Kaspersky Security Network verilerine göre, 2025 yılında fidye yazılımı saldırılarının kurumsal düzeyde en yoğun görüldüğü bölge %8,13 ile Latin Amerika oldu. Bu bölgeyi sırasıyla Asya-Pasifik (%7,89), Afrika (%7,62), Orta Doğu (%7,27), Bağımsız Devletler Topluluğu (BDT, %5,91) ve Avrupa (%3,82) takip etti. Raporda; “şifreleme içermeyen” (encryption-less) şantaj odaklı saldırılardaki artış, fidye yazılımı gruplarının kuantum sonrası kriptografi (post-quantum cryptography) kullanımı ve siber suçluların ele geçirilen veri setleri ile kimlik bilgilerini yaymak için Telegram kanallarını sistematik bir şekilde kullanmaya devam etmesi öne çıkan başlıklar arasında yer alıyor.

2025 yılında fidye yazılımı saldırılarına maruz kalan kuruluşların genel oranında 2024’e kıyasla hafif bir düşüş görülse de, saldırganların operasyonlarını endüstriyel ölçekte organize etmesi, sızma yöntemlerini otomatikleştirmesi ve sistemleri şifrelemek yerine hassas verileri çalıp sızdırmaya daha fazla odaklanması nedeniyle kullanıcılar açısından risk yüksek seviyesini koruyor.

2025’in öne çıkan eğilimlerinden biri de, uç nokta güvenlik çözümlerini devre dışı bırakmak amacıyla tasarlanan EDR “killer” araçlarının kullanımındaki artış oldu. Saldırganlar, kötü amaçlı yazılımı çalıştırmadan önce güvenlik çözümlerini etkisiz hale getiren bu araçları artık saldırıların standart bir parçası olarak kullanıyor. Bu durum, saldırıların daha planlı ve sistematik hale geldiğini gösteriyor.

Araştırmacılar ayrıca, bazı fidye yazılımı ailelerinin post-kuantum kriptografi standartlarını benimsemeye başladığını tespit etti. Kaspersky’nin daha önce öngördüğü bu gelişme, gelecekte kuantum bilgisayarlar tarafından çözümlenmesi zor olabilecek şifreleme yöntemlerine doğru kaygı verici bir geçişe işaret ediyor.

Yeraltı forumları ve mesajlaşma platformları üzerinden önceden ele geçirilmiş kurumsal erişimleri satan siber suç aracıları olarak bilinen Initial Access Broker’ların (IAB) rolü de giderek büyüyor. Uzaktan cihaz yönetimine imkan tanıyan RDWeb portalları, fidye yazılımı gruplarının “Access-as-a-Service” modeliyle saldırıları endüstriyel ölçekte yürütmeye devam etmesi nedeniyle daha fazla hedef alınıyor. Bu durum, fidye yazılımı saldırıları gerçekleştirme eşiğini düşürüyor.

Telegram kanalları ve dark web forumları, fidye yazılımı saldırıları sonucunda ele geçirilenler de dahil olmak üzere, çalınmış veri setleri ve erişim bilgilerinin dağıtımı ile satışı için kullanılmaya devam ediyor. Tehdit aktörlerinin fidye yazılımı hizmetlerini tanıttığı ve hizmet güncellemeleri paylaştığı büyük yeraltı forumlarından biri olan RAMP, Ocak 2026’da yetkililer tarafından kapatıldı. Sızdırılmış ve ele geçirilmiş verilerin paylaşıldığı bir diğer yeraltı forumu LeakBase ise Mart 2026’da operasyon dışı bırakıldı. Ancak kolluk kuvvetleri dark web platformları ve veri sızıntısı sitelerine yönelik operasyonlarını sürdürse de, benzer platformların zaman içinde yeniden ortaya çıkabileceği belirtiliyor.

Fidye yazılımı saldırılarında öne çıkan aktörler

Kaspersky, veri sızıntısı sitelerine dayanan analizinde, RansomHub operasyonlarının çökertilmesinin ardından Qilin’i 2025’in en baskın “hizmet olarak fidye yazılımı” (RaaS) operatörü olarak belirledi. Clop en aktif ikinci grup olurken, Akira üçüncü sırada yer aldı.

2025 yılında birçok büyük fidye yazılımı grubunun faaliyetlerini sonlandırmasına rağmen, yeni aktörler ortaya çıkmaya devam ediyor. 2026’ya bakıldığında ise hızlı büyümesi, organize yapısı ve veri odaklı şantaj yöntemlerine artan ilgisi nedeniyle Gentlemen grubu en dikkat çekici yeni tehdit aktörlerinden biri olarak öne çıkıyor. Grubun, geçmişte diğer büyük fidye yazılımı operasyonlarında yer almış saldırganları da içerdiği değerlendiriliyor. Gentlemen, fidye yazılımı ekosistemindeki daha geniş dönüşümün de bir örneğini oluşturuyor. Bu dönüşüm, yüksek gürültü yaratan kaotik saldırılardan; hassas verilerin çalınmasına, itibar kaybı ve regülasyon baskısı üzerinden şantaja dayalı, ölçeklenebilir ve iş modeli gibi çalışan operasyonlara geçişi ifade ediyor.

Kaspersky GReAT Baş Güvenlik Araştırmacısı Fabio Assolini şunları söyledi: “Fidye yazılımları, çalınan veriler üzerinden gelir elde etmeye, savunma mekanizmalarını devre dışı bırakmaya ve saldırıları kurumsal bir verimlilikle ölçeklendirmeye odaklanan son derece organize bir ekosisteme dönüştü. Tehdit aktörleri; meşru araçları kötüye kullanma, uzaktan erişim altyapılarını istismar etme ve hatta post-kuantum kriptografiyi beklenenden çok daha erken benimseme konusunda hızla adapte oluyor. Fidye Yazılımıyla Mücadele Günü’nün amacı, fidye yazılımlarının oluşturduğu tehditlere yönelik küresel farkındalığı artırmak ve önleme ile müdahale konusunda en iyi uygulamaları teşvik etmektir. Bu nedenle tüm kullanıcıları katmanlı savunma stratejileri oluşturmaya, yedekleme yatırımlarını artırmaya ve siber okuryazarlık seviyelerini güçlendirmeye davet ediyoruz.”

Kaspersky, fidye yazılımı tehdidine karşı kurumların aşağıdaki adımları izlemesini tavsiye ediyor:

• Enable ransomware protection for all endpoints. There is a free Kaspersky Anti-Ransomware Tool for Business that shields computers and servers from ransomware and other types of malware, prevents exploits and is compatible with already installed security solutions.
• Always keep software updated on all the devices you use to prevent attackers from exploiting vulnerabilities and infiltrating your network.
• Focus your defense strategy on detecting lateral movements and data exfiltration to the internet. Pay special attention to outgoing traffic to detect cybercriminals’ connections to your network. Set up offline backups that intruders cannot tamper with. Make sure you can access them quickly when needed or in an emergency.
• Companies from non-industrial sector can protect themselves by installing anti-APT and EDR solutions that enable capabilities for advanced threat discovery and detection, investigation and timely remediation of incidents. Organizations can also provide their SOC teams with access to the latest threat intelligence and regularly upskill them with professional training. All of the above is available within Kaspersky Next.
• Tüm uç noktalarda fidye yazılımı korumasını etkinleştirin. Anti-Ransomware Tool  Business çözümü; bilgisayarları ve sunucuları fidye yazılımlarına ve diğer kötü amaçlı yazılımlara karşı korurken, exploit girişimlerini engelliyor ve mevcut güvenlik çözümleriyle uyumlu çalışıyor.
• Saldırganların güvenlik açıklarından faydalanarak ağınıza sızmasını önlemek için kullandığınız tüm cihazlardaki yazılımları güncel tutun.
• Savunma stratejinizi, ağ içerisindeki yatay hareketlerin ve internet üzerinden veri sızdırma girişimlerinin tespitine odaklayın. Siber suçluların ağınıza yönelik bağlantılarını belirlemek için özellikle giden trafiği dikkatle izleyin. Saldırganların müdahale edemeyeceği çevrimdışı yedeklemeler oluşturun ve ihtiyaç anında hızlı erişim sağlayabildiğinizden emin olun.
• Endüstriyel faaliyet göstermeyen şirketler; gelişmiş tehdit keşfi, tespiti, olay inceleme ve hızlı müdahale yetenekleri sunan anti-APT ve EDR çözümleri kullanarak kendilerini koruyabilir. Kuruluşlar ayrıca SOC ekiplerine güncel tehdit istihbaratı erişimi sağlayabilir ve profesyonel eğitimlerle ekiplerin yetkinliklerini düzenli olarak geliştirebilir. Bu çözümlerin tamamı Kaspersky Next kapsamında sunuluyor.

Kaspersky, fidye yazılımı trendleri ve saldırı taktiklerine ilişkin öngörülerini paylaştı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Dışarıdan bakıldığında fidye yazılımı saldırıları, fidye notu bırakılan bir hırsızlık gibi algılanabilir. Saldırgan sisteme sızar, kritik dosyaları şifreler ve ödeme talebinde bulunur. Ancak bu, sürecin yalnızca görünen kısmıdır. Saldırıyı mümkün kılan asıl yapı, arka planda işleyen ve çoğu zaman göz ardı edilen unsurlardan oluşur. Fidye yazılımının arkasında; iş gücü ve araç pazarları, abonelik tabanlı hizmetler, tedarikçiler ve iş ortaklarından oluşan, hizmet seviyesi anlaşmalarını andıran ilişkilerle kurulu bir yapı yer alır. Bu yapı, fidye notu ortaya çıkmadan çok önce saldırıya zemin hazırlar. Kuruluşların fidye yazılımı olaylarını ani ve rastlantısal saldırılar olarak değerlendirmesi, savunma stratejilerinin de eksik kalmasına neden olabilir. Oysa tehdit, yüksek derecede organize, kaynaklı ve tekrarlanabilir bir yapıya sahiptir.

ESET’in tespit verileri, 2025’in ilk yarısında yüzde 30’luk bir artışın ardından, ikinci yarıda fidye yazılımı faaliyetlerinin önceki altı aya göre yüzde 13 arttığını gösteriyor. Verizon’un 2025 Veri İhlali Araştırma Raporu (DBIR), fidye yazılımı içeren ihlallerin oranının yüzde 32’den yüzde 44’e yükseldiğini ortaya koyarken ortalama fidye ödemesinin 150 bin dolardan 115 bin dolara gerilediğini gösteriyor. Mandiant’ın analizleri ise saldırganların, savunmaları daha az olgun olan daha küçük ölçekli kuruluşlara yöneldiğine işaret ediyor.

Fidye yazılımı operasyonları, bireysel katılımcıların yetkinliklerinden bağımsız olarak ölçeklenebilir şekilde tasarlanır. Bu yapı, katılımcılar arasındaki güvene ve onları bir arada tutan teşvik mekanizmalarına dayanır. Zaman içinde bireysel saldırganlar, organize gruplara; bu gruplar ise pazar payı için rekabet eden, birbirine bağlı uzman ağlarına dönüşmüştür. Geleneksel sektörlerde yıllar süren gelişim süreçleri, siber suç ekosisteminde çok daha kısa sürede gerçekleşmiştir. Kolluk kuvvetlerinin müdahaleleri belirli ölçüde kesinti yaratsa da rekabetçi yapı nedeniyle bir grubun ortadan kalkması pazarı ortadan kaldırmaz. Aynı teşvikler varlığını sürdürdüğü sürece yeni oyuncular ortaya çıkar, mevcut gruplar yeniden yapılanır veya iş birlikleri geliştirir. Bu dinamik, fidye yazılımı ekosisteminin sürekliliğini sağlar.

Kırmızı Kraliçe’nin yarışı

Siber tehdit ortamı sürekli değişim hâlinde. Geçmişte yaygın olan dosya şifreleme temelli saldırılar, yerini veri hırsızlığı ve ifşa tehdidini içeren çift şantaj yöntemlerine bıraktı. Ancak dönüşüm bununla sınırlı değil. Kısa süre öncesine kadar neredeyse bilinmeyen bazı teknikler, bugün yaygın şekilde kullanılıyor. Örneğin, kullanıcıları sahte hata mesajlarıyla kandırarak kötü amaçlı komutları çalıştırmaya yönlendiren ClickFix yöntemi hem siber suç grupları hem de devlet destekli aktörler tarafından kullanılmaktadır. Bu adaptasyon hızı, bir versiyonunun doğada, aslında sonsuza dek devam ettiğini fark ettiğinizde pek de şaşırtıcı değil. Rekabet içinde olan türler, sadece konumlarını korumak için sürekli olarak adapte olmak zorunda. Avcılar hızlanır, bu yüzden avlar da hızlanır. Avlar kamuflaj geliştirir, bu yüzden avcılar daha keskin bir görüş geliştirir. Biyoloji buna, Lewis Carroll’un Aynanın İçinden kitabındaki, sadece yerinde kalmak için koşmaya devam etmek zorunda olan bir karakterin adını taşıyan Kırmızı Kraliçe etkisi adını verir. Siber güvenlikte de benzer bir dinamik söz konusu: Savunma sistemleri geliştikçe saldırganlar da buna karşılık verir. Bu durumun en somut örneklerinden biri, güvenlik çözümleri ile bu çözümleri devre dışı bırakmaya yönelik araçlar arasındaki rekabette görülür. Uç nokta tespit ve müdahale (EDR) ve genişletilmiş tespit ve müdahale (XDR) çözümleri, saldırgan faaliyetlerini tespit etmede kritik rol oynarken saldırganlar da bu sistemleri etkisiz hâle getirmeye yönelik araçlar geliştiriyorlar.

ESET araştırmacıları, aktif olarak kullanılan yaklaşık 90 farklı “EDR katili” aracı izliyor. Bunların 54’ü, güvenlik açığı bulunan ancak meşru bir sürücünün sisteme yüklenmesi ve bu sayede çekirdek seviyesinde ayrıcalık elde edilmesine dayanan aynı tekniği kullanıyor. “Kendi Güvenlik Açığı Bulunan Sürücünü Getir” (BYOVD) olarak bilinen bu yöntem, farklı saldırı araçlarında tekrar tekrar karşımıza çıkıyor. EDR katili araçlar, tıpkı fidye yazılımı ekosisteminin kendisi gibi, düzenli güncellenen ve abonelik modeliyle sunulan hizmetlerle destekleniyor. Bu araçların seçimi çoğu zaman doğrudan saldırıyı gerçekleştiren operatörlerden ziyade, bağlı kuruluşlar tarafından yapılır. Savunma sistemleri güncellendikçe, bu sistemleri aşmaya yönelik araçlar da aynı hızla evrilir. Bu döngü, siber tehdit ortamında Kırmızı Kraliçe etkisinin somut bir yansımasıdır.

Kırmızı Kraliçe’ye dikkat yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Endpoint Detection and Response ifadesinin kısaltması olan EDR, Türkçe’ye Uç Nokta Tespit ve Yanıt olarak çevrilen gelişmiş bir siber güvenlik teknolojisidir. Sunucu, bilgisayar ve mobil cihazlar gibi ağdaki uç noktaları sürekli izleyerek, antivirüslerin kaçırabileceği şüpheli davranışları gerçek zamanlı tespit eder ve otomatik yanıtlar verir. Siber suçluların çalışanların dizüstü bilgisayarlarını, masaüstü bilgisayarlarını ve mobil cihazlarını iş verilerine ve altyapıya sızmak için kullanmasını önlemek için işletmeler açısından önemli bir araçtır. EDR Killer, bir siber saldırganın hedef sistemdeki güvenlik yazılımlarını etkisiz hâle getirmek için kullandığı araç veya teknikleri ifade eder. EDR katilleri, modern fidye yazılımı saldırılarının temel bir parçasıdır; bu nedenle, iş ortakları yükleri sürekli olarak değiştirmek yerine şifreleyicileri çalıştırmak için kısa ve güvenilir bir zaman aralığını tercih ederler. ESET araştırmacıları, son zamanlarda gözlemlenen EDR katillerinden en azından bazılarının, yapay zekâ destekli üretime işaret eden özellikler sergilediğini değerlendiriyor. ESET telemetri ve olay araştırmalarına dayanan bu çalışma, sahada aktif olarak kullanılan yaklaşık 90 EDR katilinin analizine ve izlenmesine dayanmaktadır. 

Fidye yazılımı saldırılarındaki yeni taktik önce güvenliği devre dışı bırakmak

Son yıllarda, EDR katilleri modern fidye yazılımı saldırılarında en sık görülen araçlardan biri hâline geldi. Bir saldırgan yüksek ayrıcalıklar elde eder, korumayı bozmak için bu tür bir araç kullanır ve ancak o zaman şifreleyicisini başlatır. Her yerde görülen Bring Your Own Vulnerable Driver (BYOVD) tekniğinin yanı sıra ESET saldırganların sık sık meşru anti-rootkit yardımcı programlarını kötüye kullandığını veya sürücüsüz yaklaşımlar kullanarak uç nokta algılama ve yanıt (EDR) yazılımının iletişimini engellediğini veya onu askıya aldığını da gözlemlemektedir. Kötüye kullanılan bu araçlar sadece bol miktarda mevcut olmakla kalmaz, aynı zamanda öngörülebilir ve tutarlı bir şekilde davranır; işte bu yüzden de iş ortakları bunlara yönelmektedir.

EDR katillerini araştıran ESET araştırmacısı Jakub Souček “Bu araştırmanın ortaya çıkardığı manzara, kavram kanıtlarının sonsuz çatallanmasından karmaşık profesyonel uygulamalara kadar uzanan devasa bir alandır. Darknet’te reklamları yapılan ticari EDR katillerine odaklanmak, müşteri tabanlarını daha iyi anlamamızı ve aksi takdirde gizli kalacak bağlantıları tespit etmemizi sağlıyor. Şirket içinde geliştirilen EDR katilleri, kapalı grupların iç işleyişi hakkında fikir vermektedir. Ayrıca vibe kodlama da işleri daha da karmaşık hâle getirmektedir” açıklaması yaptı.

Saldırı ekosistemi büyüyor

Verileri başarılı bir şekilde şifrelemek için fidye yazılımı şifreleyicilerinin tespit edilmekten kaçınması gerekir. Günümüzde, paketleme ve kod sanallaştırmadan sofistike enjeksiyona kadar uzanan çok çeşitli olgun kaçınma teknikleri mevcuttur. Ancak ESET, şifreleyicilerde bunların uygulandığını nadiren görmektedir. Bunun yerine, fidye yazılımı saldırganları, şifreleyicinin dağıtımından hemen önce güvenlik çözümlerini bozmak için EDR katillerini tercih etmektedir. Aynı zamanda, EDR katilleri genellikle meşru ancak savunmasız sürücülere dayanır; bu da eski veya kurumsal yazılımların kesintiye uğraması riski olmadan savunmayı önemli ölçüde zorlaştırır. Sonuç, minimum geliştirme çabasıyla çekirdek düzeyinde etki sunan bir araç sınıfıdır; bu da bu araçları basitlikleri göz önüne alındığında orantısız bir şekilde güçlü kılar. Bu nedenle ESET, güvenlik açığı bulunan sürücülerin yüklenmesini engellemenin savunma hattında çok önemli bir adım olduğunu ancak mevcut çeşitli atlatma teknikleri nedeniyle bunun kolay bir adım olmadığını vurguluyor. Bu durum, neden sadece buna güvenilmemesi gerektiğini ve EDR katillerinin sürücüyü yükleme şansı bulamadan onları devre dışı bırakmayı hedeflemesi gerektiğini ortaya koyuyor. 

Aslında, en basit EDR engelleyiciler güvenlik açığı bulunan sürücülere veya diğer gelişmiş tekniklere dayanmaz. Bunun yerine, yerleşik yönetim araçlarını ve komutlarını kötüye kullanırlar. BYOVD teknikleri, modern EDR engelleyicilerin ayırt edici özelliği hâline gelmiştir: Her yerde bulunur, güvenilirdir ve yaygın olarak kullanılır. Tipik bir senaryoda, bir saldırgan kurbanın makinesine meşru ancak güvenlik açığı bulunan bir sürücü yerleştirir, sürücüyü yükler ve ardından sürücünün güvenlik açığını kötüye kullanan bir kötü amaçlı yazılımı çalıştırır. Daha küçük ancak büyümekte olan bir EDR katili sınıfı, çekirdeğe hiç dokunmadan hedeflerine ulaşır. Bu araçlar, EDR işlemlerini sonlandırmak yerine diğer kritik özelliklere müdahale eder. 

Yapay zekâ etkisiyle yeni nesil saldırı araçları gelişiyor

Yapay zekâ artık EDR katillerinin cephaneliklerindeki en yeni silah olarak kabul edilebilir. Yapay zekânın belirli bir kod tabanının oluşturulmasına doğrudan yardımcı olup olmadığını belirlemek genellikle pratik olarak imkânsızdır. Özellikle saldırganlar kodu sonradan işlediklerinde veya gizlediklerinde, yapay zekâ tarafından üretilen kodu insan tarafından yazılan koddan güvenilir bir şekilde ayıran kesin bir adli belirteç yoktur. Ancak ESET araştırmacıları, son zamanlarda gözlemlenen EDR katillerinden en azından bazılarının, yapay zekâ destekli üretimi güçlü bir şekilde ima eden özellikler sergilediğini değerlendiriyor. Buna açık bir örnek, Warlock fidye yazılımı çetesi tarafından yakın zamanda kullanılan bir EDR katilinde görülmektedir. Araç, yapay zekâ tarafından üretilen şablonlar için tipik bir örüntü olan olası düzeltmelerin bir listesini yazdırmakla kalmayıp, belirli bir sürücüyü istismar etmek yerine, çalışan bir sürücü bulana kadar birbiriyle ilgisiz, yaygın olarak kötüye kullanılan birkaç cihaz adını döngüsel olarak deneyen bir deneme-yanılma mekanizması da içermektedir. 

ESET araştırmacısı Jakub Souček  yaptığı açıklamada  şunları söyledi : “Önemli bir gözlem, hizmet olarak fidye yazılımı (RaaS) ekosistemlerindeki iş bölümü. Operatörler genellikle şifreleyiciyi ve destekleyici altyapıyı sağlar ancak EDR katili seçimi iş ortaklarına bırakılır. Bu, iş ortağı havuzu ne kadar büyükse EDR katili araçlarının o kadar çeşitli hâle geldiği anlamına gelir. Fidye yazılımına karşı savunma, otomatik tehditlere karşı savunmadan temelde farklı bir zihniyet gerektirir. Oltalama e-postaları, yaygın kötü amaçlı yazılımlar ve istismar zincirleri, güvenlik çözümleri tarafından tespit edilip etkisiz hâle getirildiğinde durur; ancak fidye yazılımı saldırıları durmaz. Bunlar etkileşimli, insan odaklı operasyonlardır ve saldırganlar tespitlere, araç arızalarına ve çevresel engellere sürekli olarak uyum sağlar.”

Şirketlerin güvenlik sistemlerini etkisizleştiren yöntemler artıyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Siber suçlar yaşanan dönemin özelliklerine ve teknolojinin gelişimine göre değişiyor. Siber şantaj, daha geniş bir suç kategorisi olarak kalıcılığını kanıtlamış olsa da en zararlı türlerinden biri olan fidye yazılımı artık yalnızca şifreleme ile sınırlı değil.  Geçmişte saldırganlar dosya veya sistemleri kilitleyerek şifre çözme anahtarı karşılığında ödeme talep ederken son yıllarda kampanyalar şifrelemeyi veri sızdırma ve çalınan bilgileri yayımlama tehditleriyle birleştiriyor. Bu noktada özel sızıntı siteleri veya veri sızıntı siteleri (DLS’ler) devreye giriyor. İlk olarak 2019’un sonlarında ortaya çıkan bu siteler, çift şantaj stratejisinin bel kemiği hâline geldi. Tehdit aktörleri kurumsal verileri şifrelemeden önce çalıyor ve ardından bu verileri kamuya açık şekilde kullanarak bir güvenlik olayını doğrudan bir  krize dönüştürüyor.

Fidye yazılımı artık yalnızca sistemlerin kilitlenmesi değil, aynı zamanda veri hırsızlığı ve şantaj sorunu olarak değerlendiriliyor. Kamuya açık takip projeleri de bu eğilimi doğrulasa da sızıntı sitelerinin yalnızca suçluların duyurmayı seçtiği olayları yansıttığı, gerçek kurban sayısının daha yüksek olabileceği belirtiliyor.

Veri sızıntı siteleri nasıl kullanılıyor?

Dark web üzerinde barındırılan ve Tor ağı üzerinden erişilen veri sızıntı siteleri, genellikle çalınan verilerin bir bölümünü yayımlıyor. Ödeme yapılmazsa tüm verilerin açıklanacağı tehdidinde bulunuyor. Bazı durumlarda kurban ödeme yapmayı reddettiğinde veriler yayımlanıyor ve baskı daha da artıyor. Kurbanlara ait bilgiler, çalınan verinin kapsamı ve belirlenen son tarihler bu stratejinin parçası olarak sunuluyor. Bu yaklaşımın yıkıcı etkisi, hız ve görünürlükten kaynaklanıyor. Olay kamuoyuna duyurulduğu anda birden fazla risk aynı anda ortaya çıkıyor ve çoğu zaman kuruluşlar saldırının kapsamını tam olarak anlamadan yoğun belirsizlik altında kalıyor. 

Veri sızıntı siteleri bu nedenle doğrudan bir baskı aracı olarak kullanılıyor. Saldırganlar blöf yapmadıklarını göstermek için genellikle sınırlı miktarda veri yayımlıyor. Kurban ödeme yapmazsa daha fazlası paylaşılmaya devam ediyor. Zarar çoğu zaman ilk kurbanla sınırlı kalmıyor. Sızdırılan veya yeniden satılan veriler kimlik avı, iş e-postası dolandırıcılığı ve kimlik sahtekârlığı gibi sonraki suçların kaynağı hâline geliyor. Tedarik zinciri olaylarında ihlal müşterilere ve iş ortaklarına kadar yayılabiliyor. Bu domino etkisi, fidye yazılımının münferit olaylar değil sistemik bir risk olarak değerlendirilmesinin nedenlerinden biri olarak görülüyor.

Sızıntı sitesinin her öğesi, psikolojik baskıyı en üst düzeye çıkarmak için tasarlanıyor.

Yetkisiz erişimin kanıtı. Çeteler, saldırının gerçek olduğunu ve tehdidin inandırıcı olduğunu göstermek için sözleşmeler ve şirket içi e-postalar gibi örnek belgeler yayımlar. 

Aciliyet: Zamanlayıcılar ve geri sayımlar, zamanın dolmakta olduğu hissini uyandırır çünkü zaman baskısı altında alınan kararlar genellikle saati kontrol eden tarafın lehine olur.

Kamuya ifşa: Çalınan veriler hiçbir zaman kamuya açıklanmasa bile ihlalle ilişkilendirilmek bile itibar kaybına neden olur ve bu zararın giderilmesi yıllar alabilir.

Yasal risk: Giderek genişleyen eyalet düzeyindeki gizlilik yasaları gibi çerçeveler altında, kişisel verileri içeren doğrulanmış bir ihlal, zorunlu açıklamalar, soruşturmalar ve para cezalarına yol açabilir.

Geniş etkiler ve kalıcı sonuçlar

Veri sızıntısı ihtimali; itibar kaybı, müşteri güveninin zedelenmesi, finansal zararlar ve yasal yaptırımlar gibi çok sayıda riski aynı anda tetikliyor. Çalınan verilerin satılması suç ekonomisini besliyor ve yeni saldırıların önünü açıyor. Bazı grupların şifrelemeyi tamamen atlayarak yalnızca veri ele geçirip yayımlama tehdidiyle şantaj yaptığı da görülüyor.

Kurban durumunda olan kuruluşlar çoğu zaman yeterli değerlendirme süresi olmadan karar vermek zorunda kalıyor. İhlalden etkilenen bireyler ise uzun süren temizlik süreçleri, hesap ele geçirmeleri ve kimlik dolandırıcılığı gibi risklerle karşılaşıyor. Fidyeyi ödemek kolay bir çözüm gibi görünse de dosyaların geri alınacağını ya da verilerin gizli kalacağını garanti etmiyor. Ödeme yapan birçok kuruluşun kısa süre içinde yeniden saldırıya uğradığı biliniyor ve yapılan her ödeme yeni saldırıların finansmanına katkı sağlıyor.

Kuruluşlar için fidye yazılımı tehdidi  kapsamlı savunma önlemleri gerektirir:

• EDR/XDR/MDR özelliklerine sahip gelişmiş güvenlik çözümleri kullanmak. Bu çözümler, yetkisiz işlem yürütme ve şüpheli yanal hareket gibi anormal davranışları izleyerek tehdidi anında durdurur.
• İyi tanımlanmış, sıkı erişim kontrolleriyle yanal hareketleri kısıtlama. Sıfır Güven ilkeleri, herhangi bir varlık için varsayılan güven varsayımlarını ortadan kaldırarak şirketin güvenlik durumunu güçlendirir. 
• Tüm yazılımların güncel tutulması. Bilinen güvenlik açıkları, fidye yazılımı aktörleri için başlıca giriş vektörlerinden biridir. 
• Fidye yazılımının erişemeyeceği veya değiştiremeyeceği, izole edilmiş, hava boşluğu olan ortamlarda yedeklemeler saklayın. Fidye yazılımının birincil amacı, hassas verileri bulmak ve şifrelemektir. Dayanıklı yedeklemeler ve fidye yazılımı giderme yetenekleri, tehdidin neden olduğu hasarı azaltmada büyük rol oynar.
• İyi tasarlanmış güvenlik farkındalığı eğitimleriyle etkili bir savunma bariyeri oluşturulabilir. Kötü amaçlı e-postaları erken tespit edebilen bir çalışan, fidye yazılımı aktörlerinin en sevdiği giriş noktalarından birini ortadan kaldırır ve bu tek başına, tüm kuruluşunuzu mağdur eden bir saldırı riskini önemli ölçüde azaltabilir.

Kilitle, ifşa et, baskı kur yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Tahminler, APAC, Avrupa, Orta Doğu, Afrika, BDT ve LATAM bölgelerinde, fidye yazılımı girişimlerinin tespit ve önlenme oranı, her bölgede toplam üretim kuruluşu sayısı, gerçek saldırılarda ortalama kesinti süresi, kuruluş başına ortalama çalışan sayısı ve ortalama saatlik ücret esas alınarak yapıldı.

Kaspersky, VDC Research iş birliğiyle yaptığı açıklamada, 2025’in ilk üç çeyreğinde üretim kuruluşlarına yönelik fidye yazılımı saldırılarının 18 milyar dolardan fazla kayba yol açabileceğini duyurdu. Bu rakam, yalnızca üretim hattının durması nedeniyle iş gücünün boşta kalmasının doğrudan maliyetini yansıtıyor; operasyonel ve finansal etkiler ise çok daha yüksek olabiliyor.

Kaspersky Security Network verilerine göre, Ocak-Eylül 2025 döneminde üretim sektöründe fidye yazılımı tespitlerinde bölgesel sıralama şu şekilde gerçekleşti: Orta Doğu (%7) ve Latin Amerika (%6,5) ilk sırada yer alırken; APAC (%6,3), Afrika (%5,8), BDT (%5,2) ve Avrupa (%3,8) bu sıralamayı izledi. Bu saldırıların tamamı Kaspersky çözümleri tarafından engellendi. Aşağıdaki potansiyel zarar tahmini, bu saldırılar başarılı olsaydı oluşabilecek finansal etkiyi gösteriyor.

Fidye yazılımı üretim tesislerini hedef aldığında, üretim hatları durur ve bu durum, hem iş gücünün boşta kalması nedeniyle anlık gelir kaybına hem de üretimdeki azalma nedeniyle uzun vadeli eksikliklere yol açıyor. Ortalama saldırı süresi 13 gün (Kaspersky Olay Müdahale Raporu temel alınmıştır). 2025’in ilk üç çeyreğinde fidye yazılımı nedeniyle boşta kalan iş gücünün maliyeti bölgeler bazında şu şekilde hesaplanmıştır:

• Avrupa: 4,4 milyar dolar
• LATAM: 711 milyon dolar
• Orta Doğu: 685 milyon dolar
• BDT: 507 milyon dolar
• Afrika: 446 milyon dolar

Tedarik zinciri aksaklıkları, itibar kaybı ve kurtarma masrafları gibi ek faktörler göz önüne alındığında, gerçek işletme kayıpları çok daha yüksek olabiliyor.

VDC Research, Endüstriyel Otomasyon ve Sensörler Araştırma Direktörü Jared Weiner: “Araştırmamız, fidye yazılımının dünya genelindeki üretim sektöründe yaratabileceği finansal etkiyi tahmini olarak ortaya koyuyor. Üretim ortamlarının giderek karmaşıklaşması, uzmanlık açıklarının genişlemesi ve sürekli değişen iş gücü dinamikleri, çoğu kuruluşun siber güvenliği etkin bir şekilde yönetmesini zorlaştırıyor. Ancak bu konuda başarısız olmak, hem finansal kayıplara hem de itibar zedelenmesine yol açabilir. Etkin bir BT, OT ve IIoT koruması için güvenilir siber güvenlik sağlayıcılarıyla iş birliği yapmak kritik önem taşıyor,” yorumunda bulundu

Kaspersky GReAT, Rusya ve BDT Araştırma Merkezi Başkanı Dmitry Galov konuya ilişkin şunları söyledi:“Hiçbir bölge fidye yazılımından muaf değil; ister Orta Doğu, LATAM, APAC, BDT, Afrika ya da Avrupa olsun, tüm üretim merkezleri sürekli hedef alınıyor. Daha önce tehdit aktörleri tarafından göz ardı edilebilecek orta ölçekli üreticiler de artık hedefte çünkü güvenlik bütçeleri daha küçük ve tedarik zinciri aksaklıklarının etkisi çoğu kişinin tahmin ettiğinden daha büyük olabiliyor. Üretim sektörü ve diğer tüm kuruluşlar, güvenilir ve kanıtlanmış savunma sistemlerine ve sürekli kullanıcı eğitimi programlarına ihtiyaç duyuyor.” 

Farklı bölgelerde fidye yazılımı ile ilgili daha fazla bilgi, Kaspersky’nin 2025 Fidye Yazılımı Durum Raporu’nda yer alıyor

Kaspersky, kuruluşların fidye yazılımına karşı korunmaları için şu en iyi uygulamaları takip etmelerini öneriyor:

• Tüm uç noktalarda fidye yazılımı korumasını etkinleştirin. Ücretsiz Kaspersky Anti-Ransomware Tool for Business ,bilgisayar ve sunucuları fidye yazılımı ve diğer kötü amaçlı yazılımlardan korur, istismar girişimlerini engeller ve mevcut güvenlik çözümleriyle uyumludur.
• Endüstriyel ve kritik sektörlerin kapsamlı korunması için Kaspersky, OT sınıfı teknolojiler, uzman bilgi ve tecrübeyi birleştiren özel bir ekosistem sunar. Bu ekosistemin merkezinde, kritik altyapı koruması için tasarlanmış) is Kaspersky Industrial CyberSecurity (KICS) platformu bulunur. KICS, güçlü ağ trafiği analizi ve uç nokta koruma, tespit ve müdahale yeteneklerini sağlar. Geleneksel BT güvenlik önlemleri ile endüstriyel güvenlik teknolojilerini birleştirerek şirketinizi her türlü tehdide karşı donanımlı hâle getirir.
• Endüstriyel olmayan sektörlerdeki şirketler, gelişmiş tehdit tespiti, araştırma ve hızlı müdahale yetenekleri sağlayan anti-APT ve EDR çözümlerini kullanabilir. Kuruluşlar ayrıca SOC ekiplerine en güncel tehdit istihbaratına erişim sağlayabilir ve profesyonel eğitimlerle ekiplerini düzenli olarak geliştirebilir. Tüm bunlar Kaspersky Next Expert çatısı altında sunulmaktadır.

2025’te Küresel Üretimde Fidye Yazılımı Tehdidi: Potansiyel Kayıp 18 Milyar Dolar yazısı ilk önce En Gazete üzerinde ortaya çıktı.