Endpoint Detection and Response ifadesinin kısaltması olan EDR, Türkçe’ye Uç Nokta Tespit ve Yanıt olarak çevrilen gelişmiş bir siber güvenlik teknolojisidir. Sunucu, bilgisayar ve mobil cihazlar gibi ağdaki uç noktaları sürekli izleyerek, antivirüslerin kaçırabileceği şüpheli davranışları gerçek zamanlı tespit eder ve otomatik yanıtlar verir. Siber suçluların çalışanların dizüstü bilgisayarlarını, masaüstü bilgisayarlarını ve mobil cihazlarını iş verilerine ve altyapıya sızmak için kullanmasını önlemek için işletmeler açısından önemli bir araçtır. EDR Killer, bir siber saldırganın hedef sistemdeki güvenlik yazılımlarını etkisiz hâle getirmek için kullandığı araç veya teknikleri ifade eder. EDR katilleri, modern fidye yazılımı saldırılarının temel bir parçasıdır; bu nedenle, iş ortakları yükleri sürekli olarak değiştirmek yerine şifreleyicileri çalıştırmak için kısa ve güvenilir bir zaman aralığını tercih ederler. ESET araştırmacıları, son zamanlarda gözlemlenen EDR katillerinden en azından bazılarının, yapay zekâ destekli üretime işaret eden özellikler sergilediğini değerlendiriyor. ESET telemetri ve olay araştırmalarına dayanan bu çalışma, sahada aktif olarak kullanılan yaklaşık 90 EDR katilinin analizine ve izlenmesine dayanmaktadır. 

Fidye yazılımı saldırılarındaki yeni taktik önce güvenliği devre dışı bırakmak

Son yıllarda, EDR katilleri modern fidye yazılımı saldırılarında en sık görülen araçlardan biri hâline geldi. Bir saldırgan yüksek ayrıcalıklar elde eder, korumayı bozmak için bu tür bir araç kullanır ve ancak o zaman şifreleyicisini başlatır. Her yerde görülen Bring Your Own Vulnerable Driver (BYOVD) tekniğinin yanı sıra ESET saldırganların sık sık meşru anti-rootkit yardımcı programlarını kötüye kullandığını veya sürücüsüz yaklaşımlar kullanarak uç nokta algılama ve yanıt (EDR) yazılımının iletişimini engellediğini veya onu askıya aldığını da gözlemlemektedir. Kötüye kullanılan bu araçlar sadece bol miktarda mevcut olmakla kalmaz, aynı zamanda öngörülebilir ve tutarlı bir şekilde davranır; işte bu yüzden de iş ortakları bunlara yönelmektedir.

EDR katillerini araştıran ESET araştırmacısı Jakub Souček “Bu araştırmanın ortaya çıkardığı manzara, kavram kanıtlarının sonsuz çatallanmasından karmaşık profesyonel uygulamalara kadar uzanan devasa bir alandır. Darknet’te reklamları yapılan ticari EDR katillerine odaklanmak, müşteri tabanlarını daha iyi anlamamızı ve aksi takdirde gizli kalacak bağlantıları tespit etmemizi sağlıyor. Şirket içinde geliştirilen EDR katilleri, kapalı grupların iç işleyişi hakkında fikir vermektedir. Ayrıca vibe kodlama da işleri daha da karmaşık hâle getirmektedir” açıklaması yaptı.

Saldırı ekosistemi büyüyor

Verileri başarılı bir şekilde şifrelemek için fidye yazılımı şifreleyicilerinin tespit edilmekten kaçınması gerekir. Günümüzde, paketleme ve kod sanallaştırmadan sofistike enjeksiyona kadar uzanan çok çeşitli olgun kaçınma teknikleri mevcuttur. Ancak ESET, şifreleyicilerde bunların uygulandığını nadiren görmektedir. Bunun yerine, fidye yazılımı saldırganları, şifreleyicinin dağıtımından hemen önce güvenlik çözümlerini bozmak için EDR katillerini tercih etmektedir. Aynı zamanda, EDR katilleri genellikle meşru ancak savunmasız sürücülere dayanır; bu da eski veya kurumsal yazılımların kesintiye uğraması riski olmadan savunmayı önemli ölçüde zorlaştırır. Sonuç, minimum geliştirme çabasıyla çekirdek düzeyinde etki sunan bir araç sınıfıdır; bu da bu araçları basitlikleri göz önüne alındığında orantısız bir şekilde güçlü kılar. Bu nedenle ESET, güvenlik açığı bulunan sürücülerin yüklenmesini engellemenin savunma hattında çok önemli bir adım olduğunu ancak mevcut çeşitli atlatma teknikleri nedeniyle bunun kolay bir adım olmadığını vurguluyor. Bu durum, neden sadece buna güvenilmemesi gerektiğini ve EDR katillerinin sürücüyü yükleme şansı bulamadan onları devre dışı bırakmayı hedeflemesi gerektiğini ortaya koyuyor. 

Aslında, en basit EDR engelleyiciler güvenlik açığı bulunan sürücülere veya diğer gelişmiş tekniklere dayanmaz. Bunun yerine, yerleşik yönetim araçlarını ve komutlarını kötüye kullanırlar. BYOVD teknikleri, modern EDR engelleyicilerin ayırt edici özelliği hâline gelmiştir: Her yerde bulunur, güvenilirdir ve yaygın olarak kullanılır. Tipik bir senaryoda, bir saldırgan kurbanın makinesine meşru ancak güvenlik açığı bulunan bir sürücü yerleştirir, sürücüyü yükler ve ardından sürücünün güvenlik açığını kötüye kullanan bir kötü amaçlı yazılımı çalıştırır. Daha küçük ancak büyümekte olan bir EDR katili sınıfı, çekirdeğe hiç dokunmadan hedeflerine ulaşır. Bu araçlar, EDR işlemlerini sonlandırmak yerine diğer kritik özelliklere müdahale eder. 

Yapay zekâ etkisiyle yeni nesil saldırı araçları gelişiyor

Yapay zekâ artık EDR katillerinin cephaneliklerindeki en yeni silah olarak kabul edilebilir. Yapay zekânın belirli bir kod tabanının oluşturulmasına doğrudan yardımcı olup olmadığını belirlemek genellikle pratik olarak imkânsızdır. Özellikle saldırganlar kodu sonradan işlediklerinde veya gizlediklerinde, yapay zekâ tarafından üretilen kodu insan tarafından yazılan koddan güvenilir bir şekilde ayıran kesin bir adli belirteç yoktur. Ancak ESET araştırmacıları, son zamanlarda gözlemlenen EDR katillerinden en azından bazılarının, yapay zekâ destekli üretimi güçlü bir şekilde ima eden özellikler sergilediğini değerlendiriyor. Buna açık bir örnek, Warlock fidye yazılımı çetesi tarafından yakın zamanda kullanılan bir EDR katilinde görülmektedir. Araç, yapay zekâ tarafından üretilen şablonlar için tipik bir örüntü olan olası düzeltmelerin bir listesini yazdırmakla kalmayıp, belirli bir sürücüyü istismar etmek yerine, çalışan bir sürücü bulana kadar birbiriyle ilgisiz, yaygın olarak kötüye kullanılan birkaç cihaz adını döngüsel olarak deneyen bir deneme-yanılma mekanizması da içermektedir. 

ESET araştırmacısı Jakub Souček  yaptığı açıklamada  şunları söyledi : “Önemli bir gözlem, hizmet olarak fidye yazılımı (RaaS) ekosistemlerindeki iş bölümü. Operatörler genellikle şifreleyiciyi ve destekleyici altyapıyı sağlar ancak EDR katili seçimi iş ortaklarına bırakılır. Bu, iş ortağı havuzu ne kadar büyükse EDR katili araçlarının o kadar çeşitli hâle geldiği anlamına gelir. Fidye yazılımına karşı savunma, otomatik tehditlere karşı savunmadan temelde farklı bir zihniyet gerektirir. Oltalama e-postaları, yaygın kötü amaçlı yazılımlar ve istismar zincirleri, güvenlik çözümleri tarafından tespit edilip etkisiz hâle getirildiğinde durur; ancak fidye yazılımı saldırıları durmaz. Bunlar etkileşimli, insan odaklı operasyonlardır ve saldırganlar tespitlere, araç arızalarına ve çevresel engellere sürekli olarak uyum sağlar.”

Şirketlerin güvenlik sistemlerini etkisizleştiren yöntemler artıyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Siber suçlar yaşanan dönemin özelliklerine ve teknolojinin gelişimine göre değişiyor. Siber şantaj, daha geniş bir suç kategorisi olarak kalıcılığını kanıtlamış olsa da en zararlı türlerinden biri olan fidye yazılımı artık yalnızca şifreleme ile sınırlı değil.  Geçmişte saldırganlar dosya veya sistemleri kilitleyerek şifre çözme anahtarı karşılığında ödeme talep ederken son yıllarda kampanyalar şifrelemeyi veri sızdırma ve çalınan bilgileri yayımlama tehditleriyle birleştiriyor. Bu noktada özel sızıntı siteleri veya veri sızıntı siteleri (DLS’ler) devreye giriyor. İlk olarak 2019’un sonlarında ortaya çıkan bu siteler, çift şantaj stratejisinin bel kemiği hâline geldi. Tehdit aktörleri kurumsal verileri şifrelemeden önce çalıyor ve ardından bu verileri kamuya açık şekilde kullanarak bir güvenlik olayını doğrudan bir  krize dönüştürüyor.

Fidye yazılımı artık yalnızca sistemlerin kilitlenmesi değil, aynı zamanda veri hırsızlığı ve şantaj sorunu olarak değerlendiriliyor. Kamuya açık takip projeleri de bu eğilimi doğrulasa da sızıntı sitelerinin yalnızca suçluların duyurmayı seçtiği olayları yansıttığı, gerçek kurban sayısının daha yüksek olabileceği belirtiliyor.

Veri sızıntı siteleri nasıl kullanılıyor?

Dark web üzerinde barındırılan ve Tor ağı üzerinden erişilen veri sızıntı siteleri, genellikle çalınan verilerin bir bölümünü yayımlıyor. Ödeme yapılmazsa tüm verilerin açıklanacağı tehdidinde bulunuyor. Bazı durumlarda kurban ödeme yapmayı reddettiğinde veriler yayımlanıyor ve baskı daha da artıyor. Kurbanlara ait bilgiler, çalınan verinin kapsamı ve belirlenen son tarihler bu stratejinin parçası olarak sunuluyor. Bu yaklaşımın yıkıcı etkisi, hız ve görünürlükten kaynaklanıyor. Olay kamuoyuna duyurulduğu anda birden fazla risk aynı anda ortaya çıkıyor ve çoğu zaman kuruluşlar saldırının kapsamını tam olarak anlamadan yoğun belirsizlik altında kalıyor. 

Veri sızıntı siteleri bu nedenle doğrudan bir baskı aracı olarak kullanılıyor. Saldırganlar blöf yapmadıklarını göstermek için genellikle sınırlı miktarda veri yayımlıyor. Kurban ödeme yapmazsa daha fazlası paylaşılmaya devam ediyor. Zarar çoğu zaman ilk kurbanla sınırlı kalmıyor. Sızdırılan veya yeniden satılan veriler kimlik avı, iş e-postası dolandırıcılığı ve kimlik sahtekârlığı gibi sonraki suçların kaynağı hâline geliyor. Tedarik zinciri olaylarında ihlal müşterilere ve iş ortaklarına kadar yayılabiliyor. Bu domino etkisi, fidye yazılımının münferit olaylar değil sistemik bir risk olarak değerlendirilmesinin nedenlerinden biri olarak görülüyor.

Sızıntı sitesinin her öğesi, psikolojik baskıyı en üst düzeye çıkarmak için tasarlanıyor.

Yetkisiz erişimin kanıtı. Çeteler, saldırının gerçek olduğunu ve tehdidin inandırıcı olduğunu göstermek için sözleşmeler ve şirket içi e-postalar gibi örnek belgeler yayımlar. 

Aciliyet: Zamanlayıcılar ve geri sayımlar, zamanın dolmakta olduğu hissini uyandırır çünkü zaman baskısı altında alınan kararlar genellikle saati kontrol eden tarafın lehine olur.

Kamuya ifşa: Çalınan veriler hiçbir zaman kamuya açıklanmasa bile ihlalle ilişkilendirilmek bile itibar kaybına neden olur ve bu zararın giderilmesi yıllar alabilir.

Yasal risk: Giderek genişleyen eyalet düzeyindeki gizlilik yasaları gibi çerçeveler altında, kişisel verileri içeren doğrulanmış bir ihlal, zorunlu açıklamalar, soruşturmalar ve para cezalarına yol açabilir.

Geniş etkiler ve kalıcı sonuçlar

Veri sızıntısı ihtimali; itibar kaybı, müşteri güveninin zedelenmesi, finansal zararlar ve yasal yaptırımlar gibi çok sayıda riski aynı anda tetikliyor. Çalınan verilerin satılması suç ekonomisini besliyor ve yeni saldırıların önünü açıyor. Bazı grupların şifrelemeyi tamamen atlayarak yalnızca veri ele geçirip yayımlama tehdidiyle şantaj yaptığı da görülüyor.

Kurban durumunda olan kuruluşlar çoğu zaman yeterli değerlendirme süresi olmadan karar vermek zorunda kalıyor. İhlalden etkilenen bireyler ise uzun süren temizlik süreçleri, hesap ele geçirmeleri ve kimlik dolandırıcılığı gibi risklerle karşılaşıyor. Fidyeyi ödemek kolay bir çözüm gibi görünse de dosyaların geri alınacağını ya da verilerin gizli kalacağını garanti etmiyor. Ödeme yapan birçok kuruluşun kısa süre içinde yeniden saldırıya uğradığı biliniyor ve yapılan her ödeme yeni saldırıların finansmanına katkı sağlıyor.

Kuruluşlar için fidye yazılımı tehdidi  kapsamlı savunma önlemleri gerektirir:

• EDR/XDR/MDR özelliklerine sahip gelişmiş güvenlik çözümleri kullanmak. Bu çözümler, yetkisiz işlem yürütme ve şüpheli yanal hareket gibi anormal davranışları izleyerek tehdidi anında durdurur.
• İyi tanımlanmış, sıkı erişim kontrolleriyle yanal hareketleri kısıtlama. Sıfır Güven ilkeleri, herhangi bir varlık için varsayılan güven varsayımlarını ortadan kaldırarak şirketin güvenlik durumunu güçlendirir. 
• Tüm yazılımların güncel tutulması. Bilinen güvenlik açıkları, fidye yazılımı aktörleri için başlıca giriş vektörlerinden biridir. 
• Fidye yazılımının erişemeyeceği veya değiştiremeyeceği, izole edilmiş, hava boşluğu olan ortamlarda yedeklemeler saklayın. Fidye yazılımının birincil amacı, hassas verileri bulmak ve şifrelemektir. Dayanıklı yedeklemeler ve fidye yazılımı giderme yetenekleri, tehdidin neden olduğu hasarı azaltmada büyük rol oynar.
• İyi tasarlanmış güvenlik farkındalığı eğitimleriyle etkili bir savunma bariyeri oluşturulabilir. Kötü amaçlı e-postaları erken tespit edebilen bir çalışan, fidye yazılımı aktörlerinin en sevdiği giriş noktalarından birini ortadan kaldırır ve bu tek başına, tüm kuruluşunuzu mağdur eden bir saldırı riskini önemli ölçüde azaltabilir.

Kilitle, ifşa et, baskı kur yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Tahminler, APAC, Avrupa, Orta Doğu, Afrika, BDT ve LATAM bölgelerinde, fidye yazılımı girişimlerinin tespit ve önlenme oranı, her bölgede toplam üretim kuruluşu sayısı, gerçek saldırılarda ortalama kesinti süresi, kuruluş başına ortalama çalışan sayısı ve ortalama saatlik ücret esas alınarak yapıldı.

Kaspersky, VDC Research iş birliğiyle yaptığı açıklamada, 2025’in ilk üç çeyreğinde üretim kuruluşlarına yönelik fidye yazılımı saldırılarının 18 milyar dolardan fazla kayba yol açabileceğini duyurdu. Bu rakam, yalnızca üretim hattının durması nedeniyle iş gücünün boşta kalmasının doğrudan maliyetini yansıtıyor; operasyonel ve finansal etkiler ise çok daha yüksek olabiliyor.

Kaspersky Security Network verilerine göre, Ocak-Eylül 2025 döneminde üretim sektöründe fidye yazılımı tespitlerinde bölgesel sıralama şu şekilde gerçekleşti: Orta Doğu (%7) ve Latin Amerika (%6,5) ilk sırada yer alırken; APAC (%6,3), Afrika (%5,8), BDT (%5,2) ve Avrupa (%3,8) bu sıralamayı izledi. Bu saldırıların tamamı Kaspersky çözümleri tarafından engellendi. Aşağıdaki potansiyel zarar tahmini, bu saldırılar başarılı olsaydı oluşabilecek finansal etkiyi gösteriyor.

Fidye yazılımı üretim tesislerini hedef aldığında, üretim hatları durur ve bu durum, hem iş gücünün boşta kalması nedeniyle anlık gelir kaybına hem de üretimdeki azalma nedeniyle uzun vadeli eksikliklere yol açıyor. Ortalama saldırı süresi 13 gün (Kaspersky Olay Müdahale Raporu temel alınmıştır). 2025’in ilk üç çeyreğinde fidye yazılımı nedeniyle boşta kalan iş gücünün maliyeti bölgeler bazında şu şekilde hesaplanmıştır:

• Avrupa: 4,4 milyar dolar
• LATAM: 711 milyon dolar
• Orta Doğu: 685 milyon dolar
• BDT: 507 milyon dolar
• Afrika: 446 milyon dolar

Tedarik zinciri aksaklıkları, itibar kaybı ve kurtarma masrafları gibi ek faktörler göz önüne alındığında, gerçek işletme kayıpları çok daha yüksek olabiliyor.

VDC Research, Endüstriyel Otomasyon ve Sensörler Araştırma Direktörü Jared Weiner: “Araştırmamız, fidye yazılımının dünya genelindeki üretim sektöründe yaratabileceği finansal etkiyi tahmini olarak ortaya koyuyor. Üretim ortamlarının giderek karmaşıklaşması, uzmanlık açıklarının genişlemesi ve sürekli değişen iş gücü dinamikleri, çoğu kuruluşun siber güvenliği etkin bir şekilde yönetmesini zorlaştırıyor. Ancak bu konuda başarısız olmak, hem finansal kayıplara hem de itibar zedelenmesine yol açabilir. Etkin bir BT, OT ve IIoT koruması için güvenilir siber güvenlik sağlayıcılarıyla iş birliği yapmak kritik önem taşıyor,” yorumunda bulundu

Kaspersky GReAT, Rusya ve BDT Araştırma Merkezi Başkanı Dmitry Galov konuya ilişkin şunları söyledi:“Hiçbir bölge fidye yazılımından muaf değil; ister Orta Doğu, LATAM, APAC, BDT, Afrika ya da Avrupa olsun, tüm üretim merkezleri sürekli hedef alınıyor. Daha önce tehdit aktörleri tarafından göz ardı edilebilecek orta ölçekli üreticiler de artık hedefte çünkü güvenlik bütçeleri daha küçük ve tedarik zinciri aksaklıklarının etkisi çoğu kişinin tahmin ettiğinden daha büyük olabiliyor. Üretim sektörü ve diğer tüm kuruluşlar, güvenilir ve kanıtlanmış savunma sistemlerine ve sürekli kullanıcı eğitimi programlarına ihtiyaç duyuyor.” 

Farklı bölgelerde fidye yazılımı ile ilgili daha fazla bilgi, Kaspersky’nin 2025 Fidye Yazılımı Durum Raporu’nda yer alıyor

Kaspersky, kuruluşların fidye yazılımına karşı korunmaları için şu en iyi uygulamaları takip etmelerini öneriyor:

• Tüm uç noktalarda fidye yazılımı korumasını etkinleştirin. Ücretsiz Kaspersky Anti-Ransomware Tool for Business ,bilgisayar ve sunucuları fidye yazılımı ve diğer kötü amaçlı yazılımlardan korur, istismar girişimlerini engeller ve mevcut güvenlik çözümleriyle uyumludur.
• Endüstriyel ve kritik sektörlerin kapsamlı korunması için Kaspersky, OT sınıfı teknolojiler, uzman bilgi ve tecrübeyi birleştiren özel bir ekosistem sunar. Bu ekosistemin merkezinde, kritik altyapı koruması için tasarlanmış) is Kaspersky Industrial CyberSecurity (KICS) platformu bulunur. KICS, güçlü ağ trafiği analizi ve uç nokta koruma, tespit ve müdahale yeteneklerini sağlar. Geleneksel BT güvenlik önlemleri ile endüstriyel güvenlik teknolojilerini birleştirerek şirketinizi her türlü tehdide karşı donanımlı hâle getirir.
• Endüstriyel olmayan sektörlerdeki şirketler, gelişmiş tehdit tespiti, araştırma ve hızlı müdahale yetenekleri sağlayan anti-APT ve EDR çözümlerini kullanabilir. Kuruluşlar ayrıca SOC ekiplerine en güncel tehdit istihbaratına erişim sağlayabilir ve profesyonel eğitimlerle ekiplerini düzenli olarak geliştirebilir. Tüm bunlar Kaspersky Next Expert çatısı altında sunulmaktadır.

2025’te Küresel Üretimde Fidye Yazılımı Tehdidi: Potansiyel Kayıp 18 Milyar Dolar yazısı ilk önce En Gazete üzerinde ortaya çıktı.