Siber Güvenlik, Tehdit Analizi

Fidye Yazılım Ekosisteminde Parçalanma Derinleşiyor: LockBit 5.0 ile Yeniden Merkezileşme İhtimali

Kasım 14, 2025Kasım 14, 2025Tarafından Cybernews.TR
12
Fidye Yazılım Ekosisteminde Parçalanma Derinleşiyor: LockBit 5.0 ile Yeniden Merkezileşme İhtimali

2025 yılının üçüncü çeyreğinde, fidye yazılımı ve şantaj gruplarının sayısı 85’e ulaşarak şimdiye kadarki en yüksek ve en merkeziyetsiz ekosistemi oluşturdu. Check Point Research tarafından kaydedilen bu veriler, fidye yazılımı dünyasında büyük RaaS (Ransomware-as-a-Service) oyuncularının yerini onlarca küçük, kısa ömürlü ve bağımsız operasyona bıraktığını gösteriyor. Bu durum, MCP istemcisi ve Pydantic AI gibi gelişmiş otomasyon araçlarının yaygınlaşmasıyla birlikte, saldırganların altyapılarını hızla değiştirmelerine ve yeni varyantlar üretmelerine olanak tanıyor.

85 Aktif Grup ve 1.590 Kurban

Üçüncü çeyrekte izlenen 85 aktif fidye yazılımı grubunun sızıntı sitelerinde toplam 1.590’dan fazla kurban bilgisi yayınlandı. Ayda ortalama 535 yeni kurban açıklaması yapılırken, ilk 10 grubun sorumluluğundaki kurban oranı %56’ya geriledi. Bu da daha küçük ekiplerin ve bağımsız bağlı kuruluşların artışını işaret ediyor. Bu grupların birçoğu, RansomHub, 8Base ve BianLian gibi büyük platformların çöküşünden sonra ortaya çıktı. Üstelik sadece bu çeyrekte 14 yeni fidye yazılımı markası piyasaya sürüldü, bu da bağlı kuruluşların kapatmalardan sonra ne kadar hızlı yeniden yapılandığını gösteriyor.

Kolluk Kuvvetlerinin Etkisi ve Yapısal Sorunlar

Kolluk kuvvetlerinin RansomHub ve 8Base gibi büyük gruplara yönelik operasyonları, fidye yazılımı hacminde anlamlı bir azalma yaratmadı. Altyapı ve alan adı ele geçirmeleri, saldırganların bağlı kuruluşlarını dağıtmakta yetersiz kalıyor. Operatörler, kapatılan platformlardan günler içinde dağılır ve farklı isimlerle veya kolektif yapılarla yeniden ortaya çıkıyor. Bu durum, konteyner tabanlı altyapıların rastgele SSH portları üzerinden yönetilmesi ve AsyncRAT benzeri uzaktan erişim araçlarının kullanılmasıyla saldırganların dayanıklılığını artırıyor. Ayrıca, fidye yazılımı ekosistemi açık kaynak topluluklarına benzer şekilde daha geniş ve dirençli bir yapıya evriliyor.

LockBit 5.0 ile Yeniden Merkezileşme Sinyalleri

Eylül 2025’te LockBit 5.0 sürümüyle geri döndü. LockBitSupp adlı yöneticinin liderliğinde geliştirilen bu yeni sürüm, Windows, Linux ve ESXi varyantlarında daha hızlı şifreleme ve gelişmiş kaçınma teknikleri sunuyor. Her kurban için benzersiz müzakere portalları oluşturulması, saldırıların kişiselleştirilmesini sağlıyor. İlk ayda en az 12 kurban hedef alınması, bağlı kuruluşların LockBit’e olan güveninin ve teknik olgunluğunun arttığını gösteriyor. Bu gelişme, fidye yazılımı ekonomisinin önemli bir bölümünde yeniden merkezileşme potansiyelini ortaya koyuyor. Merkezi yapı, saldırıların takibini kolaylaştırırken, aynı zamanda büyük çaplı ve koordineli kampanyaların da önünü açıyor.

DragonForce ve Marka Stratejileri

DragonForce grubu ise farklı bir hayatta kalma stratejisi benimsiyor: markalaşma ve görünürlük. Eylül ayında LockBit ve Qilin ile sembolik koalisyonlar kurduklarını açıkladılar. Grup, bağlı kuruluş ortaklık duyuruları, veri denetim hizmetleri ve halkla ilişkiler faaliyetleriyle rekabetçi pazarda güç ve güvenilirlik algısını artırmaya çalışıyor. Bu yaklaşım, fidye yazılımı operasyonlarının artık sadece teknik değil, aynı zamanda kurumsal pazarlama stratejileriyle de şekillendiğini gösteriyor.

Coğrafi ve Sektörel Hedeflemeler

2025 üçüncü çeyrekte ABD, rapor edilen kurbanların yaklaşık yarısını oluşturdu ve finans sektörü en çok hedeflenen alan olmaya devam etti. Güney Kore ise ilk kez küresel ilk ona girdi; bu yükseliş, Qilin grubunun finans firmalarına yönelik kampanyalarına bağlanıyor. Avrupa’da ise Almanya ve Birleşik Krallık’ta Safepay ve INC Ransom gibi gruplar yoğun baskı altında. Sektörel olarak, üretim ve iş hizmetleri vakaların %10’unu oluştururken, sağlık sektörü %8 ile sabit kaldı. Bazı gruplar, incelemeyi azaltmak için sağlık sektöründen kaçınıyor.

Teknik Derinlik ve Gelecek Perspektifi

Fidye yazılımı saldırılarında kullanılan altyapılar giderek daha sofistike hale geliyor. Örneğin, saldırganlar konteyner tabanlı dağıtımlarda rastgele SSH portları kullanarak tespit edilme riskini azaltıyor. MCP istemcisi gibi otomasyon araçları, saldırıların ölçeklenmesini ve yönetimini kolaylaştırıyor. Pydantic AI destekli analizler, fidye yazılımı davranışlarının modellenmesinde kullanılıyor. Ayrıca, AsyncRAT ve benzeri uzaktan erişim trojanları, saldırganların hedef sistemlerde kalıcılık sağlamasında kritik rol oynuyor.

Fidye yazılımı ekosisteminin bu yapısal dayanıklılığı, kolluk kuvvetlerinin ve piyasa baskılarının toplam hacmi azaltmakta yetersiz kaldığını gösteriyor. Her kapatma, aktörlerin farklı isimlerle veya yeni kolektiflere katılarak hızla geri dönmesine neden oluyor. LockBit’in dönüşü, yeni bir konsolidasyon döngüsünün başlangıcı olabilir. Bu durum, fidye yazılımı tehdit ortamının hem izlenmesini kolaylaştıracak hem de büyük ölçekli koordineli saldırıların artmasına zemin hazırlayacak.

Siber güvenlik uzmanları için önemli çıkarım, sadece büyük markaları takip etmekle yetinmemek gerektiği. Bağlı kuruluş hareketliliği, altyapı örtüşmeleri ve ekonomik teşvikler gibi dinamiklerin izlenmesi, fidye yazılımı tehditlerinin temel güçlerini anlamak için kritik önem taşıyor.

Daha detaylı teknik analiz ve güncel raporlar için CVE veritabanını ve Check Point Research fidye yazılımı raporlarını inceleyebilirsiniz.

, , , , , , ,