni aktörler ortaya çıkmaya devam ediyor. 2026’ya bakıldığında ise süratli büyümesi, organize yapısı ve bilgi odaklı şantaj formüllerine artan ilgisi nedeniyle Gentlemen kümesi en dikkat cazibeli yeni tehdit aktörlerinden biri olarak öne çıkıyor. Kümenin, geçmişte öteki büyük fidye yazılımı operasyonlarında yer almış saldırganları da içerdiği bedellendiriliyor. Gentlemen, fidye yazılımı ekosistemindeki daha geniş dönüşümün de bir örneğini oluşturuyor. Bu dönüşüm, yüksek gürültü yaratan kaotik akınlardan; hassas dataların çalınmasına, prestij kaybı ve regülasyon baskısı üzerinden şantaja dayalı, ölçeklenebilir ve iş modeli üzere çalışan operasyonlara geçişi tabir ediyor.

Kaspersky GReAT Baş Güvenlik Araştırmacısı Fabio Assolini şunları söyledi: “Fidye yazılımları, çalınan bilgiler üzerinden gelir elde etmeye, savunma sistemlerini devre dışı bırakmaya ve hücumları kurumsal bir verimlilikle ölçeklendirmeye odaklanan son derece organize bir ekosisteme dönüştü. Tehdit aktörleri; yasal araçları berbata kullanma, uzaktan erişim altyapılarını istismar etme ve hatta post-kuantum kriptografiyi beklenenden çok daha erken benimseme konusunda süratle adapte oluyor. Fidye Yazılımıyla Uğraş Günü’nün emeli, fidye yazılımlarının oluşturduğu tehditlere yönelik global farkındalığı artırmak ve tedbire ile müdahale konusunda en uygun uygulamaları teşvik etmektir. Bu nedenle tüm kullanıcıları katmanlı savunma stratejileri oluşturmaya, yedekleme yatırımlarını artırmaya ve siber okuryazarlık düzeylerini güçlendirmeye davet ediyoruz.”

Kaspersky, fidye yazılımı tehdidine karşı kurumların aşağıdaki adımları izlemesini tavsiye ediyor:

• Enable ransomware protection for all endpoints. There is a free Kaspersky Anti-Ransomware Tool for Business that shields computers and servers from ransomware and other types of malware, prevents exploits and is compatible with already installed security solutions.
• Always keep software updated on all the devices you use to prevent attackers from exploiting vulnerabilities and infiltrating your network.
• Focus your defense strategy on detecting lateral movements and veri exfiltration to the internet. Hisse special attention to outgoing traffic to detect cybercriminals’ connections to your network. Set up offline backups that intruders cannot tamper with. Make müddet you can access them quickly when needed or in an emergency.
• Companies from non-industrial sector can protect themselves by installing anti-APT and EDR solutions that enable capabilities for advanced threat discovery and detection, investigation and timely remediation of incidents. Organizations can also provide their SOC teams with access to the latest threat intelligence and regularly upskill them with professional training. All of the above is available within Kaspersky Next.
• Tüm uç noktalarda fidye yazılımı muhafazasını aktifleştirin. Anti-Ransomware Tool  Business tahlili; bilgisayarları ve sunucuları fidye yazılımlarına ve başka makus hedefli yazılımlara karşı korurken, exploit teşebbüslerini engelliyor ve mevcut güvenlik tahlilleriyle uyumlu çalışıyor.
• Saldırganların güvenlik açıklarından faydalanarak ağınıza sızmasını önlemek için kullandığınız tüm aygıtlardaki yazılımları aktüel tutun.
• Savunma stratejinizi, ağ içerisindeki yatay hareketlerin ve internet üzerinden bilgi sızdırma teşebbüslerinin tespitine odaklayın. Siber hatalıların ağınıza yönelik temaslarını belirlemek için bilhassa giden trafiği dikkatle izleyin. Saldırganların müdahale edemeyeceği çevrimdışı yedeklemeler oluşturun ve muhtaçlık anında süratli erişim sağlayabildiğinizden emin olun.
• Endüstriyel faaliyet göstermeyen şirketler; gelişmiş tehdit keşfi, tespiti, olay inceleme ve süratli müdahale yetenekleri sunan anti-APT ve EDR tahlilleri kullanarak kendilerini koruyabilir. Kuruluşlar ayrıyeten SOC takımlarına güncel tehdit istihbaratı erişimi sağlayabilir ve profesyonel eğitimlerle ekiplerin yetkinliklerini tertipli olarak geliştirebilir. Bu tahlillerin tamamı Kaspersky Next kapsamında sunuluyor.

Kaynak: (BYZHA) Beyaz Haber Ajansı