Ransomware Grupları

LockBit fidye yazılımı nedir? 2021 yılı, siber saldırıların en yıkıcı olduğu yıl haline geldi. Kötü amaçlı yazılımlarının neden olabileceği ciddi zararları ilk kez 2017 yılında küresel **WannaCry** saldırısıyla birlikte gördük. 2021 yılında fidye yazılımlarının önüne geçilemediği gibi saldırılar daha da arttı. **Cybersecurity Ventures**‘a göre fidye yazılım saldırılarının dünya çapında 2031 yılına kadar **265 milyar dolara** mal olacağı tahmin ediliyor ve fidye ödemeleri, dünyaca ünlü gıda firması **JBS FOODS** örneğinde olduğu gibi milyonlarca dolara ulaşıyor. Ancak, saldırganlardan alınan şifre çözme anahtarlarının gerçekten çözüm olacağının veya bir kez fidye ödeyen kurbanın tekrar saldırıya uğramayacağının garantisi yoktur.  Geçtiğimiz ay yayınlanan **Cybereason** anketi, fidye yazılımı saldırısına uğrayan ve fidye ödemesi yapan işletmelerin %80’inin, potansiyel olarak aynı tehdit aktörleri tarafından ikinci bir saldırıya maruz kaldığını ortaya koydu. Gelin birlikte bu kötü amaçlı fidye yazılımlarından biri olan LockBit zaralı yazılımını derinlemesine inceleyelim. Bir fidye yazılımı olan LockBit, MalwareHunterTeam tarafından keşfedilmiştir. Başlangıçta “.abcd virüsü” olarak adlandırılan LockBit zararlı yazılımı, ilk olarak Eylül 2019’da kullanılmaya başlandı. Coveware tarafından paylaşılan istatistiklere göre, LockBit fidye yazılımı saldırıları, 2020 yılının son çeyreğinde önemli ölçüde arttı. LockBit fidye yazılımı diğer fidye yazılımları arasında %7,5 pazar payı ile üçüncü sırada yer almaktadır. LockBit fidye yazılımları, verileri şifrelemek için tasarlanmıştır. Saldırının arkasındaki siber suçlular, şifre çözme araçlarını/yazılımlarını kurbanlara vermek için yüksek miktarlarda fidye talep ediyor. LockBit fidye yazılımı ile şifrelenen dosyalar “ .abcd veya .lockbit ” uzantılı olarak yeniden adlandırır . Bu işlemden sonra, etkilenen her klasöre bir metin dosyası (“ Restore-My-Files.txt ”) bırakılır. LockBit Ransomware, her dosyayı rastgele bir AES anahtarıyla şifreleyip, şifrelenmiş AES anahtarını da, dosyanın içindeki belirli bir ofsete ekler. Böylece hedef sistem içindeki her dosya farklı bir anahtarla şifrelenmiş olur. Şifrelenmiş verilerin çözülmesi için de RSA özel anahtarı gerekmektedir. (Lockbit, yayılım esnasında shadow copy leri de siliyor.) Metin dosyasında, kurbanlara verilerinin şifrelendiğini bildiren ve verilerinin nasıl geri yükleneceği belirten talimatlar içerir.  “ Restore-My-Files.txt ” içindeki mesaj, kişilerin verilen e-posta adresleri aracılığıyla saldırgan ile iletişime geçmesi gerektiğini belirtir. Mesajda kullanıcıların kişisel kimliklerini belirtmeleri talep edilir. Kimlik bilgileri, her kurban için ayrı ayrı oluşturulmuş ve ” Restore-My-Files.txt ” metin dosyasının içerisinde belirtilmiştir. Kurbanlardan e-postaya, 1 MB’tan büyük olmamak kaydı ile şifreli bir dosya eklemeleri de istenir. Saldırganlar, verileri kurtarabileceğine dair ‘kanıt’ olarak bu test dosyasının şifresini ücretsiz olarak çözer. Bu dosyanın şifresinin çözülmesi doğrulandıktan sonra, miktarı belirlenen fidye talep edilir. Fidye ödemeleri, Bitcoin para cinsinden kabul edilir. Fidye ödemesi gerçekleştikten sonra, şifre çözme araçları/yazılımlarının kendilerine teslim edileceği vaat edilir! Yukarıda bahsettiğimiz gibi, fidye ödemenin kesin çözüm olmadığını bilmek gerekir. Saldırganların şifre çözme aracı olarak bir truva atı gönderdikleri durumlarla da karşılaşılmıştır. “ Restore-My-Files.txt ” içindeki mesaj, mağdurlara şifrelenmiş dosyaları yeniden adlandırmamaları veya üçüncü taraf yazılımlarla manuel şifre çözme girişiminde bulunmamaları konusunda uyarılar ve talimatlarla sona erer. Lockbit fidye yazılımını kullanan gruplar, büyük kuruluşları hedef almalarıyla bilinir. Saldırganlar fidye taleplerini kurbanlarının yıllık gelirlerine göre özelleştirdiği tespit edilmiştir. Ortalama Lockbit fidye miktarı 33.000$ civarındadır. LockBit fidye yazılımı nasıl çalışır? LockBit saldırılarının aşamaları sırlayalım. **Aşama 1:** Tüm fidye yazılımı saldırılarında olduğu gibi, saldırganın bir şekilde ağa ilk erişim sağlaması gerekir. LockBit fidye yazılımında ilk erişim için kullanılan saldırı vektörleri şöyle sıralanabilir: - Phishing E-postaları; LockBit fidye yazılımı saldırılarında %68’lik kullanım yoğunluğuyla en çok kullanılan saldırı yöntemidir. Saldırganların bir sisteme ait erişim bilgilerini istemek için güvenilir personel veya yetkililerin kimliğine bürünerek sosyal mühendislik taktikleriyle sızma gerçekleştirebilir. - Uzak Masaüstü Protokolü; RDP üzerinden yapılan LockBit fidye yazılımı saldırıları %22’lik kullanım yoğunluğuyla orta sıklıkta kullanılan bir saldırı yöntemidir. - Yazılım / Donanım Güvenlik Açığı; LockBit kullanan saldırganlar, her açıktan faydalandıkları için yazılım ve donanımlardaki güvenlik açıklarından da faydalanmaktan geri durmazlar. %10’luk kullanım yoğunluğuyla yazılım ve donanımlardaki güvenlik açıklarından yapılan saldırı yöntemi daha az kullanılıyor olsa da, bu şekilde saldırıya uğramayacağınızın garantisi yoktur. LockBit fidye yazılımı ağdaki ana cihaza yerleştirildikten sonra, ağda bulunan ve ulaşabileceği bütün cihazlara yayılmaya ve şifreleme yapmaya başlar. Saldırganın son hamlesini yapmadan önce birkaç ek adımı tamamlaması gerekebilir. Bir şirketin tamamen kilitlenmesine neden olan, eskisi gibi tipik “son kullanıcının kötü niyetli bir bağlantıya tıklaması” değildir. Hedefli fidye yazılımı saldırılarındaki insan faktörü çok daha derinlere iniyor. Saldırganlar, güvenlik politikasındaki zayıflıklardan ve tüm kuruluştaki yanlış yapılandırmalardan yararlanır. **Aşama 2:** İlk erişimi başarıyla gerçekleştiren saldırgan ağ keşfine ve fidye yazılımının dağıtımına devam eder. LockBit fidye yazılımının en önemli özelliği, kendi kendine yayılma yeteneğidir. LockBit, algoritmasında önceden tasarlanmış otomatik süreçler tarafından yönetilir. LockBit fidye yazılımının bu özelliği, keşif ve gözetimi tamamlamak için ağda bazen haftalarca manuel olarak yönlendirildiği için onu diğer birçok fidye yazılımından benzersiz kılar. Bu noktadan itibaren LockBit fidye yazılımı, tüm faaliyetleri bağımsız olarak yönetir. Saldırıya hazır bir erişim düzeyi elde etmek ve artan ayrıcalıklar elde etmek için “sömürü sonrası” araçlar olarak bilinen araçları kullanmak üzere programlanmıştır. Ayrıca, neredeyse tüm Windows sistemlerinde yerel olan kalıplardaki araçları kullanır. Yürütülebilir şifreleme dosyasını, .PNG görüntü dosyası biçimi olarak gizleyerek sistem savunmasını aldatır. Bu aşamada LockBit, fidye yazılımının şifreleme bölümünü dağıtmadan önce her türlü hazırlık eylemini gerçekleştirecektir. Bu aşama, güvenlik programlarının ve sistem kurtarmaya izin verebilecek diğer altyapıların devre dışı bırakılmasını içerir. **Aşama 3:** Ağı, LockBit fidye yazılımını tamamen mobilize olması için hazırlandıktan sonra, ulaşabileceği bütün makinelere yayılmaya başlayacaktır. Daha önce belirtildiği gibi, LockBit fidye yazılımının bu aşamayı tamamlamak için fazla bir şeye ihtiyacı yoktur. Yüksek erişime sahip tek bir sistem birimi, LockBit fidye yazılımını indirmek ve çalıştırmak için diğer ağ birimlerine komutlar gönderebilir. LockBit fidye yazılımı şifreleme işlemine başladığında tüm sistem dosyalarına bir “key” yerleştirecektir. Mağdur sistemlerinin kilidini yalnızca LockBit fidye yazılımının şifre çözme aracı tarafından oluşturulan özel bir anahtarla açılabilir. Zararlı yazılım her sistem klasöründe basit bir fidye notunun kopyalarını bırakır. Mağdura sistemlerini geri yükleme talimatları bildirir ve hatta bazı LockBit sürümlerinde tehdit edici şantaj içerir. Tüm aşamalar tamamlandıktan sonraki adımlar kurbana bırakılır. Mağdurlar konu ile ilgili uzmanlara başvurmaya veya fidyeyi ödemeye karar verebilirler. Ancak, fidye ödemek bu tarz durumlarda tavsiye edilmez. Saldırganların, yapılan pazarlık sonucunda dosyalarınızı vereceğine dair bir garanti yoktur. LockBit tehdit türleri: En güncel fidye yazılımı saldırılarından olan LockBit fidye virüsü, önemli bir endişe kaynağı olmaya devam ediyor. Özellikle son zamanlarda uzaktan çalışmadaki artışla birlikte, birçok endüstri ve kuruluşta yaygınlaşma olasılığını göz ardı edemeyiz. LockBit fidye yazılımı sahnede yeni olmasına rağmen saldırganların birkaç yeni özellik eklediğini ve fidye yazılımını birkaç kez güncellediğini fark ettik. Bu da, LockBit fidye yazılımının arkasında muhtemelen eylemleri hakkında geri bildirim alan aktif bir grup olduğu anlamına geliyor. LockBit fidye yazılımının türevlerini tespit etmek, tam olarak neyle uğraştığınızı belirlemenize yardımcı olacaktır. **Varyant 1: “.abcd” uzantısı;** LockBit fidye yazılımının orijinal sürümü, dosyaları “.abcd” uzantı adıyla yeniden adlandırır. Ayrıca, her klasöre eklenmiş olan “Restore-My-Files.txt” dosyasında verilerinizi kurtarmanız için talepler ve talimatlar içeren bir fidye notu içerir. LockBit fidye virüsünün ilk sürüm özellikleri şunlardır: - IPLO (IPLogger coğrafi konum belirleme hizmeti) - COM arabirimi ve HIVE Current Version Run aracılığıyla kalıcılık - Şifrelenmiş dosyalarda kullanılan bir uzantı (” .abcd ”) - Hata ayıklama amacıyla oluşturulan hata ayıklama dosyası - Şifreleme sürecinde YÜKSEK CPU Kullanımı - Diğer fidye yazılımı ailelerinde gözlemlenen bir MUTEX’in yeniden kullanımı **Varyant 2: “.LockBit” uzantısı;** LockBit fidye yazılımının bilinen ikinci varyasyonu, “.LockBit” dosya uzantısını kullanarak ona mevcut takma adını verdi. Ancak araştırmacılar, bazı revizyonlarına rağmen bu sürümün diğer özelliklerinin çoğunlukla aynı göründüğünü tespit etmiştir. LockBit fidye yazılımının 2. sürümü aşağıdaki yeniliklerle ortaya çıktı: - Eklenen uzantı ” .lockbit ” olarak değiştirildi - Hata ayıklama işlevi kaldırıldı - Numunelerin bazıları UPX veya Delphi paketleyici ile paketlenmiş olarak geldi **Varyant 3: LockBit Versiyon 2;** LockBit fidye yazılımının son sürümü, Tor tarayıcısının fidye talimatlarında indirilmesini gerektirmiyor. Bunun yerine, kurbanları geleneksel internet erişimi aracılığıyla alternatif bir web sitesine yönlendiriyor. LockBit fidye yazılımının 3. sürümünde gözlenen değişiklikler: - LockBit Fidye yazılımı notunu yeniden uyarladı - Hata ayıklama işlevi yeniden kullanıldı Bu sürümde kullanılan bir fidye notu:  **LockBit fidye yazılımında devam eden güncellemeler ve revizyonlar;** Lockbit fidye yazılımı, sunucu verilerinin kopyalarını çalmak üzere tasarlanmış ve fidye notunda ek şantaj satırları içeriyor. Mağdurun talimatları takip etmemesi durumunda LockBit fidye yazılımı, kurbanın özel verilerinin kamuya açıklanmasıyla tehdit ediyor. LockBit fidye yazılımına karşı nasıl korunursunuz? Sonuç olarak, kuruluşunuzun herhangi bir fidye yazılımına veya oluşabilecek saldırılara karşı dayanıklı olmasını sağlamak için koruyucu önlemler almanız gerekecektir. Hazırlıklı olmanıza yardımcı olabilecek bazı ipuçları: **1. Güçlü şifreler kullanmak.** Pek çok hesap ihlali, tahmin edilmesi kolay şifreler veya bir algoritma aracının birkaç dakika içinde tespit etmesi için yeterince basit olan şifreler nedeniyle meydana gelir. Karakter varyasyonları olan daha uzun parola seçtiğinizden emin olun. **2. Çok faktörlü kimlik doğrulamayı etkinleştirin (MFA).** İlk parola tabanlı oturum açmalarınızın üstüne katmanlar ekleyerek kaba kuvvet (Brute Force) saldırılarını engelleyin. Mümkün olduğunda tüm sistemlerinize biyometrik veya fiziksel USB anahtarı kimlik doğrulayıcıları gibi önlemler ekleyin. **3. Kullanıcı hesabı izinlerini yeniden gözden geçirin.** Potansiyel tehditlerin geçmesini sınırlamak için izinleri daha katı düzeylerle sınırlayın. Yönetici düzeyinde izinlere sahip uç nokta kullanıcıları ve BT hesapları tarafından erişilenlere özellikle dikkat edin. Web etki alanları, işbirliği platformları, web toplantı hizmetleri ve kurumsal veri tabanlarının tümü güvence altına alınmalıdır. **4. Eski ve kullanılmayan kullanıcı hesaplarını temizleyin.** Bazı eski sistemler, geçmiş çalışanlardan kalan, devre dışı bırakılmamış ve kapatılmamış hesaplara sahip olabilir. Sistemlerinizde yapacağınız değişiklikler, bu potansiyel zayıf noktaların ortadan kaldırılmasını içermelidir. **5. Sistem yapılandırmalarının tüm güvenlik prosedürlerini içerdiğinden emin olun.** Bu zaman alabilir, ancak mevcut kurulumları yeniden gözden geçirmek, kuruluşunuzu saldırı riskine sokan yeni sorunları ve güncelliğini yitirmiş ilkeleri ortaya çıkarabilir. Yeni siber tehditlere karşı güncel kalmak için standart operasyon prosedürleri periyodik olarak yeniden değerlendirilmelidir. **6. Periyodik olarak sistem yedeklemeleri yapın.** Siber olaylar her zaman olacaktır ve kalıcı veri kaybına karşı tek gerçek koruma, çevrimdışı bir kopyadır. Karşılaşılabilecek en kötü durum senaryosu için periyodik olarak yedekler alınmalıdır. Alınan yedekler belli aralıklarla teste tabi tutulmalı ve gerektiğinde kullanılabilir olduğu tespit edilmelidir. Bir yedeklemenin kötü amaçlı yazılım bulaşmasıyla şifrelenmesi durumunda, temiz bir yedek seçme seçeneği için birden çok yedekleme noktasına sahip olmak sizi felaketlerden korur. **7. Kapsamlı bir kurumsal siber güvenlik çözümüne sahip olduğunuzdan emin olun.** Kurumsal siber güvenlik koruma yazılımları, gerçek zamanlı koruma ile tüm kuruluş genelinde dosya indirmelerini tespit etmenize yardımcı olur. **Verilerim LockBit tarafından şifrelendiğinde ne yapmalıyım?** Bilgisayarınızda herhangi bir programla açılmayacak garip adlara ve uzantılara sahip dosyalar fark ederseniz, büyük bir ihtimalle fidye yazılımı saldırısına maruz kalıyorsunuzdur. Genellikle, bir fidye yazılımı saldırısının ilk işareti, dosyalarınızın şifrelendiğini bildiren bir ekrandır.  **1. Panik yapmayın.** İşlerin aniden durmasına üzülmek kolaydır fakat, hiçbir şeye yardımcı olmaz. Birçok kurumun fidye yazılımı saldırılarından etkilendiğini ve unutmayın. Sakin bir zihinle soğuk kanlı davranmak, doğru kararlar verme konusunda önemlidir. Saldırganların amacı kurbanları çaresiz bırakarak fidye ödemeye mecbur etmektir. Kötü organize edilmiş acele bir karar yerine uygun adımları atmak, aslında toplam kurtarma maliyetini düşürebilir ve sizi gelecekte daha fazla saldırıdan koruyabilir. **2. Etkilenen cihazların bağlantısını kesin.** Normalde LockBit fidye yazılımı, şifreleyeceği her cihaza bulaşana kadar bir fidye talebi görünmez. LockBit fidye yazılımı ağ etkinliğine bağlı olarak yayılmaya devam edebileceğinden, virüslü bilgisayarların bağlantısını kesmek en önemli uygulamadır. LockBit fidye yazılımını talep yapılmadan önce fark ederseniz, yayılmasını önlemek için hızlı hareket etmek daha da önemlidir. Kötü amaçlı yazılımı fark ettiğiniz an yapmanız gerekenler: - Olası tüm cihazları ağdan ayırın. - Wi-Fi, Bluetooth’u kapatın ve ethernet kablolarını çıkarın. - Mümkünse, tüm ağı kapatın. - Etkilenen ağa bağlı uzaktaki çalışanları bilgilendirin ve onlardan bağlantılarını kesmelerini ve sistemlerini kapatmalarını isteyin. **3. BT hizmet sağlayıcınızı ve/veya BT departmanınızı bilgilendirin.** LockBit fidye yazılımının bir sistem üzerinden yayılması zaman alır, bu nedenle bir saldırı tespit ederseniz, enfeksiyonun daha da kötüleşmesini önlemek için hemen harekete geçmelisiniz. Bu adımın BT departmanınıza bildirilmeden önce yapılması gerekir, çünkü her saniye önemlidir. Ayrıca BT hizmet sağlayıcınızı mümkün olduğunca çabuk bilgilendirmeniz gerekir. Örneğin bulut yedekleriniz varsa, enfeksiyon zaten yedeklerinize yayılmış olabilir. Hızlı davranmak, fidye ödemeye zorlanmakla ödememek arasında fark yaratabilir. Kuruluşunuzun bir BT departmanı varsa, aşağıdaki adımlarda açıklandığı gibi fidye yazılımı yanıtını yönetmelerine izin vermek en iyisidir. Fidye yazılımının yayılmasını önleyecek şekilde sisteme erişmeleri gerekecek. Kuruluşunuzun bir BT departmanı yoksa, dışarıdan yardım almak en iyisi olabilir. **4. LockBit fidye yazılımının türünü öğrenin.** LockBit fidye yazılımının türevlerini tespit etmek, tam olarak neyle uğraştığınızı belirlemenize yardımcı olabilir. LockBit fidye yazılımının türüne bağlı olarak farklı seçenekleriniz olabilir. **5. Yedeklerinizi kontrol edin.** Mümkün olan en iyi senaryo, sisteminizi enfeksiyon oluşmadan önceki bir yedeğe geri yüklemektir. Bunu yapmak için, tekrar enfekte olmamak için enfeksiyonun ne zaman olduğunu bilmeniz gerekir. Sistem loglarınızın kullanışlı olabileceği en iyi yer burasıdır. Sistem Geri Yükleme, genellikle fidye yazılımları için iyi bir çözüm değildir, çünkü dosya sisteminizin derinliklerinde gizlenmiş kötü amaçlı yazılım içeren bir veriyi geri yükleyebilirsiniz. Bazı durumlarda, fidye yazılımı yedeklerinize de bulaşabilir. Bu durumda, saldırganların taleplerine boyun eğmekten veya sisteminizi silip verilerinizin kaybını kabul etmekten başka yapabileceğiniz çok az şey vardır. **6. Fidye yazılımı saldırısının temel nedenini bulun.** Her iki durumda da, enfeksiyonun nasıl oluştuğunu bilmeniz gerekir. Fidyeyi ödeyin veya verilerinizi bir yedekle geri yükleyin, saldırının nedenini bulamazsanız başka bir enfeksiyon riskiyle karşı karşıya kalırsınız. Çoğu fidye yazılımı saldırısı, kimlik avı veya açıklardan yararlanma yoluyla başlar. Kimlik avı saldırıları genellikle bir e-posta veya web sitesi şeklinde gerçekleşir. Siber suçlular, e-postalarının veya web sitelerinin görünümünü taklit ederek saygın işletmeleri veya devlet kurumlarını taklit edebilir ve ardından çalışanları bir bağlantıya tıklamaları veya kötü amaçlı yazılım içeren bir eki indirmeleri için kandırabilir. LockBit fidye yazılımı bulaşması, sisteminizdeki bir güvenlik açığı nedeniyle gerçekleştiyse, verilerinizi geri yüklemeden önce bu güvenlik açığını düzeltmeniz gerekir. Birçok güvenlik açığı, yazılımın eski sürümlerini kullanmaktan kaynaklanır, bu nedenle riskinizi en aza indirmek için güvenlik açıklarını kapatmalı ve sisteminizi her zaman güncel tutmalısınız. **7. Seçeneklerinizi değerlendirin.** Bu noktada 3 seçeneğiniz var. - Yedekten geri yüklemek. Yeni bir yedeğiniz varsa ve yedeğiniz temizse, bu en iyi seçenektir. - Fidyeyi ödemek. Bu en kötü seçenektir ancak, bir çok kuruluşun gerekli yedeklemeleri olmadığından dolayı başka seçeneği yoktur. - Verilerinizin kaybını kabul edin. Fidyeyi ödemekten kaçınabiliyorsanız, bunu yapmak daha iyidir. Saldırganların taleplerine boyun eğmek, onları başkalarına saldırmaya teşvik eder ve sorunu daha da kötüleştirir. Çoğu zaman, karar basit bir ekonomik hesaplamaya bağlıdır; Verileri kaybetmenin maliyeti fidyeyi ödemekten daha mı büyük? Evet ise, birçok şirket saldırganlara ödeme yapmak için zor bir karar veriyor, siz de bunlardan biri olabilirsiniz. **8. Şifrelenmiş dosyaları yedekleyin.** Şifrelenmiş dosyaları yedekleme, işlemin son derece önemli bir parçasıdır. Olayı izole ettikten ve uğraştığınız LockBit fidye yazılımı varyantını keşfettikten sonra, bir sonraki eyleminiz tüm şifrelenmiş dosyaların yedeğini oluşturmak olmalıdır. Şifre çözme işlemi sırasında bir şeyler ters giderse, tekrar deneyebilmeniz için dosyaların bir kopyasına sahip olmalısınız. **9. Verilerinizi geri yükleyin.** Güvenli bir yedeğiniz varsa, saldırıya sebep olan güvenlik açığını giderdikten sonra verilerinizi geri yükleyebilirsiniz. Saldırganlar da bunun farkında olduğu için, LockBit fidye yazılımı önce yedeklemeleri şifrelemeye öncelik verir. Sisteminizi geri yüklemek için herhangi bir yedeklemeyi kullanmadan önce, yedeklemenin herhangi bir gizli fidye yazılımı içermediğinden emin olun. Ancak başka seçeneğiniz yoksa, saldırganlara ödeme yapmanız gerekebilir. Fidye yazılımı saldırılarının kurbanlarına doğrudan saldırganlarla iletişime geçmesini önermiyoruz. Saldırganlar sizden yararlanmaya çalışabilir ve boş tehditlerle size baskı yapabilir. Saldırganlarla uğraşırken konumunuzu iyi belirlemeniz gerekir. Saldırganlar aslında verilerin değerini bilemeyebilir. Deneyimsiz aracılar, saldırganların taleplerini artırmalarına neden olan bilgileri yanlışlıkla ifşa edebilir. Çoğu LockBit fidye yazılımı saldırısı için yapılan görüşmeleri profesyonellerden oluşan ekipler gerçekleştirir. Farklı grupların çalışma yöntemini ve bunlarla başa çıkmanın yöntemlerini bilmek, yapılan görüşmeler sonucunda daha az maliyet ile dosyalarınıza ulaşmanızı sağlayabilir. Çoğu durumda, iletişimleri ve ödemeleri yönetmesi için profesyonelleri işe almak, doğrudan saldırganlarla uğraşmaktan daha ucuz olabilir. Dikkate alınması gereken diğer bir faktör, bir yedeği geri yüklemek için gereken süredir. Geri yüklenecek terabaytlarca veri olması durumunda, yedekten geri yüklenmesi günler alabilir. Kuruluşunuz operasyonların askıya alınması nedeniyle çok para kaybediyorsa, saldırganlara ödeme yapmak ve verilerin şifresini çözmek, tam bir geri yüklemeyi beklemekten daha ucuz olabilir. Yedekleme güncel değilse, son yedeklemeden bu yana kaybolan verilerin maliyetini hesaplamanız gerekir. **10. Saldırganlarla iletişim kurun.** Ne yazık ki, çoğu durumda saldırganlarla iletişim kurmaktan başka seçenek yoktur. Komplikasyonları önlemek için deneyimli profesyonel aracılar ile çalışmanızı öneririz. İletişim sırasında ortaya çıkabilecek bir takım komplikasyonlar vardır. Saldırganlar daha fazla ödeme talep ediyor. Saldırganlar bazen sözlerini tutmazlar. Müzakerelerin önemli bir kısmı, saldırganların verileri kaybetmek istediğiniz veya ek ödeme yapacak bütçeniz olmadığı izlenimini uyandıracak şekilde iletişim kurmaktır. Saldırganlar, ek hedefler bulmak için iletişimi kullanıyor. Saldırganlar bazen iletişim yoluyla elde edilen bilgileri kimlik hırsızlığı veya daha fazla saldırı için kişileri hedeflemek için kullanır. Saldırganlarla iletişim kurarken, müşterilerinizi korumak için anonim, tek kullanımlık e-posta adresleri kullanın. **Şifre çözme aracı çalışmıyor.** Bazen saldırganlar tarafından sağlanan şifre çözme aracı çalışmayabilir. Bu durumda, anahtarın doğru olduğunu doğrulamanız gerekir. Bazı durumlarda, şifre çözme işlemini karmaşıklaştırabilecek birden fazla anahtar olabilir. **Şifre çözme aracı bir truva atı taşıyor.** Siber suçlular bazen bir fidye ödemesini alır, ancak verdikleri şifre çözme aracına başka bir virüs yerleştirirler. Şifre çözme aracını yalıtılmış bir sanal makine gibi güvenli bir ortamda almak ve kullanmadan önce iyice kontrol etmek önemli bir adımdır. En iyi müzakere stratejisi, aşağıdakiler de dahil olmak üzere bir dizi faktöre bağlıdır: - Hangi grupla uğraştığını bilmek. - Geçmişteki faaliyetleri hakkında bilgileri toplamak. - İşletme hakkında ne kadar bilgiye sahip olduklarını öğrenmek. - Güvenliği ihlal edilmiş verilerin değerini ne kadar iyi anladıklarını öğrenmek. **11. Güvenliği artırmak için adımlar atın.** Daha önce bahsedildiği gibi, LockBit fidye yazılımı saldırıları çoğu kurbanı birden fazla kez vurur. Bunun nedeninin bir kısmı, ilk saldırının yanlış ele alınmasından kaynaklanmaktadır. Olabildiğince hızlı bir şekilde tekrar çalışmaya başlamak istemeniz anlaşılabilir, ancak bir daha darbe almamak için bazı önlemler almak önemlidir. İlk olarak, tüm fidye yazılımlarını ve kötü amaçlı yazılımları tamamen kaldırmak önemlidir. İkinci olarak, yazılımınızın tüm sürümlerini güvenlik açıkları açısından kontrol etmeniz ve her şeyin güncel olduğundan emin olmanız önemlidir. Bir fidye yazılımı saldırısının ardından, işletim prosedürünüzü ayarlamanız gerekebilir. Örneğin, çevrimdışı bir depolama ortamında veya ağınızdan izole edilmiş bir sunucuda yedekleme yapabilirsiniz. İşlem sırasında anti-virüs taraması da önemlidir. Tüm çalışanları, siber güvenlik farkındalığı konusunda eğitmek önemlidir....

Qilin Ransomware Nedir? Qilin, 2022 yılında "Agenda" adıyla ortaya çıkan ve kısa sürede dünyanın en tehlikeli fidye yazılımı gruplarından biri haline gelen bir siber suç örgütüdür. Rusya merkezli olduğu değerlendirilen grup, özellikle 2025 yılında gerçekleştirdiği saldırılarla küresel siber güvenlik gündeminin en üst sıralarına yerleşti. Grup adını Çin mitolojisindeki efsanevi yaratık "Qilin"den (麒麟) almaktadır. Ancak operatörlerin Rusça konuşması ve Bağımsız Devletler Topluluğu (BDT) ülkelerindeki kuruluşları hedef almaması, grubun Rus kökenli olduğuna işaret etmektedir. Tarihsel Gelişim ve Evrim Süreci 2022: Başlangıç Dönemi Qilin operasyonu ilk olarak Temmuz 2022'de "Agenda" adıyla başladı. Trend Micro araştırmacıları tarafından Ağustos 2022'de tespit edilen zararlı yazılım, başlangıçta Go programlama dilinde geliştirilmişti. Kaynak kod analizi, Black Basta, BlackMatter ve REvil aileleriyle benzerlikler ortaya koydu. 2022-2023: Dönüşüm ve Yeniden Markalaşma Eylül 2022'de grup, Agenda adını bırakarak Qilin markasına geçiş yaptı. Bu değişiklik, Rust tabanlı yeni bir varyantın piyasaya sürülmesiyle eş zamanlı gerçekleşti. Şubat 2023 itibarıyla Qilin, hem şifreleme hem de veri sızdırma yetenekleri sunan tam operasyonel bir RaaS (Ransomware-as-a-Service) platformu haline geldi. 2023: Linux ve ESXi Desteği Aralık 2023'te VMware ESXi sunucularını hedef alan Linux versiyonu keşfedildi. Bu gelişme, grubun kurumsal sanallaştırma altyapılarına yönelik artan ilgisini gösterdi. 2024-2025: Patlama Dönemi 2024 yılında grup 50 milyon doların üzerinde fidye ödemesi topladı. 2025'te ise RansomHub'ın Nisan ayında devre dışı kalmasının ardından o grubun iş ortaklarını bünyesine katarak muazzam bir büyüme yaşadı. 2025 Saldırı İstatistikleri Qilin, 2025 yılında tartışmasız şekilde en aktif fidye yazılımı grubu konumuna yükseldi: - **Toplam Kurban Sayısı:** 1.066 (2024'e göre %408 artış) - **Aylık Ortalama Kurban:** 40+ (yılın ikinci yarısında) - **Çalınan Veri Miktarı:** 31,2 petabayt - **Tahmini Toplam Zarar:** Yüz milyonlarca dolar Nisan 2025 sonunda 185 olan kurban sayısı, RansomHub'ın kapanmasının ardından %280 artışla 701'e fırladı. Bu dramatik yükseliş, grubun rakip operasyonlardan deneyimli iş ortaklarını çekme kapasitesini açıkça ortaya koydu. 2026 Yılı Projeksiyonları 2026'nın ilk haftalarında bile Qilin yavaşlama belirtisi göstermiyor: - Ocak 2026'da 55 yeni kurban açıklandı - 2025 hızının üzerinde bir tempo yakalandı - Yıl sonuna kadar 12.000'i aşan küresel fidye yazılımı vakası bekleniyor Hedef Sektörler ve Coğrafi Dağılım En Çok Hedef Alınan Sektörler | Sektör | Oran | |--------|------| | Üretim | %23 | | Eğitim | Yüksek | | Sağlık | Yüksek | | Kamu Kurumları | Yüksek | | Finansal Hizmetler | Orta | Sağlık Sektörü Üzerindeki Etki Qilin, sağlık sektöründe en fazla kurban açıklayan fidye yazılımı grubu unvanını taşımaktadır: - 2022'den bu yana 69 sağlık kuruluşu hedef alındı - 28 saldırı doğrulandı - Sadece 2025'te 45 sağlık saldırısı gerçekleşti **Synnovis NHS Saldırısı (İngiltere):** Şubat 2025'te Londra sağlık sisteminin kritik bir tedarikçisine yapılan saldırı, 170'ten fazla hasta zararı vakasına yol açtı. İki hastada kalıcı hasar oluşurken, bir hasta hayatını kaybetti. Tek başına bu saldırının maliyeti 40 milyon doları aştı. **Covenant Health İhlali:** Mayıs 2025'te tespit edilen saldırıda 478.188 hastanın verileri ele geçirildi. Saldırganlar 852 GB boyutunda yaklaşık 1,35 milyon dosya sızdırdı. Coğrafi Hedefleme 2025 yılında en çok saldırıya uğrayan ülkeler: 1. **ABD:** 3.255 vaka (%28 artış) 2. **Kanada:** 352 vaka 3. **Almanya:** 270 vaka 4. **İngiltere:** 233 vaka 5. **Fransa:** 155 vaka Teknik Altyapı ve Saldırı Metodolojisi RaaS İş Modeli Qilin, gelişmiş bir Ransomware-as-a-Service modeli işletmektedir: - İş ortakları fidye gelirinin %80-85'ini alır - Çekirdek ekip %15-20 pay alır - RAMP forumunda tanıtım yapılır (hesap ücreti 500$ BTC) - Çift gasp stratejisi uygulanır Şifreleme Teknolojisi Qilin, endüstri standardı şifreleme algoritmalarını kullanmaktadır: - **ChaCha20:** Hızlı simetrik şifreleme - **AES:** Gelişmiş şifreleme standardı - **RSA-4096:** Asimetrik anahtar şifreleme Operatörler dört farklı şifreleme modu arasında seçim yapabilir: - Normal - Step-skip - Fast - Percent İlk Erişim Vektörleri Qilin iş ortakları çeşitli giriş noktaları kullanmaktadır: **Kimlik Avı Saldırıları:** Hedefli spear phishing kampanyaları aracılığıyla kötü amaçlı bağlantılara yönlendirme. **Güvenlik Açığı İstismarı:** - FortiGate: CVE-2024-21762, CVE-2024-55591 - Veeam Backup: CVE-2023-27532 - SAP NetWeaver: CVE-2025-31324 - JetBrains TeamCity: CVE-2024-27198 **Uzak Erişim Servisleri:** RDP, Citrix ve VPN sistemlerindeki zafiyetler. MITRE ATT&CK Eşleştirmesi | Taktik | Teknik | Açıklama | |--------|--------|----------| | İlk Erişim | T1078 | Geçerli hesapların kullanımı | | İlk Erişim | T1190 | Kamuya açık uygulamaların istismarı | | Yürütme | T1204.002 | Kötü amaçlı dosya çalıştırma | | Ayrıcalık Yükseltme | T1134 | Token manipülasyonu | | Savunma Atlatma | T1562 | Güvenlik yazılımlarını devre dışı bırakma | | Yanal Hareket | T1091 | Çıkarılabilir medya ile yayılma | | Etki | T1657 | Finansal hırsızlık | Kullanılan Araç Seti **Kimlik Bilgisi Toplama:** - Mimikatz (Themida paketli) - DonPAPI - NetExec - PowerHuntShares **Uzaktan Erişim Truva Atları:** - XenoRAT - MeshCentral **Yükleyiciler:** - SmokeLoader - NETXLOADER Benzersiz Operasyonel Yetenekler Qilin, kendisini diğer fidye yazılımı gruplarından ayıran özellikler sunmaktadır: - **Petabayt Ölçekli Depolama:** Çalınan veriler için devasa altyapı - **Hukuki ve Medya Desteği:** Kurbanlara baskı için profesyonel hizmetler - **Spam Araçları:** İlave baskı mekanizmaları - **DDoS Seçeneği:** Nisan 2025'te eklenen yeni yetenek - **Safe Mode Şifreleme:** Güvenlik yazılımlarını atlatmak için sistem yeniden başlatma Korunma Stratejileri ve Öneriler CISA Uyarıları ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Qilin tehdidi konusunda acil uyarı yayınladı. Pentagon'un Qilin grubunu aktif olarak izlediği doğrulandı. Saldırı Yüzeyi Sertleştirme 1. **Güvenlik Yaması Yönetimi:** VPN, RDP ve VMware ESXi gibi sistemlerde güvenlik açıklarını derhal kapatın 2. **Kimlik ve Erişim Yönetimi:** MFA'yı tüm hesaplarda, özellikle uzak erişim araçlarında zorunlu kılın 3. **Ağ Segmentasyonu:** Sıfır güven modeliyle yanal hareketi sınırlandırın Yedekleme ve Kurtarma - Hava boşluklu (air-gapped) veya değiştirilemez (immutable) depolama kullanın - Düzenli yedekleme testleri yapın - İyi planlanmış olay müdahale prosedürleri oluşturun Tespit ve İzleme - Uç nokta tespit ve yanıt (EDR) çözümleri dağıtın - PsExec ve PowerShell gibi yönetim araçlarının kullanımını izleyin - Kimlik davranışı, yanal hareket ve veri sızdırma telemetrisini birleştirin Kritik Altyapı Zafiyetleri Qilin'in hedef aldığı ortak altyapı zayıflıkları: - Geniş, dağıtık ağlar - Eski sistemler (legacy) - Yanlış yapılandırılmış uzak erişim servisleri Gelecek Öngörüleri Qilin'in 2026'da da en baskın fidye yazılımı grubu olarak devam etmesi beklenmektedir. Ancak operasyonların bu ölçekte genişlemesi, grubu kolluk kuvvetlerinin öncelikli hedefi haline getirmektedir. Tarihsel veriler, yüksek etkili saldırılar gerçekleştiren fidye yazılımı gruplarının genellikle çöktüğünü göstermektedir. Qilin'in agresif stratejisi benzer riskleri beraberinde getirmektedir. Özellikle sağlık ve kamu hizmetleri gibi kritik sektörleri hedef alması, ciddi tepkilere yol açabilir. Sonuç Qilin, modern fidye yazılımı ekosisteminin en tehlikeli ve organize tehdit aktörlerinden biri olarak öne çıkmaktadır. Gelişmiş teknik yetenekleri, geniş iş ortağı ağı ve acımasız hedefleme stratejisi, kuruluşların proaktif savunma önlemleri almasını zorunlu kılmaktadır. Her ölçekteki işletme ve kurum, Qilin ve benzeri tehditlere karşı kapsamlı bir siber güvenlik stratejisi geliştirmeli, düzenli güvenlik değerlendirmeleri yapmalı ve olay müdahale planlarını güncel tutmalıdır....

Akira Ransomware Nedir? Akira, Mart 2023'te ortaya cikan ve kisa surede dunyanin en yikici fidye yazilimi gruplarindan biri haline gelen bir siber suc orgutudur. Storm-1567, Howling Scorpius, Punk Spider ve Gold Sahara olarak da bilinen grup, dagilmis Conti fidye yazilimi grubuyla baglantili oldugu degerlendirilmektedir. Grup adi, 1988 yapimi unlu Japon animasyon filmi Akira'dan esinlenmistir. Karanlik ve yikici temasi, grubun saldiri yaklasimini yansitmaktadir. Tarihsel Gelisim 2023: Ortaya Cikis Akira ilk olarak Mart 2023'te tespit edildi. Baslangicta C++ ile yazilan ransomware, dosyalari .akira uzantisiyla sifreliyordu. Grubun Conti'nin dagilmasindan sonra ortaya cikmasi, eski Conti uyelerinin bu operasyona katildigina isaret etmektedir. 2023: Megazord Varyanti Agustos 2023'te grup, Rust tabanli Megazord sifreleyicisini devreye aldi. Bu varyant dosyalari .powerranges uzantisiyla sifreliyor. Akira operatorleri, her iki varyanti da duruma gore kullanmaya devam etmektedir. 2024: Akira_v2 ve ESXi Hedeflemesi 2024 yilinda Rust tabanli Akira_v2 varyanti piyasaya suruldu. Bu versiyon ozellikle VMware ESXi sunucularini hedef aliyor ve genisletilmis komut satiri argumanlarini destekliyor. 2024 yilinda 315 kurban kaydedilerek en aktif fidye yazilimi gruplari arasinda yer aldi. 2025: Patlama Yili 2025, Akira icin muazzam bir buyume yili oldu. Kasim 2024'te tek bir ayda 73 kurbanla rekor kirdi. Kasim 2025'te FBI, CISA, DC3, HHS ve uluslararasi kolluk kuvvetleri ortak bir siber guvenlik uyarisi yayinladi. 2026: Devam Eden Tehdit Ocak 2026 itibariyle Akira, kuresel olcekte en aktif fidye yazilimi gruplarindan biri olmaya devam etmektedir. Syrstone gibi ABD merkezli sirketler Ocak 2026'da saldiriya ugramistir. Grup, MSP'leri (Yonetilen Hizmet Saglayicilari) hedef almaya devam etmektedir. 2024-2026 Saldiri Istatistikleri Akira, 2024-2026 doneminde etkileyici rakamlar kaydetti: - Toplam Fidye Geliri: 244,17 milyon USD - 2024 Toplam Saldiri: 315 - 2025 Ocak-Kasim Toplam Saldiri: 683 - Yillik Artis (2024-2025): %151 - Kasim 2024 Rekor Kurban: 73 - Etkilenen Toplam Organizasyon: 250+ - Son 90 Gunluk Kurban: 149 2026 Ocak Saldirilari - Syrstone (ABD): 12 Ocak 2026'da kesfedildi - Cesitli kucuk ve orta olcekli isletmeler hedef alinmaya devam ediyor - MSP'ler birincil hedefler arasinda Hedef Ulkeler 2024-2026 doneminde en cok saldiriya ugrayan ulkeler: - ABD: 455+ saldiri - Fransa: Tespit edilen saldirilarin %53,1'i - Almanya: 26 saldiri - Kanada: 26 saldiri - Italya: 21 saldiri - Ispanya: 17 saldiri - Ingiltere: 14 saldiri Hedef Sektorler Akira oncelikli olarak kucuk ve orta olcekli isletmeleri hedef alsa da buyuk kuruluslara da saldirmaktadir: - Uretim: En fazla hedeflenen sektor - Hukuk ve Profesyonel Hizmetler: Hukuk firmalari, muhasebe - Insaat ve Muhendislik: Insaat sirketleri - Egitim: Universiteler ve okullar - Bilgi Teknolojileri: IT firmalari ve MSP'ler - Saglik: Hastaneler ve saglik kuruluslari - Finansal Hizmetler: Bankalar ve sigorta - Gida ve Tarim: Tarim sirketleri MSP Hedeflemesi 2026 basinda Akira ve Lynx fidye yazilimlari, Yonetilen Hizmet Saglayicilari (MSP) hedef almaya devam etmektedir. MSP'ler, birden fazla musteriye erisim sagladiklari icin yuksek degerli hedefler olarak gorulmektedir. Teknik Altyapi Ilk Erisim Vektorleri Akira operatorleri cesitli giris yontemleri kullanmaktadir: **VPN Istismari:** MFA yapilandirilmamis VPN servisleri uzerinden erisim saglanmaktadir. Ozellikle Cisco urunlerindeki bilinen CVE'ler ve SonicWall SSL VPN zafiyetleri (CVE-2024-40766) istismar edilmektedir. **Kimlik Avi:** Spearphishing ekleri (T1566.001) ve baglantilari (T1566.002) kullanilmaktadir. **Gecerli Kimlik Bilgileri:** Calinti veya satin alinmis kimlik bilgileriyle (T1078) erisim saglanmaktadir. **Uzak Erisim:** RDP (T1133) gibi dis baglanti servisleri istismar edilmektedir. MITRE ATT&CK Eslestirmesi **Ilk Erisim:** - T1566.001 - Spearphishing Attachment - T1566.002 - Spearphishing Link - T1078 - Valid Accounts - T1190 - Exploit Public-Facing Application - T1195 - Supply Chain Compromise - T1133 - External Remote Services **Ayricalik Yukseltme:** - T1078 - Valid Accounts - T1136.002 - Create Account: Domain Account - T1547.009 - Shortcut Modification - T1547.001 - Registry Run Keys / Startup Folder **Kalicilik:** - LogMeIn ve AnyDesk gibi legitim uzaktan erisim araclari **Komuta ve Kontrol:** - T1572 - Protocol Tunneling (Ngrok ile sifrelenmis oturumlar) **Yurutme:** - T1059.001 - PowerShell - WMIC ile hizmetleri devre disi birakma ve komut dosyasi calistirma Sifreleme Teknolojisi Akira uc farkli sifreleyici kullanmaktadir: - **Orijinal Akira:** C++ tabanli, .akira uzantisi - **Megazord:** Rust tabanli, .powerranges uzantisi - **Akira_v2:** Rust tabanli, ESXi odakli 2025-2026 Teknik Gelismeler Akira'nin yeteneklerinde onemli genislemeler goruldu: - VMware ESXi otesinde Hyper-V destegi - Haziran 2025'te ilk kez Nutanix AHV sanal disk dosyalarini sifreleme basarisi - SonicWall SSL VPN'lerde toplu istismar - Iki saat icinde veri sizdirma kapasitesi Kullanilan Araclar **Uzaktan Erisim:** - LogMeIn - AnyDesk - Ngrok **Kesfetme:** - AdFind - Advanced IP Scanner - SharpHound **Kimlik Bilgisi Toplama:** - Mimikatz - LaZagne **Yanal Hareket:** - PsExec - RDP Korunma Onerileri CISA/FBI Onerileri Kasim 2025 ortak uyarisinda belirtilen kritik onlemler: **VPN Guvenligi:** - Tum VPN erisimlerinde MFA zorunlu kilin - Cisco ve SonicWall cihazlarini guncelleyin - CVE-2024-40766 yamasini uygulayin **Ag Segmentasyonu:** - Kritik sistemleri izole edin - Yanal hareketi sinirlandirin **Yedekleme:** - Cevrimdisi yedekler olusturun - Duzenli yedekleme testleri yapin **Izleme:** - EDR cozumleri konuslandirin - PowerShell ve WMIC aktivitelerini izleyin - Ngrok gibi tunelleme araclarini engelleyin Kritik Yamalar Oncelikli olarak yamanmasi gereken zafiyetler: - CVE-2024-40766 (SonicWall) - Cisco ASA/FTD CVE'leri - VMware ESXi zafiyetleri Fidye Talepleri Akira, cift gasp stratejisi uygulamaktadir: - Dosya sifreleme - Veri sizdirma tehdidi - Fidye miktarlari: 200.000 USD - 4 milyon USD arasi - Tercih edilen odeme: Bitcoin veya Monero 2025 Fidye Yazilimi Ekosistemi 2025 yilinda kuresel fidye yazilimi saldirilari %50'den fazla artarak 8.000'den fazla kurban kaydedildi. Akira, Qilin, Cl0p ve Play ile birlikte sizinti sitelerinde en sik gorulen gruplar arasinda yer almaktadir. Gelecek Ongoruleri Akira'nin 2026'da da en tehlikeli fidye yazilimi gruplarindan biri olarak devam etmesi beklenmektedir: - MSP hedeflemesinin artmasi - Hyper-V ve Nutanix AHV desteginin genislemesi - Daha hizli veri sizdirma teknikleri - Yeni VPN zafiyetlerinin istismari Sonuc Akira, 2025-2026 doneminde en tehlikeli fidye yazilimi gruplarindan biri olarak konumunu saglam-lastirdi. Conti mirasini tasiyan grup, surekli evrim geciren teknikleri ve genisleyen hedef yelpazesiyle kurumlar icin ciddi bir tehdit olusturmaktadir. FBI ve CISA'nin ortak uyarilari, bu tehdidin ciddiyetini vurgulamaktadir. 244 milyon dolari asan fidye gelirleri, grubun finansal etkisini ortaya koymaktadir. Kuruluslarin ozellikle VPN guvenligi, MFA uygulamasi ve duzenli yedekleme konularina oncelik vermesi gerekmektedir....

Clop Ransomware Nedir? Clop (ayni zamanda Cl0p olarak da yazilir), Subat 2019'da ortaya cikan ve fidye yazilimi dunyasinin en tehlikeli ve yenilikci gruplarindan biri haline gelen sofistike bir siber suc orgutudur. Baslangicta CryptoMix fidye yazilimi varyantindan evrilen grup, kuruldugundan bu yana 500 milyon dolarin uzerinde gasp odemesi toplamis ve dunya genelinde 11.000'den fazla kurulusu tehlikeye atmistir. Clop, guvenlik arastirmacilari tarafindan TA505 veya FIN11 olarak da bilinen tehdit aktorune atfedilmektedir. Rusca konusan bir hacker grubu olarak tanimlanan Clop, Ransomware-as-a-Service (RaaS) modeli cercevesinde faaliyet gostermektedir. Grubun en dikkat cekici ozelligi, geleneksel sifreleme odakli saldirilardan veri hirsizligi merkezli kampanyalara gecis yaparak fidye yazilimi taktiklerini yeniden tanimlamasidir. Tarihsel Gelisim ve Evrim Sureci 2019: Ortaya Cikis Donemi Clop, Subat 2019'da CryptoMix fidye yazilimi varyantindan evrildi. Baslangicta grup, Windows sistemlerini hedef alan geleneksel spear-phishing kampanyalari kullaniyordu. Makro iceren belgeler araciligiyla Get2 malware dropper'i kullanarak SDBot ve FlawedGrace zararlilari dagitiliyordu. 2020-2022: Buyume ve Diversifikasyon Bu donemde Clop, saldiri yelpazesini genisletti ve kurumsal altyapilara yonelik daha sofistike teknikler gelistirdi. Grup, dosya transfer platformlarindaki sifir gun zafiyetlerini istismar etme stratejisini benimsemeye basladi. 2023: MOVEit Felaketi Mayis 2023'te Clop, Progress Software'in MOVEit Transfer urununde yeni kesfedilen bir SQL injection zafiyetini (CVE-2023-34362) istismar etti. Bu saldiri, binlerce firmanin veri ihlali yasadigi kuresel bir gizlilik felaketi olarak nitelendi. Olayin tahmini toplam maliyeti 12,15 milyar dolara ulasti. Sadece MOVEit kampanyasindan Clop'un 75-100 milyon dolar arasinda kazanc elde ettigi tahmin edilmektedir. 2024: Cleo Kampanyasi Aralik 2024'te Clop operatorleri, Cleo yazilim grubunu hedef alarak sifir gun zafiyetlerini istismar ettigini duyurdu. Cleo Harmony, VLTrader ve LexiCom dosya transfer platformlarindaki zafiyetler istismar edildi. 2025: Yeniden Yukselis 2025 yilinin ilk ceyreginde Clop, LockBit'i gecerek en uretken fidye yazilimi grubu konumuna yukseldi. Ocak'tan Subat'a fidye yazilimi saldirilari %50 artti ve bu artisin yaklasik %40'i Clop'a atfedildi. 2025 yilinda toplam 533 saldiri gerceklestiren Clop, yuzde 177 oraninda buyume kaydetti. 2026: Saldirilar Devam Ediyor Clop, 2026 yilinda da aktif saldirilarini surdurmektedir. Ocak 2026'daki onemli saldirilar arasinda: - 8 Ocak 2026: K&H Facility Services saldirisi gerceklestirildi - 27 Ocak 2026: Johnson Regional Medical Center saldirisi gerceklestirildi Grup, ozellikle saglik sektoru ve kurumsal hizmetler alaninda hedeflemeye devam etmektedir. 2025-2026 Saldiri Istatistikleri ve Trendler Clop, 2025 yilinda dramatik bir yukselis gosterdi ve saldiri istatistikleri grubun artan tehdit kapasitesini acikca ortaya koymaktadir: **Genel Istatistikler:** - 2025 Toplam Saldiri: 533 - 2024'e Gore Buyume: %177 - Q1 2025 Kamuya Aciklanan Kurban: Yaklasik 400 - 2024 Q4 Performansi: En aktif fidye yazilimi grubu (RansomHub ve Akira'yi gecti) - Q1 2025 Performansi: LockBit'i gecerek en uretken grup - Toplam Tarihsel Kazanc: 500 milyon dolar uzerinde - Toplam Etkilenen Kurulus: 11.000+ **Cleo Kampanyasi Istatistikleri:** - Aralik 2024 Ilk Duyuru: 60+ kurban - Subat 2025 Itibariyla: 182 Cleo kurbani - En Cok Etkilenen Sektor: Uretim (%25+) **Cografi Dagilim:** - Kuzey Amerika: %65 - Avrupa: %18 - Asya: %7 - Diger: %10 Buyuk Saldiri Kampanyalari MOVEit Kampanyasi (2023) Clop'un en yikici kampanyalarindan biri, Progress Software'in MOVEit Transfer urununu hedef aldi: **Teknik Detaylar:** - Istismar Edilen Zafiyet: CVE-2023-34362 (SQL Injection) - Hedef Urun: MOVEit Transfer dosya aktarim yazilimi - Saldiri Tarihi: Mayis 2023 **Etki:** - Binlerce firma veri ihlali yasadi - Tahmini toplam maliyet: 12,15 milyar dolar - Clop kazanci: 75-100 milyon dolar (tahmini) - Kuresel gizlilik felaketi olarak nitelendi **Hedeflenen Sektorler:** - Finans ve Bankacilik - Saglik - Kamu Kurumlari - Egitim - Perakende Cleo Kampanyasi (2024-2025) Clop'un son buyuk kampanyasi, Cleo dosya transfer platformlarini hedef aldi: **Teknik Detaylar:** - CVE-2024-50623: Sinirlandirilmamis dosya yukleme ve indirme zafiyeti (Ekim 2024'te yamali, ancak yama yetersiz) - CVE-2024-55956: Sifir gun zafiyeti (Aralik 2024'te istismar edildi) **Hedeflenen Platformlar:** - Cleo Harmony - Cleo VLTrader - Cleo LexiCom **Etki:** - Aralik 2024: 60+ kurban duyurusu - Subat 2025: 182 kurban kamuya aciklandi - En cok etkilenen sektor: Uretim (%25+) **Uretim Sektorune Etki:** Uretim sektoru, Cleo kampanyasinda en cok etkilenen sektor oldu. Bu durum, Cleo'nun uretim is akislarinda yaygin kullanimini yansitmaktadir. GoAnywhere Kampanyasi (2023) MOVEit'ten once Clop, Fortra'nin GoAnywhere MFT urunundeki zafiyetleri de istismar etmisti. Bu kampanya, grubun dosya transfer platformlarina odaklanma stratejisinin erken bir ornegiydi. Teknik Altyapi ve Saldiri Metodolojisi Strateji Degisimi: Sifrelemeden Veri Hirsizligina Clop'un en onemli ozelligi, geleneksel sifreleme odakli saldirilardan veri hirsizligi merkezli kampanyalara gecis yapmasidir: **Geleneksel Yaklasim (Eski):** - Sistemlere sizme - Dosyalari sifreleme - Sifre cozme anahtari icin fidye talep etme **Yeni Yaklasim (Guncel):** - Dosya transfer platformlarindaki zafiyetleri istismar etme - Buyuk olcekli veri calma - Calinan verilerin yayinlanmasi tehdidiyle gasp Bu strateji degisimi, kurumsal altyapilara karsi Clop'un etkinligini onemli olcude artirdi. Sifreleme yerine veri hirsizligina odaklanmak, daha sessiz ve daha olceklenebilir saldirilar yapilmasina olanak tanimaktadir. Ilk Erisim Vektorleri **Sifir Gun Istismari:** Clop, dosya transfer platformlarindaki sifir gun zafiyetlerini istismar etme konusunda uzmanlastirir: - MOVEit Transfer (CVE-2023-34362) - GoAnywhere MFT - Cleo platformlari (CVE-2024-50623, CVE-2024-55956) **Geleneksel Yontemler:** - Spear-phishing kampanyalari - Makro iceren belgeler - Get2 malware dropper - SDBot ve FlawedGrace dagitimi MITRE ATT&CK Eslestirmesi Clop fidye yaziliminin kullandigi teknikler MITRE ATT&CK cercevesinde asagidaki gibi siniflandirilabilir: **Ilk Erisim (Initial Access):** - T1190: Exploit Public-Facing Application - Kamusal uygulamalarin istismari - T1566.001: Phishing: Spearphishing Attachment - Hedefli kimlik avi - T1078: Valid Accounts - Gecerli hesaplarin kullanimi **Yurutme (Execution):** - T1059.001: PowerShell - T1059.005: Visual Basic - Makro yurutme - T1204.002: Malicious File - Kotu amacli dosya yurutme **Kalicilik (Persistence):** - T1547.001: Registry Run Keys / Startup Folder - T1053.005: Scheduled Task **Ayricalik Yukseltme (Privilege Escalation):** - T1068: Exploitation for Privilege Escalation - T1078: Valid Accounts **Savunma Atlatma (Defense Evasion):** - T1562.001: Disable or Modify Tools - Guvenlik yazilimlarini devre disi birakma - T1070.001: Clear Windows Event Logs - Olay gunluklerini temizleme - T1490: Inhibit System Recovery - Sistem kurtarmayi engelleme **Kimlik Bilgisi Erisimi (Credential Access):** - T1003: OS Credential Dumping - T1555: Credentials from Password Stores **Kesfetme (Discovery):** - T1082: System Information Discovery - T1083: File and Directory Discovery - T1018: Remote System Discovery **Yanal Hareket (Lateral Movement):** - T1021.001: Remote Desktop Protocol - T1021.002: SMB/Windows Admin Shares **Toplama (Collection):** - T1560: Archive Collected Data - T1119: Automated Collection **Veri Sizdirma (Exfiltration):** - T1041: Exfiltration Over C2 Channel - T1567: Exfiltration Over Web Service **Etki (Impact):** - T1486: Data Encrypted for Impact - T1490: Inhibit System Recovery - T1489: Service Stop Sifreleme Mekanizmasi Clop, Windows CryptoAPI kullanarak verileri sifreler: **Sifreleme Ozellikleri:** - 1024-bit RSA public key (kurbana ozel) - Her kurbana benzersiz fidye notu - Windows CryptoAPI kullanimi **Sifreleme Oncesi Islemler:** - Yedekleme dosyalarini silme - Volume Shadow Copy Service'i silme - Olay gunluklerini silme - Guvenlik yazilimlarini sonlandirma - Disk alanini yeniden boyutlandirma Kullanilan Arac ve Yazilimlar **Malware Dropper:** - Get2: Ilk asama dropper **Uzaktan Erisim:** - SDBot: Uzaktan erisim truva ati - FlawedGrace: RAT varyanti **Veri Sizdirma:** - Ozel gelistirilmis araclar - Bulut tabanli sizdirma yontemleri Hedef Sektorler ve Kurban Profili Clop, genis bir sektor yelpazesini hedef almaktadir: **Birincil Hedef Sektorler:** **Uretim:** Cleo kampanyasinda kurbanlarin %25'inden fazlasini olusturdu. Uretim is akislarinda dosya transfer platformlarinin yaygin kullanimi bu sektoru savunmasiz kilmaktadir. **Finans ve Bankacilik:** Hassas finansal veriler ve yuksek fidye odeme kapasitesi nedeniyle oncelikli hedefler arasindadir. **Saglik:** Hasta verileri ve saglik hizmetlerinin kritik dogasi nedeniyle cazip bir hedeftir. Ocak 2026'daki Johnson Regional Medical Center saldirisi bu trendi dogrulamaktadir. **Egitim:** Universiteler ve egitim kurumlari, MOVEit kampanyasinda onemli olcude etkilendi. **Kamu Kurumlari:** Devlet kuruluslari ve belediyeler hedef alinmaktadir. **Profesyonel Hizmetler:** Hukuk firmalari, muhasebe ve danismanlik sirketleri. Ocak 2026'daki K&H Facility Services saldirisi bu kategoriyi temsil etmektedir. Korunma Stratejileri ve Oneriler Dosya Transfer Platformu Guvenligi Clop'un dosya transfer platformlarini hedef alma stratejisi goz onunde bulundurularak: **Kritik Yamalar:** - MOVEit Transfer zafiyetlerini (CVE-2023-34362) derhal yamalayin - Cleo platformlarini (CVE-2024-50623, CVE-2024-55956) guncelleyin - GoAnywhere MFT yamalarini uygulayin - Tum dosya transfer yazilimlarini guncel tutun **Yapilandirma Sertlestirme:** - Dosya transfer platformlarini internet erisiminden izole edin - Yetkisiz dosya yuklemelerini engelleyin - Dosya turlerini ve boyutlarini sinirlandirin Ag Guvenligi **Segmentasyon:** - Dosya transfer sistemlerini ag segmentasyonuyla koruyun - Kritik sistemleri izole edin - Yanal hareketi sinirlandirin **Izleme:** - Anormal dosya transfer aktivitelerini izleyin - Buyuk veri sizdirma girisimlerini tespit edin - SQL injection girisimlerini tespit edin Yedekleme ve Kurtarma **Yedekleme Stratejisi:** - 3-2-1 yedekleme kuralini uygulayin - Cevrimdisi yedekler olusturun - Yedekleme butunlugunu duzenli olarak test edin - Volume Shadow Copy'leri koruyun **Olay Mudahale:** - Kapsamli olay mudahale plani gelistirin - Dosya transfer sistemi ihlalleri icin ozel prosedurler olusturun - Duzenli tatbikatlar gerceklestirin Guvenlik Yazilimi ve Izleme **EDR ve Anti-Malware:** - Gelismis EDR cozumleri konuslandirin - Davranissal analiz yeteneklerini etkinlestirin - Get2, SDBot ve FlawedGrace imzalarini guncelleyin **SIEM ve Log Yonetimi:** - Olay gunluklerini merkezi olarak toplayin - Anormal aktiviteleri tespit edin - Gunluk silme girisimlerini izleyin Tehdit Istihbarati ve IOC'ler CISA, Clop fidye yazilimi icin kapsamli tehdit istihbarati paylasmaktadir. Kuruluslar, guvenlik sistemlerinde bu gostergeleri kullanarak tehdit avciligi yapabilir: **Dikkat Edilmesi Gereken Aktiviteler:** - MOVEit Transfer'e yonelik SQL injection girisimleri - Cleo platformlarinda anormal dosya islemleri - Get2 dropper aktivitesi - SDBot ve FlawedGrace iletisimi - Buyuk olcekli veri sizdirma - Volume Shadow Copy silme girisimleri TA505 ve FIN11 Baglantisi Clop, TA505 (ayni zamanda FIN11 olarak da bilinir) tehdit aktoruyle iliskilendirilmektedir: **TA505/FIN11 Ozellikleri:** - Rusca konusan hacker grubu - Mali motivasyonlu saldirilar - Gelismis teknik yetenekler - Uzun sureli operasyonel gecmis **Operasyonel Yapilanma:** - RaaS modeli altinda faaliyet - Is ortakliklarina ransomware saglama - Merkezi operasyonel kontrol Gelecek Ongoruleri ve Tehdit Degerlendirmesi Clop'un 2026 ve sonrasinda evrilmeye devam etmesi beklenmektedir: **Beklenen Gelismeler:** - Yeni dosya transfer platformlarinin hedef alinmasi - Sifir gun zafiyet arastirmalarinin artmasi - Veri hirsizligi odakli saldirilarin devami - Kurumsal altyapilara yonelik sofistike kampanyalar **Risk Degerlendirmesi:** - Tehdit Seviyesi: Cok Yuksek - Hedef Kapsami: Genis (ozellikle dosya transfer sistemleri) - Teknik Sofistikasyon: Cok Yuksek - Finansal Etki: Milyarlarca dolar (MOVEit: 12,15 milyar dolar) Sonuc Clop, fidye yazilimi ekosisteminin en yenilikci ve tehlikeli gruplarindan biri olarak konumunu surdurmektedir. Grubun geleneksel sifreleme saldirilarindan veri hirsizligi merkezli kampanyalara gecisi, siber tehdit ortaminda onemli bir paradigma degisimini temsil etmektedir. MOVEit ve Cleo kampanyalari, dosya transfer platformlarinin kritik guvenlik aciklarini ve bu sistemlerin hedef alinmasinin potansiyel etkisini acikca ortaya koymaktadir. 2025 yilinda 533 saldiri ve yuzde 177 buyume orani ile Clop, fidye yazilimi tarihinin en hizli buyuyen gruplarindan biri olmustur. 2026 yilinda da K&H Facility Services ve Johnson Regional Medical Center gibi saldirilarla aktivitelerini surdurmektedir. Kuruluslarin ozellikle dosya transfer sistemlerinin guvenligine oncelik vermesi, sifir gun zafiyetlerine karsi proaktif onlemler almasi ve kapsamli veri koruma stratejileri gelistirmesi kritik onem tasimaktadir. 500 milyon dolarin uzerinde tarihsel kazanc ve 11.000'den fazla etkilenen kurulusla Clop, kuresel siber guvenlik icin en ciddi tehditlerden biri olmaya devam etmektedir. Ozellikle Q1 2025'te LockBit'i gecerek en uretken grup konumuna yukselmesi, tehdidin ciddiyetini ve surekliligini vurgulamaktadir....

Play Ransomware Nedir? Play (ayni zamanda Playcrypt olarak da bilinir), Haziran 2022'de ortaya cikan ve kisa surede dunyanin en aktif ve tehlikeli fidye yazilimi gruplarindan biri haline gelen sofistike bir siber suc orgutudur. Kuzey Amerika, Guney Amerika ve Avrupa'daki isletmeleri ve kritik altyapilari hedef alan grup, cift gasp modeli uygulayarak hem dosyalari sifrelemekte hem de calinan verileri yayinlamakla tehdit etmektedir. Play fidye yazilimi grubu, kapali bir yapi olarak faaliyet gostermektedir. Grubun veri sizintisi web sitesindeki bir aciklamaya gore, bu yaklasim anlasmarin gizliligini garanti altina almak icin tasarlanmistir. Bu kapali yapi, grubun operasyonel guvenligini artirmakta ve kolluk kuvvetlerinin sorusturmalarini zorlastirmaktadir. Tarihsel Gelisim ve Evrim Sureci 2022: Ortaya Cikis Donemi Play fidye yazilimi ilk olarak Haziran 2022'de siber tehdit sahnesine cikti. Grubun baslangic doneminde bile profesyonel bir operasyonel yapilanma sergiledigi gozlemlendi. Ilk saldirilardan itibaren kritik altyapilari hedef alan grup, kisa surede guvenlik arastirmacilarinin dikkatini cekti. 2023: Hizli Buyume Aralik 2023'te FBI, CISA ve Avustralya Sinyaller Mudurlugu'nun Avustralya Siber Guvenlik Merkezi (ASD's ACSC), Play fidye yazilimi hakkinda ilk ortak siber guvenlik uyarisini yayinladi. Bu tarihte grubun yaklasik 300 saldiri gerceklestirdigi biliniyordu. Uyari, grubun artan tehdit kapasitesini ve kuresel erisimini vurguladi. 2024: En Aktif Gruplardan Biri Play fidye yazilimi, 2024 yilinda en aktif fidye yazilimi gruplarindan biri olarak konumunu pekistirdi. Yil boyunca saldiri sayisi ve hedef cesitliligi onemli olcude artti. Grup, ozellikle Kuzey Amerika'daki saglik, egitim ve kamu sektorlerini yogun olarak hedef aldi. 2025: Teknik Evrim ve Guncel Tehditler Haziran 2025'te FBI ve CISA, Play fidye yazilimi hakkindaki uyariyi guncelledi. Guncelleme, grubun yeni taktik, teknik ve prosedurlerini (TTP) ve guncel tehdit gostergelerini (IOC) icermektedir. Mayis 2025 itibariyla FBI, yaklasik 900 etkilenen kurulusun farkindaydi - bu sayi, 2023 sonundaki 300 saldirinin uc katidir. 2026: Saldirilar Suruyor Play fidye yazilimi, 2026 yilinda da aktif saldirilarini surdurmektedir. Ocak 2026'daki onemli saldirilar arasinda: - 20 Ocak 2026: Contino saldirisi gerceklestirildi - 29 Ocak 2026: County of Baker saldirisi gerceklestirildi Grup, kritik altyapilara ve kamu kurumlarini hedef almaya devam etmektedir. 2025 yilinda 362 saldiri ile yuzde 59 oraninda buyume kaydeden Play, 2026'da da bu ivmeyi surdurmektedir. 2025-2026 Saldiri Istatistikleri ve Trendler Play fidye yazilimi, 2025 yilinda dramatik bir yukselis gosterdi ve saldiri istatistikleri grubun artan tehdit kapasitesini acikca ortaya koymaktadir: **Genel Istatistikler:** - 2025 Toplam Saldiri: 362 - 2024'e Gore Buyume: %59 - Mayis 2025 Itibariyla Toplam Etkilenen Kurulus: Yaklasik 900 - Aralik 2023 Toplam Saldiri: Yaklasik 300 - 2.5 Yilda Toplam Buyume: %200 (3 kat artis) - 2024 Performansi: En aktif fidye yazilimi gruplarindan biri **Cografi Dagilim:** - Kuzey Amerika: Birincil hedef bolge - Guney Amerika: Artan hedefleme - Avrupa: Onemli saldiri yogunlugu - Avustralya: Kritik altyapi saldirilari Hedef Sektorler ve Kurban Profili Play fidye yazilimi, genis bir sektor yelpazesini hedef almaktadir. FBI ve CISA raporlarina gore, grup ozellikle kritik altyapilara odaklanmaktadir: **Birincil Hedef Sektorler:** **Saglik Sektoru:** Hastaneler, klinikler ve saglik hizmet saglayicilari surekli olarak hedef alinmaktadir. Hasta verilerinin hassasiyeti ve saglik hizmetlerinin kesintiye ugramamasi gerekliligi, bu sektoru yuksek degerli bir hedef haline getirmektedir. **Egitim Sektoru:** Universiteler, kolejler ve K-12 egitim kurumlari duzenli olarak saldiriya ugramaktadir. Egitim kuruluslarinin genellikle sinirli siber guvenlik kaynaklari bulunmaktadir. **Kamu Sektoru:** Yerel yonetimler, belediyeler ve kamu kurumlari hedef alinmaktadir. Ocak 2026'daki County of Baker saldirisi bu trendi dogrulamaktadir. Kamu hizmetlerinin surekliliginin onemi, fidye odeme baskisini artirmaktadir. **Diger Hedef Sektorler:** - Uretim ve Endustri - Finansal Hizmetler - Profesyonel Hizmetler - Perakende - Ulasim ve Lojistik - Enerji ve Altyapi Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri Play fidye yazilimi operatorleri, kurban sistemlerine ilk erisim saglamak icin cesitli teknikler kullanmaktadir: **Gecerli Hesaplarin Kotuye Kullanimi:** Grup, karanlik web'den satin alinan gecerli hesap bilgilerini kullanarak kuruluslara erisim saglamaktadir. Bu yontem, geleneksel guvenlik onlemlerini atlatmayi kolaylastirmaktadir. **Kamusal Uygulamalarin Istismari:** Play operatorleri, kamusal olarak erisime acik uygulamalardaki guvenlik aciklarini aktif olarak istismar etmektedir: **FortiOS Zafiyetleri:** - CVE-2018-13379: FortiGate SSL VPN web portali dizin gecisi zafiyeti - CVE-2020-12812: FortiOS SSL VPN kimlik dogrulama atlama zafiyeti **Microsoft Exchange Zafiyetleri (ProxyNotShell):** - CVE-2022-41040: Sunucu Tarafi Istek Sahteciligi (SSRF) zafiyeti - CVE-2022-41082: Uzaktan kod yurutme zafiyeti **2025'te Eklenen Yeni Istismarlar:** - CVE-2025-29824: Windows ayricalik yukseltme zafiyeti - CVE-2024-57727: SimpleHelp uzaktan kod yurutme zafiyeti **SimpleHelp Uzaktan Destek Araci:** Ocak 2025'ten bu yana, Play ile iliskili ilk erisim araci-cilari (Initial Access Brokers) SimpleHelp uzaktan destek aracindaki zafiyetleri hedef almaktadir. Arastirmacilar bu aciklari Ocak ayinda kamuoyuyla paylastilar. MITRE ATT&CK Eslestirmesi Play fidye yaziliminin kullandigi teknikler MITRE ATT&CK cercevesinde asagidaki gibi siniflandirilabilir: **Ilk Erisim (Initial Access):** - T1078: Valid Accounts - Gecerli hesaplarin kotuye kullanimi - T1190: Exploit Public-Facing Application - Kamusal uygulamalarin istismari - T1133: External Remote Services - Harici uzaktan erisim servisleri **Yurutme (Execution):** - T1059.001: PowerShell - PowerShell komut dosyasi yurutme - T1569.002: Service Execution - Hizmet yurutme - T1047: Windows Management Instrumentation - WMI kullanimi **Kalicilik (Persistence):** - T1547.001: Registry Run Keys / Startup Folder - T1136: Create Account - Hesap olusturma **Ayricalik Yukseltme (Privilege Escalation):** - T1068: Exploitation for Privilege Escalation - T1078: Valid Accounts **Savunma Atlatma (Defense Evasion):** - T1562.001: Disable or Modify Tools - Guvenlik araclarini devre disi birakma - T1070: Indicator Removal - Gosterge temizleme - T1027: Obfuscated Files or Information - Gizleme teknikleri **Kimlik Bilgisi Erisimi (Credential Access):** - T1003: OS Credential Dumping - Kimlik bilgisi dokumleri - T1555: Credentials from Password Stores - Parola depolarindan kimlik bilgileri **Kesfetme (Discovery):** - T1082: System Information Discovery - Sistem bilgisi kesfetme - T1083: File and Directory Discovery - Dosya ve dizin kesfetme - T1018: Remote System Discovery - Uzak sistem kesfetme - T1016: System Network Configuration Discovery - Ag yapilandirmasi kesfetme **Yanal Hareket (Lateral Movement):** - T1021.001: Remote Desktop Protocol - RDP - T1021.002: SMB/Windows Admin Shares - SMB paylasimlari - T1570: Lateral Tool Transfer - Yanal arac transferi **Toplama (Collection):** - T1560.001: Archive Collected Data - Toplanan verilerin arsivlenmesi **Veri Sizdirma (Exfiltration):** - T1048: Exfiltration Over Alternative Protocol - Alternatif protokol uzerinden sizdirma **Etki (Impact):** - T1486: Data Encrypted for Impact - Etki icin veri sifreleme - T1490: Inhibit System Recovery - Sistem kurtarmayi engelleme Kullanilan Arac ve Yazilimlar Play fidye yazilimi operatorleri, saldiri yasam dongusunun farkli asamalarinda kapsamli bir arac seti kullanmaktadir: **Ozel Gelistirilmis Araclar:** **Grixba:** Play grubu tarafindan gelistirilen ozel bir bilgi calici ve ag tarayicisidir. Bu arac, kesfetme asamasinda kurban aglarini haritalamak ve degerli hedefleri belirlemek icin kullanilmaktadir. **AlphaVSS:** Acik kaynakli bir Volume Shadow Copy Service (VSS) yonetim yardimci programidir. Yedekleme golgelerini silmek ve sistem kurtarmayi engellemek icin kullanilmaktadir. **Komuta ve Kontrol:** - Cobalt Strike: Gelismis komuta ve kontrol altyapisi **Uzaktan Yurutme:** - PSExec: Uzaktan komut yurutme **Kimlik Bilgisi Toplama:** - Mimikatz: Windows kimlik bilgisi cikartma araci **Kesfetme:** - AdFind: Active Directory sorgulama araci - WinPEAS (Windows Privilege Escalation Awesome Scripts): Ayricalik yukseltme zafiyeti tarama **Savunma Atlatma:** - PowerShell betikleri: Windows Defender'i devre disi birakmak icin - GMER: Rootkit tespit ve kaldirma araci (tersine kullanim) - IOBit: Guvenlik yazilimlarini devre disi birakma - PowerTool: Anti-virus yazilimlarini devre disi birakma **Veri Arsivleme ve Sizdirma:** - WinRAR: Veri sizdirma oncesi dosya sikistirma - WinSCP: Veri transferi icin guvenli dosya kopyalama Sifreleme ve Fidye Notu Ozellikleri Play fidye yaziliminin sifreleme ve fidye talep sureci diger gruplardan farkliliklar gostermektedir: **Cift Gasp Modeli:** Grup, klasik cift gasp stratejisi uygulamaktadir: - Dosya sifreleme - Veri sizdirma ve yayinlama tehdidi **Fidye Notu Ozellikleri:** Play'in fidye notlari diger gruplardan onemli bir farkla ayrismaktadir: notlarda ilk fidye talep miktari veya odeme talimatlari yer almamaktadir. Bunun yerine, kurbanlara tehdit aktorleriyle e-posta yoluyla iletisime gecmeleri talimati verilmektedir. **Telefon ile Tehdit:** Kurbanlarin bir kismi telefonla aranmakta ve calinan verilerin yayinlanmasiyla tehdit edilmektedir. Bu dogrudan iletisim yontemi, fidye odeme baskisini artirmak icin kullanilmaktadir. Iliskili Saldirilar ve Kampanyalar Play fidye yazilimi grubu, cesitli yuksek profilli saldirilarla iliskilendirilmektedir: **ConnectWise ScreenConnect:** Grup, bu uzaktan masaustu yazilimini hedef alan saldirilarla suclanmaktadir. **Rackspace:** Bulut hizmet saglayicisina yonelik saldirilarla baglantili oldugu bildirilmektedir. Korunma Stratejileri ve Oneriler FBI, CISA ve ASD's ACSC, kuruluslarin Play fidye yazilimina karsi korunmak icin asagidaki onlemleri uygulamasini onermektedir: Kimlik Dogrulama ve Erisim Kontrolu **Cok Faktorlu Kimlik Dogrulama (MFA):** - Tum kullanici hesaplarinda MFA zorunlu kilin - Ozellikle uzaktan erisim hizmetlerinde MFA uygulayin - VPN, e-posta ve kritik uygulamalarda MFA aktif edin **Hesap Yonetimi:** - Guclu parola politikalari uygulayin - Varsayilan kimlik bilgilerini degistirin - Kullanilmayan hesaplari devre disi birakin - En az ayricalik ilkesini benimseyin Yama Yonetimi ve Sistem Guncelleme **Kritik Yamalar:** - FortiOS zafiyetlerini (CVE-2018-13379, CVE-2020-12812) derhal yamalayin - Microsoft Exchange ProxyNotShell zafiyetlerini (CVE-2022-41040, CVE-2022-41082) yamalayin - CVE-2025-29824 (Windows ayricalik yukseltme) yamasini uygulayin - SimpleHelp zafiyetlerini (CVE-2024-57727) yamalayin **Genel Yama Politikasi:** - Tum isletim sistemlerini guncel tutun - Yazilim ve firmware guncellemelerini zamaninda uygulayin - Otomatik guncelleme mekanizmalarini yapilandirin Yedekleme ve Kurtarma **Cevrimdisi Yedekleme:** - Kritik verilerin cevrimdisi yedeklerini olusturun - 3-2-1 yedekleme kuralini uygulayin - Yedekleme butunlugunu duzenli olarak test edin **Kurtarma Plani:** - Kapsamli olay mudahale plani gelistirin - Kurtarma prosedurlerini belgeleyin - Duzenli tatbikatlar gerceklestirin Ag Guvenligi ve Izleme **Ag Segmentasyonu:** - Kritik sistemleri izole edin - Yanal hareketi sinirlandirin - Sifir guven mimarisi benimseyin **Izleme ve Tespit:** - EDR cozumleri konuslandirin - Ag trafigini izleyin - PowerShell ve WMI aktivitelerini takip edin - Anormal davranislari tespit edin Guvenlik Yazilimi Korumasi Play'in guvenlik yazilimlarini devre disi birakma girisimleri goz onunde bulundurularak: - Anti-virus yazilimlarini kurcalamaya karsi koruyun - GMER, IOBit ve PowerTool gibi araclarin yetkisiz kullanimini engelleyin - Guvenlik surec sonlandirmalarini izleyin Tehdit Istihbarati ve IOC'ler FBI ve CISA, Play fidye yazilimi icin guncel tehdit gostergelerini (IOC) paylasmaktadir. Kuruluslar, guvenlik sistemlerinde bu gostergeleri kullanarak tehdit avciligi yapabilir: **Dikkat Edilmesi Gereken Aktiviteler:** - Beklenmedik PSExec kullanimi - Cobalt Strike beacon aktivitesi - WinRAR ile buyuk dosya arsivleme - WinSCP ile buyuk veri transferleri - Grixba imzalari - Volume Shadow Copy silme girisimleri Gelecek Ongoruleri ve Tehdit Degerlendirmesi Play fidye yaziliminin 2026 ve sonrasinda evrilmeye devam etmesi beklenmektedir: **Beklenen Gelismeler:** - Yeni zafiyet istismarlarinin eklenmesi - Ozel araclarin (Grixba gibi) gelistirilmesi - Kritik altyapilara yonelik saldirilarin artmasi - SimpleHelp ve benzeri uzaktan destek araclarinin hedef alinmasi **Risk Degerlendirmesi:** - Tehdit Seviyesi: Yuksek - Hedef Kapsami: Genis (kritik altyapi odakli) - Teknik Sofistikasyon: Yuksek - Operasyonel Guvenlik: Cok Yuksek (kapali grup yapisi) Sonuc Play fidye yazilimi, 2026 yilinda en tehlikeli ve aktif fidye yazilimi gruplarindan biri olarak konumunu surdurmektedir. Grubun kapali yapisi, surekli gelisen teknik yetenekleri ve kritik altyapilara odaklanmasi, kuruluslar icin ciddi bir tehdit olusturmaktadir. FBI ve CISA'nin ortak uyarilari, bu tehdidin ciddiyetini vurgulamaktadir. 2025 yilinda 362 saldiri ve yuzde 59 buyume orani ile Play, fidye yazilimi ekosisteminin en aktif oyuncularindan biri olmustur. 2026 yilinda da Contino ve County of Baker gibi saldirilarla aktivitelerini surdurmektedir. Kuruluslarin Play fidye yazilimina karsi etkili savunma icin cok katmanli guvenlik stratejileri benimsemesi, duzenli yama yonetimi yapmasi, MFA uygulamasi ve kapsamli yedekleme politikalari uygulamasi kritik onem tasimaktadir. Ozellikle FortiOS, Microsoft Exchange ve SimpleHelp gibi sistemlerin guncel tutulmasi, ilk erisim vektorlerini kapatmak icin hayati onem tasimaktadir....

RansomHub, 2024 yılında ortaya çıkan ve hızla siber suç dünyasında öne çıkan bir fidye yazılımı grubudur. Bu yazıda, RansomHub'ın yapısı, çalışma yöntemleri, hedefleri ve alınabilecek önlemler detaylandırılacaktır. 1. Giriş 1.1. Ransomware Nedir? Fidye yazılımı (ransomware), kötü niyetli aktörlerin kurbanın verilerini şifreleyerek veya sistemlerine erişimi engelleyerek, bu erişimi geri vermek için fidye talep ettiği bir tür kötü amaçlı yazılımdır. **1.2. Ransomware Gruplarının Genel Çalışma Prensipleri** Genellikle, fidye yazılımı grupları şu adımları izler: - **İlk Erişim:** Kimlik avı saldırıları veya güvenlik açıklarının istismarı yoluyla hedef sisteme sızma. - **Yanal Hareket:** Saldırganın ağa sızdıktan sonra, ağ içinde yatay olarak hareket ederek kritik sistemlere ve hassas verilere erişim sağlama sürecidir. ***Yöntemler:*** 1. ***Kimlik Bilgisi Hırsızlığı (Credential Theft):*** Saldırganlar, kullanıcıların kimlik bilgilerini ele geçirerek ağ içinde farklı sistemlere erişim sağlarlar. 2. ***Pass-the-Hash Saldırıları:*** Bu teknikte, saldırganlar kullanıcı parolalarının hash değerlerini kullanarak kimlik doğrulama süreçlerini atlar ve sistemlere erişim elde ederler. 3. ***Kerberoasting:*** Saldırganlar, Active Directory'deki hizmet hesaplarının biletlerini ele geçirerek bu hesapların parolalarını kırmaya çalışırlar. 4. ***Güvenlik Açıklarından Yararlanma:*** Yamalanmamış veya eski yazılımlardaki bilinen güvenlik açıkları, saldırganlar tarafından ayrıcalık yükseltme veya ek sistemlere erişim için kullanılır. 5. ***Zayıf Yapılandırmaların Kötüye Kullanımı:*** Sunucular, uç noktalar ve diğer sistemlerdeki zayıf yapılandırmalar, saldırganlara ağ içinde hareket etme fırsatı sunar. 6. ***Uzak Masaüstü Protokolü (RDP) İstismarı:*** Saldırganlar, RDP gibi uzaktan yönetim araçlarını kullanarak ağ içinde yanal hareket gerçekleştirirler. ***Araçlar:*** - ***BloodHound:*** Active Directory ortamlarında yanal hareket ve ayrıcalık yükseltme yollarını analiz etmek için kullanılan bir araçtır. - ***Mimikatz:*** Windows sistemlerinde bellekten kimlik bilgilerini çıkararak saldırganların kimlik bilgisi hırsızlığı yapmasına olanak tanır. - ***PowerSploit:*** PowerShell tabanlı bir araç seti olup, saldırganların keşif, istismar ve yanal hareket gibi işlemleri gerçekleştirmesine yardımcı olur. - ***Empire:*** Post-exploitation (istismar sonrası) faaliyetler için kullanılan bir çerçeve olup, saldırganların ağ içinde hareket etmelerine ve veri toplamalarına olanak tanır. - **Veri Şifreleme ve Çalma:** Verileri şifreleyerek ve/veya çalarak kurbanı fidye ödemeye zorlama. - **Fidye Talebi:** Erişimi geri vermek veya verileri ifşa etmemek için fidye talep etme. **1.3. Bu Yazının Amacı ve Kapsamı** Bu yazı, RansomHub grubunun yapısını, tekniklerini, hedeflerini ve bu tehditlere karşı alınabilecek önlemleri detaylandırarak, okuyuculara kapsamlı bir anlayış sunmayı amaçlamaktadır. 2. Grubun Genel Tanıtımı **2.1. Grubun Adı ve Alternatif İsimleri** RansomHub, bazı kaynaklarda "Water Bakunawa" olarak da anılmaktadır. **2.2. İlk Kez Ortaya Çıkışı** RansomHub, Şubat 2024'te faaliyet göstermeye başlamıştır. **2.3. Faaliyet Gösterdiği Coğrafi Bölgeler** Grup, özellikle ABD, Birleşik Krallık, İspanya, Fransa ve İtalya gibi ülkelerdeki hedeflere odaklanmaktadır. **2.4. Hedef Aldığı Sektörler ve Kurban Profili** RansomHub, sağlık, finans ve kamu hizmetleri gibi kritik altyapı sektörlerini hedef almaktadır. **2.5. Grubun Devlet Destekli veya Özerk Olup Olmadığı** Mevcut bilgilere göre, RansomHub'ın devlet destekli olduğuna dair bir kanıt bulunmamaktadır; grup özerk olarak faaliyet göstermektedir. 3. Tarihçe ve Dönüm Noktaları **3.1. İlk Tespit Edilen Saldırılar** RansomHub'ın ilk saldırıları, 2024 yılının başlarında tespit edilmiştir. **3.2. Dikkat Çeken Büyük Saldırılar** Grup, Change Healthcare ve Halliburton gibi büyük şirketlere yönelik saldırılar düzenlemiştir. **3.3. Medyada ve Güvenlik Raporlarında Yer Almaları** RansomHub, siber güvenlik raporlarında ve medyada geniş yer bulmuştur. **3.4. Zaman İçindeki Evrimi ve Strateji Değişiklikleri** Grup, zamanla daha sofistike teknikler ve araçlar kullanarak saldırılarını geliştirmiştir. 4. Teknik Analiz **4.1. Bulaşma Mekanizmaları** **4.1.1. E-posta ve Kimlik Avı Taktikleri** RansomHub, hedefli kimlik avı saldırılarıyla kurbanlarının hesap şifrelerini ele geçirmektedir. **4.1.2. Exploit Kit ve Zero-Day Saldırıları** RansomHub fidye yazılımı grubu, saldırılarında Exploit Kitleri ve Zero-Day açıklarını etkin bir şekilde kullanmaktadır. Özellikle, Microsoft Windows Netlogon Remote Protocol'deki kritik bir güvenlik açığı olan ZeroLogon (CVE-2020-1472) zafiyetini istismar etmektedirler. Bu açık, saldırganların kimlik doğrulama gerektirmeden etki alanı denetleyicilerini tamamen ele geçirmelerine olanak tanır. ZeroLogon, Windows Netlogon Remote Protocol'de bulunan ve saldırganların etki alanı denetleyicilerini ele geçirmesine izin veren kritik bir güvenlik açığıdır **4.1.3. USB veya Fiziksel Cihaz Yöntemleri** Bu yöntemlerin kullanıldığına dair spesifik bir bilgi bulunmamaktadır. **4.2. Şifreleme Süreci** **4.2.1. Kullanılan Kriptografik Algoritmalar (AES, RSA vb.)** RansomHub fidye yazılımı, dosyaları şifrelemek için **Elliptic Curve 25519** ve **AES (Advanced Encryption Standard)** algoritmalarını kullanır. Elliptic Curve 25519, yüksek güvenlik ve performans sunan modern bir yöntemdir. AES ise simetrik bir şifreleme standardı olup, hız ve güvenilirlik açısından etkilidir. **4.2.2. Tam veya Seçici Şifreleme** RansomHub, şifreleme sürecinde **aralıklı şifreleme** (intermittent encryption) yöntemini kullanmaktadır. Bu yöntemde, küçük dosyalar tamamen şifrelenirken, büyük dosyalar eşit parçalara bölünerek şifrelenir. Bu teknik, şifreleme sürecini hızlandırırken saldırının etkisini artırır. **4.2.3. Şifreleme Anahtarlarının Yönetimi** RansomHub, şifreleme anahtarlarını güvenli bir şekilde yönetmek için asimetrik ve simetrik şifreleme kombinasyonu kullanır: - **Simetrik Şifreleme:** Her dosya, rastgele oluşturulan bir simetrik anahtarla (örneğin, AES anahtarı) şifrelenir. - **Asimetrik Şifreleme:** Bu simetrik anahtarlar, saldırganın sahip olduğu bir genel anahtarla (örneğin, Elliptic Curve 25519) şifrelenir. Özel anahtar ise saldırganda bulunur ve fidye ödendikten sonra kurbana verilir. Bu yöntem, şifre çözme anahtarının yalnızca saldırgan tarafından bilindiği ve kurbanın fidye ödemeden dosyalarına erişemeyeceği bir durum yaratır. **4.2.4. Fidye Notu Bırakma** Şifreleme tamamlandıktan sonra, RansomHub kurbanın dosyalarına erişemediğini bildiren bir not bırakır. Bu not, genellikle ödeme talimatları ve süre sınırlamaları içerir. **4.3. Tespit ve Önleme Tekniklerini Atlatma Yöntemleri** **4.3.1. Antivirus ve EDR Kaçış Teknikleri** RansomHub, EDRKillShifter ve BYOVD teknikleriyle güvenlik çözümlerini etkisiz hale getirmektedir. **4.3.2. Kod Obfuscation ve Anti-Sanal Makine Taktikleri** Grubun, kod karartma ve sanal makine tespitini atlatma teknikleri kullandığı bilinmektedir. **4.4. Komuta ve Kontrol (C2) Altyapısı** **4.4.1. Kullanılan Protokoller ve Sunucular** RansomHub, komuta ve kontrol iletişimi için şifreli HTTPS protokollerini ve Tor ağı üzerinden gizli hizmetleri kullanarak izlenmeyi zorlaştırmaktadır. **4.4.2. Geriye Dönük Bağlantı İzleri** Grubun, saldırı sonrası sistemlerde bıraktığı izler arasında belirli dosya adları, şifreleme uzantıları ve fidye notları bulunmaktadır. 5. Araçlar ve Teknikler **5.1. Kullanılan Araçların Tanıtımı (Özel Yazılımlar ve Araçlar)** RansomHub, saldırılarında Cobalt Strike, PowerShell, WinSCP ve RClone gibi yasal araçları kötüye kullanmaktadır. **5.2. İstismar Edilen Güvenlik Açıkları (CVE’ler ve Exploit’ler)** Grup, özellikle eski yazılımlardaki güvenlik açıklarından yararlanarak sistemlere sızmaktadır. **5.3. Sosyal Mühendislik Taktikleri ve Örnekler** RansomHub, hedefli kimlik avı saldırılarıyla kullanıcıları kandırarak zararlı yazılımları sistemlere yüklemektedir. 6. Hedefler ve Motivasyon **6.1. Hedeflenen Kurban Türleri (Bireysel, Kurumsal veya Devlet Kurumları)** Grup, özellikle sağlık hizmetleri, finansal hizmetler ve devlet tesisleri gibi kritik altyapı sektörlerini hedef almaktadır. **6.2. Finansal Motivasyonlar** **6.2.1. Talep Edilen Fidye Miktarları** RansomHub, kurbanlarından genellikle milyonlarca dolar değerinde fidye talep etmektedir. **6.2.2. Kripto Para Kullanımı ve Ödeme Yöntemleri** Grup, ödemeleri izlenmesi zor olan kripto paralar üzerinden talep etmektedir. **6.3. Politik veya Stratejik Amaçlar** Mevcut bilgilere göre, grubun politik bir motivasyonu olduğuna dair kanıt bulunmamaktadır. 7. Grubun Operasyonel Organizasyonu **7.1. Grubun Yapısı ve Rolleri** **7.1.1. Çekirdek Üyeler** RansomHub, çekirdek bir ekip tarafından yönetilen ve fidye yazılımını geliştiren bir yapıya sahiptir. **7.1.2. Alt Gruplar veya Partner Organizasyonlar** Grup, fidye yazılımını kullanarak saldırılar düzenleyen iş ortaklarıyla (affiliate) çalışmaktadır. **7.2. Hizmet Olarak Ransomware (RaaS) Modeli** **7.2.1. Müşteri-Operatör İlişkisi** RansomHub, RaaS modeliyle fidye yazılımını diğer suçlulara kiralamaktadır. **7.2.2. Kâr Paylaşımı Mekanizmaları** Grup, elde edilen fidyenin belirli bir yüzdesini iş ortaklarıyla paylaşmaktadır. 8. Grubun Bıraktığı İzler ve Kimlik Tespiti **8.1. Yazılımda Kullanılan Kod Kalıpları** RansomHub'ın kod yapısı, diğer fidye yazılımlarından farklılık göstermektedir. **8.2. Bilinen Loglar ve Dosya İmzaları** Grubun saldırılarında bıraktığı belirli loglar ve dosya imzaları, tespit edilmesine yardımcı olmaktadır. **8.3. Diğer Gruplarla Benzerlikler ve İlişkiler** RansomHub, Knight fidye yazılımı grubunun bir evrimi olarak görülmektedir ve ALPHV yan kuruluşlarıyla bağları bulunmaktadır. **8.4. Adli Analizlerde Tespit Edilen Biyometrik veya Dijital İzler** Grubun dijital izleri, kullanılan araçlar ve teknikler üzerinden takip edilmektedir. 9. Kurbanlara Etkisi ve Yanıtlar **9.1. Kurban Sektörleri ve Operasyonel Etkiler** **9.1.1. Kamu Kurumları ve Kritik Altyapılar** RansomHub'ın saldırıları, kamu hizmetlerinde kesintilere ve kritik altyapılarda ciddi aksamalara neden olmuştur. **9.1.2. Özel Şirketler ve Finansal Kayıplar** Özel sektördeki şirketler, operasyonel duruşlar ve veri kayıpları nedeniyle milyonlarca dolarlık zararlara uğramıştır. **9.2. Fidye Ödeme Durumu ve Sonuçları** Bazı kurbanlar fidye ödemeyi tercih ederken, diğerleri ödemeyi reddetmiştir; her iki durumda da veri kaybı ve operasyonel aksaklıklar yaşanmıştır. **9.3. İyileştirme ve Kurtarma Süreci** **9.3.1. Veri Geri Yükleme** Fidye yazılımı saldırılarından sonra veri kurtarma, düzenli ve güvenli yedeklemelerin varlığına bağlıdır. Eğer yedeklemeler mevcutsa, sistemler temizlendikten sonra veriler bu yedeklerden geri yüklenebilir. Ancak, yedeklemelerin de şifrelenmemiş veya zarar görmemiş olması kritik öneme sahiptir. **9.3.2. Güvenlik Süreçlerini Yeniden İnşa Etme** Saldırı sonrası, sistemlerin güvenliği yeniden sağlanmalı ve gelecekteki tehditlere karşı daha dirençli hale getirilmelidir. Bu, güvenlik açıklarının kapatılması, sistemlerin güncellenmesi ve güvenlik politikalarının gözden geçirilmesini içerir. Ayrıca, çalışanların siber güvenlik farkındalığı artırılmalı ve düzenli eğitimlerle desteklenmelidir. 10. Alınabilecek Önlemler **10.1. Teknik Güvenlik Önlemleri** **10.1.1. Güvenlik Yazılımlarının Güncel Tutulması** Antivirüs ve diğer güvenlik yazılımlarının düzenli olarak güncellenmesi, yeni tehditlere karşı koruma sağlar. Güncel olmayan yazılımlar, fidye yazılımlarının sisteme sızmasını kolaylaştırabilir. **10.1.2. Ağ Segmentasyonu ve İzleme Sistemleri** Ağ segmentasyonu, saldırganların bir sistemden diğerine geçişini zorlaştırır. Ayrıca, ağ trafiğinin izlenmesi ve anormal aktivitelerin tespiti için izleme sistemleri kurulmalıdır. **10.2. Kullanıcı Farkındalığı ve Eğitim** **10.2.1. Kimlik Avı Testleri ve Eğitim Modülleri** Çalışanlara düzenli olarak kimlik avı saldırılarına karşı eğitim verilmeli ve testler uygulanmalıdır. Bu sayede, şüpheli e-postaları ve bağlantıları tanıma yetenekleri geliştirilir. **10.3. Yedekleme Stratejileri ve Felaket Kurtarma Planları** Verilerin düzenli olarak yedeklenmesi ve yedeklerin çevrimdışı ortamlarda saklanması, fidye yazılımı saldırılarından sonra veri kurtarma sürecini kolaylaştırır. Ayrıca, felaket kurtarma planları oluşturulmalı ve düzenli olarak test edilmelidir. 11. Uluslararası ve Hukuki Perspektif **11.1. Farklı Ülkelerin Yasal Düzenlemeleri** **11.1.1. Fidye Ödemelerinin Yasallığı** Bazı ülkelerde fidye ödemek yasal olarak yasaklanmış veya caydırılmıştır. Örneğin, ABD'de bazı eyaletler fidye ödemelerini yasaklamayı tartışmaktadır. Bu tür düzenlemeler, fidye yazılımı saldırılarının finansal motivasyonunu azaltmayı amaçlamaktadır. **11.1.2. Siber Suçla Mücadele Politikaları** Ülkeler, siber suçlarla mücadele için çeşitli politikalar ve yasalar geliştirmektedir. Bu, ulusal siber güvenlik stratejileri, siber suçlarla mücadele birimlerinin oluşturulması ve uluslararası işbirliklerini içermektedir. **11.2. Uluslararası İşbirlikleri ve Operasyonlar** **11.2.1. Polis ve Kolluk Kuvvetlerinin Müdahaleleri** Interpol ve Europol gibi uluslararası kolluk kuvvetleri, fidye yazılımı gruplarına karşı operasyonlar düzenlemektedir. Bu operasyonlar, suçluların yakalanması ve altyapılarının çökertilmesini hedeflemektedir. **11.2.2. Siber Güvenlik Ajanslarının Katkıları** Ulusal ve uluslararası siber güvenlik ajansları, fidye yazılımı tehditlerine karşı uyarılar yayınlamakta, teknik destek sağlamakta ve farkındalık kampanyaları düzenlemektedir. 12. Güncel Durum ve Gelişmeler **12.1. Grubun Şu Anki Durumu** **12.1.1. Aktif mi Pasifize Edildi mi?** RansomHub, 2024 yılı itibarıyla aktif bir şekilde faaliyet göstermektedir. Grubun operasyonlarına devam ettiği ve yeni saldırılar düzenlediği rapor edilmektedir. **12.1.2. Alternatif Gruplarla Bağlantılar** RansomHub'ın, Knight fidye yazılımı grubunun bir evrimi olduğu ve ALPHV yan kuruluşlarıyla bağlantılı olduğu belirtilmektedir. **12.2. Son Saldırılar ve Strateji Güncellemeleri** Grup, son dönemde sağlık, su yönetimi, finansal hizmetler ve kamu hizmetleri gibi kritik altyapı sektörlerine yönelik saldırılarını artırmıştır. Ayrıca, gelişmiş teknikler ve araçlar kullanarak saldırı stratejilerini sürekli olarak güncellemektedirler. 13. Sonuç ve Öneriler **13.1. Grubun Genel Değerlendirmesi** RansomHub, 2024 yılında ortaya çıkan ve hızla siber suç dünyasında öne çıkan tehlikeli bir fidye yazılımı grubudur. Gelişmiş teknikleri ve kritik sektörlere yönelik hedefli saldırılarıyla ciddi bir tehdit oluşturmaktadır. **13.2. Tehditlere Karşı Savunma Stratejileri** RansomHub gibi gelişmiş fidye yazılımı gruplarına karşı etkili savunma stratejileri geliştirmek, kurumların siber güvenliklerini artırmaları açısından kritik öneme sahiptir. Bu stratejiler, teknik önlemlerden kullanıcı farkındalığına kadar geniş bir yelpazeyi kapsamalıdır. **13.2.1. Teknik Önlemler** - **Güvenlik Yazılımlarının Güncel Tutulması:** Antivirüs ve diğer güvenlik yazılımlarının düzenli olarak güncellenmesi, yeni tehditlere karşı koruma sağlar. Güncel olmayan yazılımlar, fidye yazılımlarının sisteme sızmasını kolaylaştırabilir. - **Ağ Segmentasyonu ve İzleme Sistemleri:** Ağ segmentasyonu, saldırganların bir sistemden diğerine geçişini zorlaştırır. Ayrıca, ağ trafiğinin izlenmesi ve anormal aktivitelerin tespiti için izleme sistemleri kurulmalıdır. - **Düzenli Yedekleme ve Yedeklerin İzolasyonu:** Verilerin düzenli olarak yedeklenmesi ve yedeklerin çevrimdışı veya güvenli bir ortamda saklanması, fidye yazılımı saldırılarından sonra veri kurtarma sürecini kolaylaştırır. **13.2.2. Kullanıcı Farkındalığı ve Eğitim** - **Kimlik Avı Farkındalığı Eğitimleri:** Çalışanlara düzenli olarak kimlik avı saldırılarına karşı eğitim verilmeli ve testler uygulanmalıdır. Bu sayede, şüpheli e-postaları ve bağlantıları tanıma yetenekleri geliştirilir. - **Sosyal Mühendislik Saldırılarına Karşı Eğitim:** Kullanıcıların sosyal mühendislik saldırılarına karşı bilinçlendirilmesi, saldırganların manipülasyon girişimlerini engelleyebilir. **13.2.3. Güvenlik Politikaları ve Prosedürleri** - **Erişim Kontrolleri ve Yetkilendirme:** Kullanıcıların sadece ihtiyaç duydukları verilere erişimi olmasını sağlayarak, saldırganların hareket alanı kısıtlanabilir. - **Güvenlik Açığı Yönetimi:** Sistemlerin düzenli olarak taranması ve güvenlik açıklarının hızla kapatılması, saldırı yüzeyini azaltır. **13.3. Siber Güvenlik İçin Gelecek Öngörüleri** Siber tehditlerin sürekli evrildiği bir dünyada, kurumların proaktif ve adaptif güvenlik stratejileri geliştirmeleri gerekmektedir. Özellikle fidye yazılımı gruplarının hizmet olarak fidye yazılımı (RaaS) modellerini benimsediği ve saldırı tekniklerini sürekli olarak geliştirdiği göz önüne alındığında, aşağıdaki öngörüler önem kazanmaktadır: - **Yapay Zeka ve Makine Öğrenimi Tabanlı Güvenlik Çözümleri:** Gelişmiş tehditleri tespit etmek ve engellemek için yapay zeka ve makine öğrenimi tabanlı güvenlik çözümlerinin kullanımı artacaktır. - **Sıfır Güven (Zero Trust) Mimarisinin Benimsenmesi:** Kurumlar, her erişim talebini doğrulayan ve hiçbir şeyi varsayılan olarak güvenilir kabul etmeyen sıfır güven mimarisini benimseyecektir. - **Siber Dayanıklılık ve Kriz Yönetimi:** Kurumlar, siber saldırılara karşı dayanıklılıklarını artırmak için kriz yönetimi ve iş sürekliliği planlarını geliştireceklerdir. RansomHub gibi fidye yazılımı gruplarının oluşturduğu tehditlere karşı etkili bir savunma, teknik önlemler, kullanıcı farkındalığı ve güçlü güvenlik politikalarının bir kombinasyonunu gerektirir. Kurumlar, siber güvenlik stratejilerini sürekli olarak gözden geçirerek ve güncelleyerek, bu tür tehditlere karşı hazırlıklı olmalıdır....

Giriş ALPHV, diğer adıyla BlackCat, Kasım 2021'de ortaya çıkan ve Rust programlama diliyle yazılmış ilk büyük fidye yazılımı ailesi olarak bilinen bir fidye yazılımı grubudur. Kısa sürede siber güvenlik dünyasında dikkat çekmiş ve çeşitli sektörlerdeki kuruluşları hedef alarak önemli bir tehdit unsuru haline gelmiştir. Grubun Tarihçesi ve Kökenleri ALPHV, Kasım 2021'de faaliyetlerine başlamıştır. Grubun Rusya merkezli olduğu ve Ransomware-as-a-Service (RaaS) modeliyle çalıştığı bilinmektedir. Bu modelde, bağlı kuruluşlar fidye yazılımını kullanarak saldırılar düzenler ve elde edilen fidyenin belirli bir yüzdesini geliştiricilere verir. ALPHV'nin, daha önce BlackMatter ve DarkSide gibi fidye yazılımı gruplarıyla bağlantılı olabileceği düşünülmektedir. Kullanılan Teknikler ve Araçlar ALPHV, saldırılarında çeşitli teknikler ve araçlar kullanarak hedef sistemlere sızmakta ve fidye taleplerinde bulunmaktadır: - **Rust Programlama Dili:** ALPHV, Rust ile yazılmış ilk büyük fidye yazılımı olarak dikkat çekmektedir. Rust'ın sağladığı bellek güvenliği ve performans avantajları, fidye yazılımının tespit edilmesini zorlaştırmaktadır. - **Çifte Şantaj Yöntemi:** ALPHV, sadece dosyaları şifrelemekle kalmaz, aynı zamanda çaldığı verileri ifşa etmekle tehdit ederek kurbanları fidye ödemeye zorlar. Bu yöntem, kurban üzerinde ek baskı oluşturur. - **Gelişmiş Yayılma Teknikleri:** ALPHV, ağ içinde yatay hareket ederek diğer sistemlere de bulaşabilir. Bu amaçla, uzaktan kod yürütme araçları ve güvenlik açıklarından yararlanır. Hedefler ve Operasyon Alanı ALPHV, özellikle büyük ölçekli kuruluşları ve kritik altyapıları hedef almaktadır. Finans, sağlık, eğitim ve devlet kurumları gibi sektörlerde faaliyet gösteren şirketler, ALPHV'nin saldırılarından etkilenmiştir. Grup, dünya genelinde faaliyet göstermekte ve saldırılarını uluslararası düzeyde sürdürmektedir. İş Modeli ve Finansal Yapı ALPHV, Ransomware-as-a-Service (RaaS) modeliyle çalışmakta ve fidye yazılımını kullanmak isteyen diğer siber suçlulara sunmaktadır. Bu model sayesinde, fidye yazılımı geniş bir kitleye ulaşmakta ve saldırıların sayısı artmaktadır. Kurbanlardan genellikle Bitcoin veya diğer kripto para birimleri üzerinden fidye talep edilmekte, böylece ödemelerin takibi zorlaştırılmaktadır. Kurbanlara Yaklaşım ve İletişim ALPHV, kurbanlarına bıraktığı fidye notları aracılığıyla iletişim kurar. Bu notlarda, dosyaların şifresini çözmek için belirli bir miktar fidyenin ödenmesi gerektiği belirtilir. Ayrıca, ödeme yapılmazsa çalınan verilerin ifşa edileceği tehdidinde bulunarak kurbanları baskı altına alır. Kurbanlarla genellikle anonim e-posta adresleri veya karanlık ağdaki özel iletişim kanalları üzerinden iletişim kurulur. Grubun Teknik Analizi ALPHV fidye yazılımının teknik analizi, aşağıdaki özellikleri ortaya koymaktadır: - **Yürütme ve Şifreleme Süreci:** ALPHV, çalıştırıldığında sistemdeki dosyaları şifreler ve şifrelenen dosyalara belirli bir uzantı ekler. Her dizine bir fidye notu bırakır ve kurbanın masaüstü arka planını değiştirerek fidye taleplerini bildirir. - **Sistem Süreçleri:** ALPHV, çalıştırıldığında belirli sistem hizmetlerini ve süreçlerini durdurarak şifreleme işlemini engelleyebilecek unsurları devre dışı bırakır. Ayrıca, sanal makineleri kapatarak veri yedeklemelerini de hedef alır. - **Şifreleme Algoritması:** ALPHV, dosyaları şifrelemek için AES ve RSA gibi güçlü şifreleme algoritmaları kullanır. Bu sayede, şifrelenen dosyaların çözülmesi için gerekli anahtarlar sadece saldırganların elinde bulunur. Yasal ve Güvenlik Perspektifi ALPHV fidye yazılımı grubu, uluslararası güvenlik ve kolluk kuvvetleri tarafından aranmaktadır. Saldırıları, hem yasal hem de etik açıdan ciddi sorunlar yaratmaktadır. Kolluk kuvvetleri ve siber güvenlik uzmanları, grubun faaliyetlerini izlemekte ve engellemek için çeşitli önlemler almaktadır. Özellikle, fidye yazılımı saldırılarına karşı uluslararası iş birliği ve bilgi paylaşımı önem kazanmaktadır. Toplumsal ve Ekonomik Etkiler ALPHV (BlackCat) fidye yazılımı saldırıları, hedef aldıkları kuruluşlarda operasyonel aksamalara, finansal kayıplara ve itibar zedelenmesine yol açmaktadır. Özellikle sağlık, eğitim ve kamu hizmetleri gibi kritik sektörlerde meydana gelen saldırılar, toplumun geniş kesimlerini olumsuz etkileyebilmektedir. Fidye yazılımı saldırılarının neden olduğu hasar her geçen yıl artmakta ve milyarlarca dolar kayba neden olmaktadır. Örneğin, 2020 yılında fidye yazılımı saldırılarının toplam maliyetinin 42 milyar dolar ile 170 milyar dolar arasında olduğu tahmin edilmektedir. Grubun Medya ve Toplumdaki Yansıması ALPHV fidye yazılımı grubu, medya tarafından sıklıkla ele alınmakta ve siber güvenlik camiasında tartışılmaktadır. Özellikle büyük ölçekli saldırılar ve tanınmış kuruluşların hedef alınması, kamuoyunda endişe yaratmaktadır. Medya, bu tür saldırılar hakkında farkındalık oluşturarak, bireyleri ve kuruluşları siber güvenlik önlemleri almaya teşvik etmektedir. Ayrıca, fidye yazılımı saldırılarının artışı, siber güvenlik alanında daha fazla yatırım ve araştırma yapılmasını sağlamaktadır. Gelecek Öngörüleri ALPHV ve benzeri fidye yazılımı gruplarının faaliyetlerinin gelecekte de devam etmesi muhtemeldir. Saldırganlar, yeni teknikler ve araçlar geliştirerek, güvenlik önlemlerini aşmaya çalışacaklardır. Özellikle yapay zeka ve makine öğrenimi gibi teknolojilerin kötüye kullanımıyla daha sofistike saldırıların gerçekleşmesi beklenmektedir. Bu nedenle, siber güvenlik alanında sürekli güncellemeler yapmak, farkındalığı artırmak ve uluslararası iş birliğini güçlendirmek önem taşımaktadır. Ayrıca, fidye yazılımı saldırılarının daha agresif bir şekilde artacağı ve akıllı cihazların da hedef alınacağı öngörülmektedir. Sonuç ALPHV (BlackCat) fidye yazılımı grubu, karmaşık teknikler ve araçlar kullanarak geniş bir coğrafi alanda faaliyet gösteren tehlikeli bir siber tehdit unsuru olarak varlığını sürdürmektedir. Siber güvenlik dünyasında önemli bir tehdit oluşturan bu grup, sürekli izlenmekte ve analiz edilmektedir. Bireylerin ve kuruluşların, bu tür tehditlere karşı proaktif önlemler alması ve siber güvenlik farkındalığını artırması hayati öneme sahiptir. Ayrıca, fidye yazılımı saldırılarına karşı uluslararası iş birliği ve bilgi paylaşımı da büyük önem taşımaktadır....

INC Ransom Nedir? INC Ransom, Temmuz 2023'te ilk kez tespit edilen ve kisa surede siber guvenlik dunyasinin en dikkat cekici tehdit aktorlerinden biri haline gelen sofistike bir fidye yazilimi grubudur. Grup, cift gasp yontemiyle calisarak hem dosyalari sifrelemekte hem de calinan verileri sizintiya ugramis veri sitesinde yayinlamakla tehdit etmektedir. Bu ikili baski stratejisi, kurbanlarin fidye odeme olasiligini onemli olcude artirmaktadir. INC Ransom, Ransomware-as-a-Service (RaaS) modeli altinda faaliyet gostermekte ve cesitli is ortaklarina fidye yazilimini dagitma imkani sunmaktadir. Bu is modeli, grubun hizla buyumesini ve farkli cografyalarda es zamanli saldirilar gerceklestirmesini mumkun kilmaktadir. MITRE ATT&CK cercevesinde GOLD IONIC olarak takip edilen grup, organize siber suc ekosisteminin onemli oyuncularindan biri olarak kabul edilmektedir. Tarihsel Gelisim ve Evrim Sureci 2023: Ortaya Cikis Donemi INC Ransom, Temmuz 2023'te siber tehdit sahnesine cikti. Grubun ilk saldirilarindan itibaren profesyonel bir yaklasim sergiledigi gozlemlendi. Baslangictan itibaren cift gasp stratejisi benimseyen grup, kurbanlardan hem dosya sifre cozumu hem de veri gizliligi icin odeme talep etmeye basladi. Ilk aylarda grubun hedef secimi ve operasyonel guvenligi, deneyimli siber sucluarin operasyonda yer aldigina isaret ediyordu. 2024: Buyume ve Genisleme 2024 yilinda INC Ransom operasyonlarini onemli olcude genisletti. Yil boyunca 442 kurban kaydedildi ve grup, saglik sektoru basda olmak uzere kritik altyapilari hedef almaya basladi. Bu rakam 2023'e gore %83 artis anlamina gelmektedir. Ayrica 2024 yilinda grubun kaynak kodunun karanlik web forumlarinda 300.000 dolara satisa sunulmasi, fidye yazilimi ekosisteminde onemli bir gelisme olarak degerlendirildi. Bu kaynak kod satisi, Lynx gibi yeni fidye yazilimi varyantlarinin ortaya cikmasina zemin hazirladi. 2025: Patlama Yili 2025, INC Ransom icin muazzam bir buyume yili oldu. Yilin ilk yarisinda bile 300'den fazla kurban kaydedildi ve bu rakam, 2024'un tamamindaki kurban sayisinin neredeyse iki katini temsil etmektedir. Ozellikle Temmuz 2025'te grup, tek bir ayda yaklasik 60 kurban kaydederek rekor kirdi ve o ay icin en cok konuslandirilan fidye yazilimi unvanini kazandi. 2026: Devam Eden Tehdit Ocak 2026 itibariyle INC Ransom, kuresel olcekte en aktif fidye yazilimi gruplarindan biri olmaya devam etmektedir. Distinctive Systems ve JLK Rosenberger LLP gibi sirketler Ocak 2026'da saldiriya ugramistir. Grup, saglik sektoru ve profesyonel hizmetleri hedef almaya devam etmektedir. 2024-2026 Saldiri Istatistikleri ve Trendler INC Ransom, 2024-2026 doneminde dramatik bir yukselis gosterdi ve saldiri istatistikleri grubun artan tehdit kapasitesini acikca ortaya koymaktadir: **Genel Istatistikler:** - 2025 Toplam Kurban Sayisi: 300+ (yilin ilk yarisi) - 2024 Toplam Kurban Sayisi: 442 - 2023-2024 Artis Orani: %83 - En Yogun Ay: Temmuz 2025 (60 kurban) - Temmuz 2025 Siralaması: En cok konuslandirilan fidye yazilimi **2026 Ocak Saldirilari:** - Distinctive Systems: 20 Ocak 2026'da hedef alindi - JLK Rosenberger LLP: 21 Ocak 2026'da hedef alindi - Cesitli saglik ve hukuk sektoru kuruluslari hedef alinmaya devam ediyor **Cografi Dagilim:** - ABD: Kurbanlarin %50'sinden fazlasi - Kanada: Ikinci en cok etkilenen ulke - Almanya: Ucuncu sirada - Diger Avrupa ulkeleri: Artan hedefleme Hedef Sektorler ve Kurban Profili INC Ransom, belirli sektorleri oncelikli olarak hedef almakta ve bu sektorlerdeki kuruluslarin kritik verilerine erisim saglamaktadir. 2024-2026 yillarinin saldiri verilerine gore sektor dagilimi asagidaki gibidir: **Birincil Hedef Sektorler:** **Saglik Sektoru (%29):** INC Ransom'un en cok hedef aldigi sektor saglik sektoru olmaya devam etmektedir. Hastaneler, klinikler, saglik sigortasi sirketleri ve tibbi cihaz ureticileri surekli olarak hedef alinmaktadir. Saglik verilerinin yuksek degeri ve hasta bakim hizmetlerinin kesintiye ugramamasi gerekliligi, bu sektoru fidye yazilimi gruplari icin cazip kilmaktadir. **Uretim Sektoru (%10):** Uretim tesisleri, ozellikle tedarik zinciri baglantiları nedeniyle hedef alinmaktadir. Uretim duraklari onemli finansal kayiplara yol acacagindan, bu sektorun fidye odeme olasiligi yuksek gorulmektedir. **Egitim Sektoru (%9):** Universiteler, kolejler ve K-12 okullari duzenli olarak hedef alinmaktadir. Egitim kuruluslarinin genellikle sinirli siber guvenlik butceleri ve genis saldiri yuzeyleri bulunmaktadir. **Diger Hedef Sektorler:** - Profesyonel Hizmetler (hukuk firmalari, muhasebe) - Finansal Hizmetler - Perakende ve E-ticaret - Kamu Kurumlari - Enerji ve Altyapi Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri INC Ransom operatorleri, kurban sistemlerine ilk erisim saglamak icin cesitli teknikler kullanmaktadir: **Kamusal Uygulamalarin Istismari:** Grup, kamusal olarak erisime acik uygulamalardaki guvenlik aciklarini aktif olarak istismar etmektedir. Ozellikle istismar edilen zafiyetler sunlardir: - CVE-2023-3519: Citrix NetScaler zaafiyeti. Bu kritik zafiyet, uzaktan kod yurutmeye izin vermekte ve INC Ransom tarafindan yogun olarak kullanilmaktadir. - CVE-2024-57726, CVE-2024-57727, CVE-2024-57728: SimpleHelp uzaktan erisim platformundaki zafiyetler. Ocak 2025'te aciklanan bu zafiyetler, ayricalik yukseltme ve uzaktan kod yurutmeye olanak tanmaktadir. **Kimlik Avi Saldirilari:** Grup, hedefli spear phishing kampanyalari duzenlemektedir. Kullanicilari kotu amacli dosyalari calistirmaya veya kimlik bilgilerini paylasmaya ikna eden sofistike e-postalar kullanilmaktadir. **Kimlik Bilgisi Kotuye Kullanimi:** Satin alinan veya sizdirilan kimlik bilgileriyle VPN, RDP ve diger uzaktan erisim hizmetlerine erisim saglanmaktadir. MITRE ATT&CK Eslestirmesi INC Ransom'un kullandigi teknikler MITRE ATT&CK cercevesinde asagidaki gibi siniflandirilabilir: **Ilk Erisim (Initial Access):** - T1190: Exploit Public-Facing Application - T1566: Phishing - T1078: Valid Accounts - T1133: External Remote Services **Yurutme (Execution):** - T1059.001: PowerShell - T1059.003: Windows Command Shell - T1047: Windows Management Instrumentation (WMI) - T1569.002: Service Execution **Kalicilik (Persistence):** - T1547.001: Registry Run Keys / Startup Folder - T1136: Create Account **Ayricalik Yukseltme (Privilege Escalation):** - T1068: Exploitation for Privilege Escalation - T1078: Valid Accounts **Savunma Atlatma (Defense Evasion):** - T1562.001: Disable or Modify Tools - T1070: Indicator Removal - T1027: Obfuscated Files or Information **Kimlik Bilgisi Erisimi (Credential Access):** - T1003: OS Credential Dumping - T1555: Credentials from Password Stores **Kesfetme (Discovery):** - T1082: System Information Discovery - T1083: File and Directory Discovery - T1018: Remote System Discovery **Yanal Hareket (Lateral Movement):** - T1021.001: Remote Desktop Protocol - T1021.002: SMB/Windows Admin Shares - T1570: Lateral Tool Transfer **Veri Sizdirma (Exfiltration):** - T1567: Exfiltration Over Web Service - T1048: Exfiltration Over Alternative Protocol **Etki (Impact):** - T1486: Data Encrypted for Impact - T1490: Inhibit System Recovery Kullanilan Arac ve Yazilimlar INC Ransom, saldiri yasam dongusunun farkli asamalarinda cesitli araclar kullanmaktadir: **Ayricalik Yukseltme:** - WinPEAS: Windows ayricalik yukseltme zafiyetlerini tespit etmek icin **Yanal Hareket ve Komuta-Kontrol:** - Cobalt Strike: Komuta ve kontrol altyapisi - PsExec: Uzaktan komut yurutme - Mimikatz: Kimlik bilgisi toplama **Savunma Atlatma:** - HackTool.ProcTerminator: Guvenlik sureclerini sonlandirma - ProcessHacker: Surec manipulasyonu - Trend Micro islemlerini sonlandirmak icin ozel gelistirilmis araclar **Veri Sizdirma:** - Rclone: Bulut depolamaya veri aktarimi - Tor: Anonim iletisim - Megasync: Bulut tabanli veri sizdirma Sifreleme Mekanizmasi INC Ransom'un sifreleme motoru, performans ve etkinlik icin optimize edilmistir: **Coklu Is Parcacigi (Multi-threading):** Sifreleme sureci hizlandirmak icin coklu is parcacigi kullanilmaktadir. Is parcacigi sayisi, islemci sayisi ile 4 carpilarak hesaplanmaktadir. **Kismi Sifreleme Stratejisi:** - 1 MB'dan kucuk dosyalar: Tamamı sifrelenir - 1-3 MB arasi dosyalar: 1 MB sifrelenir - 3 MB'dan buyuk dosyalar: 1 MB sifrele, 2 MB atla seklinde aralikli sifreleme **Sifreleme Modlari:** Son versiyonlarda sunulan --mode secenegi uc mod sunmaktadir: - Fast: Hizli sifreleme, minimum dosya kapsamı - Medium: Dengeli yaklasim - Slow: Kapsamli sifreleme, maksimum etki **Dosya Uzantisi ve Fidye Notu:** - Sifrelenmis dosyalar .inc uzantisi alir - Fidye notlari: INC-README.txt veya INC-README.html - Masaustu arka plani degistirilir - Bagli yazicilara fidye notu gonderilir Lynx Ransomware ile Baglanti Guvenlik arastirmacilari, INC Ransom ve Lynx Ransomware arasinda onemli kod benzerlikleri tespit etmistir: **Kod Benzerligi Analizi:** - Windows varyantlari: %40 kod benzerligi - Linux varyantlari: %91 kod benzerligi 2024 yilinda INC Ransom operatorlerinin kaynak kodunu karanlik web forumlarinda 300.000 dolara satisa sundugu bilinmektedir. Lynx operatorlerinin bu kaynak kodu satin almis olma olasiligi yuksektir. Bu durum, fidye yazilimi ekosistemindeki kod paylasimi ve ticari iliskilerin boyutunu gostermektedir. Is Ortakliklari ve Ekosistem INC Ransom, cesitli tehdit aktorleriyle is birligi yapmaktadir: **Storm-0494:** GootLoader enfeksiyonlari araciligiyla ilk erisim saglamaktadir. **Vanilla Tempest (eskiden DEV-0832):** Microsoft Tehdit Istihbarati tarafindan takip edilen bu grup, Agustos 2024'te INC Ransom'u birincil yukü olarak benimsemistir. Korunma Stratejileri ve Oneriler Ilk Erisim Onleme **Yama Yonetimi:** - CVE-2023-3519 (Citrix NetScaler) yamasini derhal uygulayin - SimpleHelp zafiyetlerini (CVE-2024-57726, CVE-2024-57727, CVE-2024-57728) yamalayin - Tum kamusal uygulamalari guncel tutun **Kimlik Dogrulama Guclendir** - Tum uzaktan erisim hizmetlerinde MFA zorunlu kilin - Guclu parola politikalari uygulayin - Kimlik bilgisi sizintilarini duzenli olarak kontrol edin **E-posta Guvenligi:** - Gelismis tehdit korumasi (ATP) cozumleri kullanin - Calisanlara kimlik avi farkindalik egitimi verin - Supeheli ekleri ve baglantilari engelleyin Ag Segmentasyonu ve Izleme **Segmentasyon:** - Kritik sistemleri izole edin - En az ayricalik ilkesini uygulayin - Yanal hareketi sinirlandirin **Izleme ve Tespit:** - EDR cozumleri konuslandirin - PowerShell ve WMI aktivitelerini izleyin - Anormal ag trafiğini tespit edin - Rclone, Megasync gibi veri sizdirma araclarini engelleyin Yedekleme ve Kurtarma **Yedekleme Stratejisi:** - 3-2-1 yedekleme kuralini uygulayin (3 kopya, 2 farkli ortam, 1 site disinda) - Cevrimdisi yedekler olusturun - Yedekleme butunlugunu duzenli olarak test edin **Olay Mudahale:** - Kapsamli olay mudahale plani olusturun - Duzenli tatbikatlar yapin - Iletisim protokollerini belirleyin Guvenlik Yazilimlari Korumasi INC Ransom'un guvenlik yazilimlarini devre disi birakma girisimleri goz onunde bulundurularak: - Guvenlik yazilimlarini kurcalamaya karsi koruyun - Yetkisiz surec sonlandirmalarini izleyin - ProcessHacker ve benzeri araclarin kullanimi engelleyin Fidye Talepleri ve Muzakere Sureci INC Ransom, cift gasp stratejisi cercevesinde fidye talep etmektedir: **Gasp Yontemleri:** - Dosya sifreleme ve cozum anahtari satisi - Calinan verilerin yayinlanmasi tehdidi - Kurban verilerinin karanlik web'de satilmasi **Iletisim Kanallari:** - Tor tabanli muzakere portali - Sifreli e-posta iletisimi **Odeme Tercihleri:** - Bitcoin (BTC) - Monero (XMR) Gelecek Ongoruleri ve Tehdit Degerlendirmesi INC Ransom'un 2026 ve sonrasinda evrilmeye devam etmesi beklenmektedir: **Beklenen Gelismeler:** - Saglik sektorune yonelik saldirilarin artmasi - Yeni zafiyet istismarlarinin eklenmesi - Lynx ve diger turev varyantlarla kod paylasimi - Is ortakligi aginin genislemesi **Risk Degerlendirmesi:** - Tehdit Seviyesi: Yuksek - Hedef Kapsami: Genis - Teknik Sofistikasyon: Orta-Yuksek - Operasyonel Guvenlik: Yuksek Sonuc INC Ransom, 2024-2026 doneminde en aktif ve tehlikeli fidye yazilimi gruplarindan biri olarak konumunu pekistirmistir. 2024 yilinda %83 artisla 442 kurban kaydeden grup, 2025'te de agresif buyumesini surdurmektedir. Ocak 2026 itibariyle saglik ve hukuk sektorlerindeki kurumlar hedef alinmaya devam etmektedir. Grubun cift gasp stratejisi, cevik operasyonel yapisi ve surekli evrim geciren teknikleri, kuruluslar icin ciddi bir tehdit olusturmaktadir. Saglik sektoru basda olmak uzere kritik altyapilari hedef alan grup, ozellikle hasta verileri ve saglik hizmetleri uzerinde onemli etkiler yaratmaktadir. Kuruluslarin INC Ransom'a karsi etkili savunma icin cok katmanli guvenlik stratejileri benimsemesi, duzenli yama yonetimi yapmasi ve kapsamli yedekleme politikalari uygulamasi gerekmektedir. Lynx ransomware ile olan kod benzerlikleri ve kaynak kod satisi, fidye yazilimi ekosistemindeki ticari iliskilerin ve kod paylasiminin boyutunu gostermektedir. Bu durum, tek bir gruba karsi alinan onlemlerin yetersiz kalabilecegini ve butunsel bir siber guvenlik yaklasiminin gerekliligi vurgulamaktadir....

BianLian fidye yazılımı grubu, siber suç dünyasında hızla yükselen ve gelişen taktikleriyle dikkat çeken bir aktördür. Özellikle 2022 yılından bu yana çeşitli sektörlerdeki kuruluşları hedef alarak önemli bir tehdit oluşturmuştur. Giriş Fidye yazılımları, kurbanların verilerini şifreleyerek veya çalarak, belirli bir fidye karşılığında erişimi yeniden sağlamayı veya verilerin sızdırılmasını engellemeyi vaat eden kötü amaçlı yazılımlardır. BianLian grubu da bu alanda faaliyet gösteren ve özellikle son dönemde taktiklerini değiştiren bir fidye yazılımı grubudur. Grubun Tarihçesi ve Kökenleri BianLian, ilk olarak 2022 yılında tespit edilmiştir. Başlangıçta çift aşamalı bir saldırı modeli benimseyen grup, hem verileri şifreleyip hem de çalarak kurbanlarını fidye ödemeye zorlamıştır. Ancak, 2023 yılında Avast'ın BianLian'ın şifreleyicisi için bir çözüm yayımlamasının ardından, grup stratejisini değiştirerek yalnızca veri hırsızlığı ve şantaj yöntemine yönelmiştir. Kullanılan Teknikler ve Araçlar BianLian grubu, hedef sistemlere sızmak ve kalıcı olmak için çeşitli teknikler ve araçlar kullanmaktadır: - **İlk Erişim**: Grup, genellikle geçerli Uzaktan Masaüstü Protokolü (RDP) kimlik bilgilerini kullanarak sistemlere erişim sağlar. Bu kimlik bilgileri, kimlik avı saldırıları veya üçüncü taraflardan temin edilebilir. Ayrıca, ProxyShell ve SonicWall VPN cihazlarındaki güvenlik açıklarını istismar ederek de ağlara sızmaktadırlar. - **Yanal Hareket ve Keşif**: Sisteme girdikten sonra, grup "Living off the Land" (LoL) tekniklerini kullanarak, yani mevcut sistem araçlarıyla hareket ederek, tespit edilmekten kaçınır. Ağ içinde yanal hareket için meşru araçları kullanarak, güvenlik sistemlerinin dikkatini çekmeden ilerlerler. - **Veri Çalma ve Aktarım**: BianLian, veri çalmak için özel olarak geliştirilmiş bir arka kapı (backdoor) kullanır. Çalınan verileri aktarmak için ise File Transfer Protocol (FTP), Rclone veya Mega gibi araçlardan yararlanır. - **Şifreleme**: Başlangıçta, grup Go programlama diliyle yazılmış özel bir fidye yazılımı kullanarak verileri şifrelemiştir. Ancak, Avast'ın yayımladığı çözüm aracından sonra, şifreleme faaliyetlerini büyük ölçüde terk etmişlerdir. Hedefler ve Operasyon Alanı BianLian grubu, başta sağlık, üretim, profesyonel ve hukuki hizmetler olmak üzere çeşitli sektörlerdeki kuruluşları hedef almaktadır. Saldırıları ağırlıklı olarak Kuzey Amerika'da yoğunlaşmış olsa da, Avrupa ve Hindistan'da da faaliyetleri tespit edilmiştir. İş Modeli ve Finansal Yapı Grup, başlangıçta fidye yazılımı hizmet modeli (RaaS) kullanarak operasyonlarını yürütmüştür. Ancak, şifreleme faaliyetlerini terk ettikten sonra, doğrudan veri hırsızlığı ve şantaj yöntemine geçiş yapmışlardır. Bu modelde, çalınan verilerin sızdırılacağı tehdidiyle kurbanlardan fidye talep edilmektedir. Kurbanlara Yaklaşım ve İletişim BianLian grubu, kurbanlarıyla genellikle anonim iletişim kanalları üzerinden temas kurar. Fidye notlarında, ödeme talimatları ve süre sınırlamaları belirtilir. Ayrıca, ödeme yapılmadığı takdirde verilerin sızdırılacağı tehdidinde bulunurlar. Bazı durumlarda, kurbanların çalışanlarına doğrudan telefonla ulaşarak tehditler savurdukları da rapor edilmiştir. Grubun Teknik Analizi BianLian fidye yazılımı, Go programlama dili kullanılarak geliştirilmiştir ve 64-bit Windows sistemleri hedef alacak şekilde derlenmiştir. Başlangıçta, AES-256 algoritmasıyla dosyaları şifreleyen yazılım, her dosyayı 10 baytlık parçalar halinde işleyerek şifreleme işlemini gerçekleştirmiştir. Ancak, Avast'ın yayımladığı çözüm aracından sonra, grup şifreleme faaliyetlerini büyük ölçüde terk etmiş ve veri hırsızlığına odaklanmıştır. Yasal ve Güvenlik Perspektifi BianLian grubunun faaliyetleri, uluslararası hukuk ve siber güvenlik otoriteleri tarafından yakından izlenmektedir. Ancak, grubun anonim yapısı ve faaliyetlerini farklı yargı bölgelerinde yürütmesi, yasal takibi zorlaştırmaktadır. Bu nedenle, kuruluşların kendi güvenlik önlemlerini artırmaları büyük önem taşımaktadır. Toplumsal ve Ekonomik Etkiler BianLian grubunun saldırıları, hedef aldığı kuruluşlarda operasyonel aksamalara, finansal kayıplara ve itibar zedelenmesine yol açmaktadır. Özellikle sağlık, üretim ve profesyonel hizmetler sektörlerindeki saldırılar, hizmet kesintilerine ve veri ihlallerine neden olarak toplumun geniş kesimlerini olumsuz etkilemektedir. Ayrıca, fidye ödemeleri ve veri kurtarma maliyetleri, işletmeler üzerinde ciddi ekonomik baskılar oluşturmakta ve siber sigorta maliyetlerinin artmasına sebep olmaktadır. Grubun Medya ve Toplumdaki Yansıması BianLian grubu, medya tarafından genellikle gelişen ve adaptasyon yeteneği yüksek bir fidye yazılımı grubu olarak tanımlanmaktadır. Özellikle şifreleme yöntemini terk ederek veri hırsızlığı ve şantaj yöntemine geçiş yapmaları, siber güvenlik camiasında geniş yankı uyandırmıştır. Bu strateji değişikliği, grubun esnekliğini ve güvenlik önlemlerine karşı hızlı adaptasyon yeteneğini göstermektedir. Gelecek Öngörüleri BianLian grubunun gelecekte de faaliyetlerini sürdürmesi ve tekniklerini daha da geliştirmesi muhtemeldir. Özellikle veri hırsızlığı ve şantaj yöntemine odaklanmaları, diğer fidye yazılımı grupları için de bir model oluşturabilir. Bu nedenle, kuruluşların proaktif güvenlik önlemleri alması, personelini eğitmesi ve siber tehdit istihbaratını yakından takip etmesi önem arz etmektedir. Ayrıca, fidye yazılımı gruplarının tekniklerini geliştirmeye devam ettiği ve yeni saldırı yöntemleri benimsediği göz önüne alındığında, güvenlik ekiplerinin bu dinamik tehdit ortamında etkili bir şekilde mücadele edebilmesi için proaktif yaklaşımlar geliştirmesi ve mevcut savunma mekanizmalarını sürekli olarak gözden geçirmesi gerekmektedir. Sonuç BianLian fidye yazılımı grubu, siber tehdit ortamında önemli bir aktör olarak varlığını sürdürmektedir. Karmaşık teknikleri ve hedef odaklı saldırılarıyla, kuruluşlar için ciddi bir tehdit oluşturmaktadır. Bu nedenle, siber güvenlik önlemlerinin sürekli olarak güncellenmesi ve farkındalığın artırılması, bu tür tehditlere karşı en etkili savunma olacaktır. Ayrıca, fidye yazılımı saldırılarının artış gösterdiği günümüzde, güvenlik ekiplerinin sürekli olarak yenilikçi ve etkili stratejiler geliştirmesi kritik önem taşımaktadır. Dijitalleşme, uzaktan çalışma modelinin yaygınlaşması ve siber saldırı araç ve yöntemlerinin gelişmesi gibi birçok etken, daha fazla kuruluşu hedef haline getirmektedir. Bu nedenle, güvenlik ekiplerinin bu dinamik tehdit ortamında etkili bir şekilde mücadele edebilmesi için proaktif yaklaşımlar geliştirmesi ve mevcut savunma mekanizmalarını sürekli olarak gözden geçirmesi gerekmektedir....

Giriş Black Basta, 2022 yılında ortaya çıkan ve kısa sürede siber güvenlik dünyasında dikkat çeken bir fidye yazılımı grubudur. Kritik altyapıları ve çeşitli sektörleri hedef alarak, dünya genelinde 500'den fazla kuruluşu etkilediği bilinmektedir. Grubun Tarihçesi ve Kökenleri Black Basta, Nisan 2022'de fidye yazılımı hizmeti (RaaS) modeliyle faaliyetlerine başlamıştır. Bazı araştırmalar, grubun Conti fidye yazılımı çetesinin dağılmasının ardından eski üyeler tarafından kurulduğunu öne sürmektedir. Kullanılan Teknikler ve Araçlar Black Basta, saldırılarında çeşitli teknikler ve araçlar kullanarak hedef sistemlere sızmaktadır: - **Sosyal Mühendislik ve Kimlik Avı:** Kurbanları aldatmak için sahte e-postalar ve kötü amaçlı QR kodları kullanarak kimlik bilgilerini ele geçirmektedirler. - **Kötü Amaçlı Yazılımlar:** KNOTWRAP, KNOTROCK ve DAWNCRY gibi özel yazılımlarla yükleri bellek üzerinden çalıştırarak tespit edilmekten kaçınmaktadırlar. - **Ağ Keşfi ve Yanal Hareket:** COGSCAN aracıyla ağdaki diğer cihazları tespit edip, PORTYARD tünelleyicisiyle komuta ve kontrol sunucularına bağlanarak ağ içinde hareket etmektedirler. - **Yetki Yükseltme ve Güvenlik Açıklarından Yararlanma:** ZeroLogon ve PrintNightmare gibi güvenlik açıklarını kullanarak sistemlerde yetki seviyelerini artırmaktadırlar. **Hedefler ve Operasyon Alanı Black Basta, özellikle Kuzey Amerika, Avrupa ve Avustralya'daki kritik altyapıları ve özel sektör kuruluşlarını hedef almaktadır. İmalat, inşaat, ulaşım, telekomünikasyon ve sağlık gibi çeşitli sektörlerde faaliyet gösteren şirketler saldırılardan etkilenmiştir. İş Modeli ve Finansal Yapı Grup, hizmet olarak fidye yazılımı (RaaS) modeliyle çalışmakta ve bağlı kuruluşlar aracılığıyla saldırılar düzenlemektedir. Elde ettikleri fidyeler genellikle kripto para birimleri üzerinden talep edilmekte, böylece izlenmeleri zorlaşmaktadır. Kurbanlara Yaklaşım ve İletişim Black Basta, kurbanlarına fidye notları bırakarak, ödemeyi yapmadıkları takdirde çalınan verileri ifşa etmekle tehdit etmektedir. Bu yöntemle, hem finansal kazanç elde etmeyi hem de kurbanları baskı altına almayı amaçlamaktadırlar. Grubun Teknik Analizi Black Basta'nın kullandığı araçlar ve teknikler, grubun teknik kapasitesini göstermektedir: - **KNOTWRAP:** C/C++ ile yazılmış, bellek içi yükleri çalıştırabilen bir dropper. - **KNOTROCK:** Fidye yazılımını dağıtmak için kullanılan bir .NET yardımcı programı. - **DAWNCRY:** Sabit kodlanmış bir anahtar kullanarak gömülü kaynakları şifresini çözen ve yürüten, bellek içi çalışan bir dropper. - **PORTYARD:** Özel bir ikili protokol kullanarak komuta ve kontrol sunucularına bağlanan bir tünelleyici. - **COGSCAN:** Ağ ana bilgisayarlarını taramak için kullanılan .NET tabanlı bir keşif aracı. Yasal ve Güvenlik Perspektifi Black Basta'nın faaliyetleri, uluslararası hukuk ve siber güvenlik otoriteleri tarafından yakından izlenmektedir. Kolluk kuvvetleri ve siber güvenlik uzmanları, grubun taktiklerini ve araçlarını analiz ederek, savunma stratejileri geliştirmektedir. Toplumsal ve Ekonomik Etkiler Grubun saldırıları, hedef alınan şirketlerde operasyonel aksamalara, finansal kayıplara ve itibar zedelenmesine yol açmaktadır. Ayrıca, kritik altyapıların hedef alınması, toplumun geniş kesimlerini etkileyebilecek potansiyel riskler taşımaktadır. Grubun Medya ve Toplumdaki Yansıması Black Basta, medya tarafından sıklıkla ele alınmakta ve siber güvenlik camiasında tartışılmaktadır. Grubun hızlı yükselişi ve etkili saldırıları, kamuoyunda endişe yaratmaktadır. Gelecek Öngörüleri Black Basta'nın gelecekte de faaliyetlerine devam etmesi ve yeni teknikler geliştirerek saldırılarını sürdürmesi muhtemeldir. Siber güvenlik uzmanları, grubun faaliyetlerini izlemeye ve önleyici tedbirler almaya devam etmektedir. Sonuç Black Basta, karmaşık teknikler ve araçlar kullanarak geniş bir coğrafi alanda faaliyet gösteren tehlikeli bir fidye yazılımı grubudur. Siber güvenlik dünyasında önemli bir tehdit oluşturan bu grup, sürekli izlenmekte ve analiz edilmektedir....

Medusa Ransomware Nedir? Medusa, Haziran 2021'de ilk kez tespit edilen ve son yillarda ozellikle kritik altyapi sektorlerini hedef alarak ciddi tehdit olusturan bir fidye yazilimi grubudur. Ransomware-as-a-Service (RaaS) modeliyle calisan Medusa, 2025 yilinda FBI, CISA ve MS-ISAC tarafindan ortak bir siber guvenlik uyarisi yayinlanmasina neden olacak kadar buyuk bir tehdit haline gelmistir. Grup adini, Yunan mitolojisindeki bakislariyla insanlari tasa ceviren efsanevi yaratik Medusa'dan almaktadir. Bu isim, grubun kurbanlari uzerindeki felc edici etkisini sembolize etmektedir. Tarihsel Gelisim ve Evrim Sureci 2021: Ortaya Cikis Medusa fidye yazilimi ilk olarak Haziran 2021'de tespit edildi. Baslangicta nispeten kucuk olcekli operasyonlarla faaliyete baslayan grup, zamanla sofistike bir RaaS platformuna donustu. Ilk donemlerinde hedefli saldirilar yerine firsat odakli yaklasim benimsemisti. 2022-2023: Buyume Donemi Bu donemde Medusa operasyonu onemli olcude buyudu. Grup, cift gasp (double extortion) stratejisini benimseyerek hem dosyalari sifreliyor hem de calinti verileri yayinlamakla tehdit ediyordu. Dedicated Leak Site (DLS) uzerinden kurban verilerini yayinlama tehdidi, fidye odeme oranlarini artirdi. 2024: Hizlanma Medusa saldirilari 2023'ten 2024'e yuzde 42 oraninda artti. Bu donemde grup, ozellikle saglik ve egitim sektorlerine yogunlasti. Gelismis savunma atlatma teknikleri ve BYOVD (Bring Your Own Vulnerable Driver) yonteminin kullanimi yayginlasti. 2025: Patlama Yili ve FBI Uyarisi Mart 2025'te FBI, CISA ve MS-ISAC ortak bir uyari (AA25-071a) yayinladi. Subat 2025 itibariyla 500'den fazla kurban tespit edildi. Saldirilar neredeyse gunluk hale geldi ve 2024 seviyelerinin yuzde 45 uzerinde seyretti. 2026: Devam Eden Tehdit Ocak 2026 itibariyle Medusa, kuresel olcekte en aktif fidye yazilimi gruplarindan biri olmaya devam etmektedir. Resource Corporation of America 4 Ocak 2026'da saldiriya ugramistir. Grup, saglik ve finansal hizmetler sektorlerini hedef almaya devam etmektedir. 2024-2026 Saldiri Istatistikleri Medusa, 2024-2026 doneminde dramatik bir yukselis gosterdi: - Toplam Kurban (Ocak 2026 itibariyla): 500+ - 2025 Ilk Ceyrekte Toplam Olay: 2.289 - Yillik Artis Orani: %126 - Ocak-Subat 2025 Artisi: 2024'un ayni doneme gore 2 kat - Saldiri Sikligi: Neredeyse gunluk - 2024'e Gore Artis: %45 2026 Ocak Saldirilari - Resource Corporation of America: 4 Ocak 2026'da hedef alindi - Cesitli saglik ve finansal hizmet kuruluslari hedef alinmaya devam ediyor - Kritik altyapi saldirilarinda artis gozlemleniyor Hedef Sektorler FBI ve CISA uyarisina gore, Medusa kritik altyapi sektorlerini hedef almaktadir: - Saglik: Hastaneler, klinikler, saglik sistemleri - Egitim: Okullar, universiteler, egitim kurumlari - Hukuk: Avukatlik burolari, hukuk firmalari - Sigorta: Sigorta sirketleri - Teknoloji: IT firmalari, yazilim sirketleri - Uretim: Fabrikalar, uretim tesisleri - Kamu Kurumlari: Belediyeler, devlet kurumlari Saglik Sektoru Uzerindeki Etki FBI ve CISA, ozellikle kirsal hastanelerin Medusa fidye yazilimindan etkilenmeye daha yatkin oldugunu vurgulamistir. Bu hastaneler, siber guvenlik onlemlerini iyilestirmek icin gerekli kaynak ve kapasiteden yoksun olabilmektedir. Teknik Altyapi ve Saldiri Metodolojisi RaaS Is Modeli Medusa, Ransomware-as-a-Service modeliyle calisan profesyonel bir siber suc operasyonudur: - Is Modeli: RaaS (Ransomware-as-a-Service) - Gasp Stratejisi: Cift ve uclu gasp - Veri Sizdirma: Dedicated Leak Site (DLS) - Odeme Yontemi: Kripto para birimleri Uclu Gasp Semasi FBI sorusturmalari, Medusa'nin benzersiz bir uclu gasp semasi kullandigini ortaya koymustur. Fidyeyi odeyen bir kurban, ayri bir Medusa aktoru tarafindan tekrar iletisime gecilmistir. Bu aktor, muzakerecinin odenen fidye miktarini caldigini iddia etmis ve gercek sifre cozucuyu saglamak icin odemenim yarisinin tekrar yapilmasini talep etmistir. Ilk Erisim Vektorleri Medusa operatorleri cesitli giris yontemleri kullanmaktadir: Kimlik Avi Kampanyalari: Hedefli spear phishing e-postalari araciligiyla kullanicilari kandirarak kotu amacli baglantilara yonlendirme veya ekler indirtme. Yamasiz Yazilim Aciklari: Kamuya acik uygulamalardaki bilinen guvenlik aciklarinin istismari. Ozellikle su CVE'ler hedef alinmaktadir: - CVE-2024-1709: ScreenConnect kimlik dogrulama atlama - Fortinet EMS SQL enjeksiyon acigi - Microsoft Exchange Server zafiyetleri Gecerli Hesap Ele Gecirme: Muhtemelen ilk erisim brokerlari (Initial Access Brokers) araciligiyla elde edilen legitim hesap bilgilerinin kullanimi. MITRE ATT&CK Eslestirmesi CISA, Medusa aktivitelerini MITRE ATT&CK for Enterprise framework versiyon 16 ile eslestirmistir: Ilk Erisim (TA0001): - T1190 - Exploit Public-Facing Application - T1566 - Phishing - T1078 - Valid Accounts Yurutme (TA0002): - T1059.001 - PowerShell - T1047 - Windows Management Instrumentation - T1569.002 - Service Execution (PsExec) Kalicilik (TA0003): - T1136.002 - Create Account: Domain Account - T1078 - Valid Accounts Ayricalik Yukseltme: - T1068 - Exploitation for Privilege Escalation - T1078 - Valid Accounts Savunma Atlatma (TA0005): - T1070.003 - Clear Command History - T1027 - Obfuscated Files or Information - T1027.013 - Encrypted/Encoded File - T1562.001 - Disable or Modify Tools Kimlik Bilgisi Erisimi (TA0006): - T1003.001 - LSASS Memory - T1555 - Credentials from Password Stores Kesif (TA0007): - T1046 - Network Service Discovery - T1135 - Network Share Discovery - T1082 - System Information Discovery - T1083 - File and Directory Discovery Yanal Hareket (TA0008): - T1021.001 - Remote Desktop Protocol - T1569.002 - Service Execution (PsExec) - T1047 - Windows Management Instrumentation - T1059.001 - PowerShell Toplama: - T1560 - Archive Collected Data - T1119 - Automated Collection Komuta ve Kontrol (TA0011): - T1071.001 - Web Protocols (HTTPS tunelleri) - T1219 - Remote Access Software Sizdirma (TA0010): - T1567.002 - Exfiltration to Cloud Storage (Rclone) Etki (TA0040): - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery BYOVD Teknigi Medusa saldirganlari, Bring Your Own Vulnerable Driver (BYOVD) teknikini yaygin olarak kullanmaktadir. Bu teknikte saldirganci, hedef aga imzali fakat zafiyetli bir surucu yukler ve bu surucuyu istismar ederek guvenlik yazilimlarini devre disi birakir. Neredeyse tum Medusa saldirilarinda KillAV araci ve iliskili zafiyetli suruculer kullanilarak guvenlik yazilimlari engellenmektedir. Kullanilan Arac Seti Uzaktan Yonetim ve Izleme (RMM): - SimpleHelp: Uzaktan erisim ve yonetim - AnyDesk: Uzaktan masaustu erisimi - ConnectWise: RMM platformu Kimlik Bilgisi Toplama: - Mimikatz: LSASS bellek okuma - LaZagne: Coklu platform parola toplama - LSASS Dumping: Kimlik bilgisi cikartma Yanal Hareket: - PsExec: Uzaktan komut calistirma - WMI: Windows Management Instrumentation - PowerShell: Betik calistirma ve otomasyon - RDP: Uzak masaustu protokolu Veri Sizdirma: - Rclone: Bulut depolamaya veri aktarimi - MEGA: Bulut depolama servisi Savunma Atlatma: - KillAV: Guvenlik yazilimlarini devre disi birakma - Zafiyetli Suruculer: BYOVD teknigi icin Living Off the Land (LOTL) Medusa operatorleri, sistemde hali hazirda bulunan legitim araclari kotu amacla kullanma stratejisini (Living Off the Land) benimsemektedir. PowerShell, WMI ve diger yerlesik Windows araclari, tespiti zorlastirmak icin kullanilmaktadir. Sifreleme ve Fidye Mekanizmasi Sifreleme Sureci Medusa, kurban sistemlerindeki dosyalari sifrelemek icin guclu kriptografik algoritmalar kullanmaktadir. Sifreleme oncesinde kritik veriler belirlenir ve sizdirma icin kopyalanir. Fidye Notu ve Iletisim Sifreleme tamamlandiktan sonra kurbanlar, fidye notu ile karsilasir. Fidye notu, odeme talimatlari ve tehditler icerir. Kurbanlar, Tor uzerindeki ozel bir portal araciligiyla saldirganlarla iletisim kurabilmektedir. Cift Gasp Stratejisi Medusa, cift gasp yaklasimini kullanmaktadir: - Dosya sifreleme: Sistemleri kullanilmaz hale getirme - Veri sizdirma tehdidi: Calinti verileri Dedicated Leak Site'da yayinlama Uclu Gasp FBI sorusturmalarinda belirlenen uclu gasp semasinda, fidyeyi odeyen kurbanlar ikinci bir kez fidye talebiyle karsilasabilmektedir. Bu durum, grubun ic koordinasyon eksikligini veya kasitli bir ek gasp stratejisini gostermektedir. Onemli Saldiri Ornekleri 2024 Saldiriları Medusa, 2024 yilinda cesitli sektorlerden onemli kuruluslari hedef almistir. Ozellikle egitim ve saglik sektorlerinde ciddi kesintilere neden olan saldirilar gerceklestirmistir. 2025 Saldiriları 2025 yilinin ilk aylarinda Medusa saldirilari rekor seviyelere ulasti. Ocak ve Subat aylarinda 2024'un ayni doneminin iki katina yakin saldiri gerceklestirildi. Kritik altyapi sektorleri, ozellikle saglik ve egitim, en cok etkilenen alanlar oldu. 2026 Ocak Saldirilari - Resource Corporation of America: 4 Ocak 2026'da hedef alindi - Finansal hizmetler sektoru hedeflemesi devam ediyor - Kritik altyapi saldirilari artarak suruyor Korunma Stratejileri ve Oneriler FBI ve CISA Onerileri FBI, CISA ve MS-ISAC, Medusa fidye yaziliminin olasilik ve etkisini azaltmak icin asagidaki onerilerde bulunmaktadir: Yama Yonetimi: - Isletim sistemlerini guncel tutun - Yazilim ve firmware'leri duzenli olarak yamalayin - Ozellikle CVE-2024-1709 ve Fortinet EMS aciklarini kapatin - Microsoft Exchange sunucularini guncelleyin Ag Segmentasyonu: - Kritik sistemleri izole edin - Ag trafigini filtreleyin - Bilinmeyen veya guvenilmeyen kaynaklardan dahili sistemlere uzaktan erisimi engelleyin Kimlik ve Erisim Yonetimi: - Tum hesaplarda MFA zorunlu kilin - Guclu parola politikalari uygulayin - Ayricalikli hesaplari sinirlandirin - Duzenli kimlik bilgisi rotasyonu yapin Uc Nokta Guvenligi: - EDR cozumleri konuslandirin - BYOVD saldirilarına karsi surucu imza dogrulamasi yapin - KillAV ve benzeri araclari engelleyin - PowerShell ve WMI aktivitelerini izleyin Veri Koruma: - Cevrimdisi ve degistirilemez yedekler olusturun - 3-2-1 yedekleme kuralini uygulayin - Duzenli yedekleme testleri yapin - Veri sizdirmayi onlemek icin DLP cozumleri kullanin Uzaktan Erisim Guvenligi Medusa'nin RMM yazilimlarini kotu amacla kullandigi goz onune alinarak: - SimpleHelp, AnyDesk gibi araclari sadece gerekli durumlarda kullanin - Uzaktan erisim yazilimlarini guvenlik politikalariyla sinirlandirin - Yetkisiz RMM kurulumlarini izleyin ve engelleyin Olay Mudahale Hazirligi - Kapsamli olay mudahale planlari hazirlayin - Duzenli tatbikatlar yapin - Iletisim protokollerini belirleyin - Hukuki ve duzenleyici gereklilikleri bilin Tehdit Istihbarati ve Izleme IoC'ler (Indicators of Compromise) FBI ve CISA uyarisi, Medusa ile iliskili cesitli uzlasma gostergelerini icerir: - Dosya hashleri (MD5, SHA-256) - Komuta ve kontrol IP adresleri - Kotu amacli alan adlari - Fidye notu icerikleri Tespit Stratejileri - SIEM cozumleriyle merkezi log toplama ve analiz - EDR cozumleriyle uc nokta davranis analizi - NDR cozumleriyle ag trafigi izleme - Threat hunting aktiviteleri Gelecek Ongoruleri Tehdit Degerlendirmesi Medusa'nin 2025-2026'daki agresif buyumesi, grubun 2027 ve sonrasinda da onemli bir tehdit olmaya devam edecegini gostermektedir. FBI ve CISA uyarisinin yayinlanmasi, tehdidin ciddiyetini vurgulamaktadir. Beklenen Gelismeler - Daha sofistike savunma atlatma teknikleri - BYOVD tekniklerinin genisletilmesi - Uclu gasp modelinin yayginlasmasi - Kritik altyapi hedeflemesinin devami Sonuc Medusa fidye yazilimi, 2024-2026 doneminde en tehlikeli siber tehditlerden biri olarak konumunu saglam-lastirdi. FBI, CISA ve MS-ISAC'in ortak uyarisi, bu tehdidin ciddiyetini acikca ortaya koymaktadir. 500'den fazla kurbanla Medusa, kuresel siber guvenlik icin ciddi bir endise kaynagi olmaya devam etmektedir. Ocak 2026'da Resource Corporation of America gibi finansal hizmetler sektorundeki kurumlar hedef alinmaya devam etmektedir. Ozellikle saglik ve egitim sektorlerindeki kurumlar, Medusa'nin birincil hedefleri arasinda yer almaktadir. Kuruluslar, Medusa ve benzeri tehditlere karsi cok katmanli bir guvenlik stratejisi benimsemelidir. Yama yonetimi, ag segmentasyonu, MFA uygulamasi ve duzenli yedekleme kritik oneme sahiptir. BYOVD tekniklerine karsi surucu dogrulama ve guvenlik yazilimi korumasi da ihmal edilmemelidir. FBI ve CISA tarafindan yayinlanan MITRE ATT&CK eslestirmeleri ve IoC'ler, guvenlik ekiplerinin tespit ve mudahale yeteneklerini gelistirmesinde kritik kaynak olarak kullanilmalidir. Proaktif tehdit avlama ve surekli izleme, Medusa gibi gelismis tehditlere karsi en etkili savunma yaklasimini olusturmaktadir....

Giriş 8BASE fidye yazılımı grubu, Mart 2022'de ortaya çıkmış ve özellikle 2024 yılında gerçekleştirdiği saldırılarla dikkat çekmiştir. Çift aşamalı gasp (double extortion) yöntemini kullanarak, hem verileri şifreleyip hem de çaldıkları verileri ifşa etme tehdidiyle kurbanlarını zor durumda bırakmaktadırlar. Grubun Tarihçesi ve Kökenleri İlk olarak Mart 2022'de tespit edilen 8BASE, başlangıçta sınırlı sayıda saldırı gerçekleştirmiştir. Ancak, Haziran 2024'ten itibaren saldırılarını artırarak dünya çapında birçok kuruluşa zarar vermiştir. Grubun kökenleri hakkında sınırlı bilgi bulunmakla birlikte, fidye yazılımı ekosisteminde hızla yükselen bir aktör olarak görülmektedir. Kullanılan Teknikler ve Araçlar 8BASE grubu, saldırılarında çeşitli teknikler ve araçlar kullanmaktadır: - **İlk Erişim:** Genellikle kimlik avı e-postaları ve güvenlik açıklarından yararlanarak sistemlere sızmaktadırlar. Ayrıca, zayıf parolaları hedef alarak kaba kuvvet saldırılarıyla erişim sağlamaktadırlar. - **Yanal Hareket ve Keşif:** Sisteme girdikten sonra, ağ içinde yanal hareket ederek kritik verileri ve sistemleri tespit ederler. Bu süreçte, meşru yönetim araçlarını kullanarak tespit edilmekten kaçınırlar. - **Veri Şifreleme ve Çalma:** Dosyaları şifrelemeden önce hassas verileri çalarlar. Şifreleme işlemi için güçlü algoritmalar kullanarak, kurbanların verilerine erişimini engellerler. - **Çift Aşamalı Gasp:** Hem verileri şifreleyip hem de çaldıkları verileri ifşa etme tehdidiyle kurbanları fidye ödemeye zorlarlar. Bu yöntem, kurban üzerinde ek bir baskı oluşturur. Hedefler ve Operasyon Alanı 8BASE, çeşitli sektörlerdeki kuruluşları hedef almaktadır. Özellikle finans, sağlık, lojistik ve üretim sektörlerindeki şirketler saldırılardan etkilenmiştir. Grubun faaliyetleri küresel çapta olup, farklı ülkelerdeki organizasyonları hedef almaktadır. İş Modeli ve Finansal Yapı 8BASE, fidye yazılımı hizmeti (RaaS) modeliyle çalışmaktadır. Bu modelde, fidye yazılımı geliştiricileri ile saldırıları gerçekleştiren bağlı kuruluşlar iş birliği yapar ve elde edilen gelir paylaşılır. Fidye talepleri, kurbanın büyüklüğüne ve verilerin değerine göre değişiklik göstermektedir. Kurbanlara Yaklaşım ve İletişim 8BASE, kurbanlarıyla genellikle fidye notları ve karanlık web üzerindeki sızıntı siteleri aracılığıyla iletişim kurar. Fidye notlarında, ödeme yapılmadığı takdirde çalınan verilerin ifşa edileceği belirtilir. Ödeme genellikle kripto para birimleri üzerinden talep edilir ve kurbanlara belirli bir süre verilir. Grubun Teknik Analizi 8BASE'in kullandığı fidye yazılımı, gelişmiş şifreleme algoritmaları ve tespit edilmekten kaçınma teknikleri içermektedir. Kod yapısı ve işleyişi, diğer fidye yazılımı aileleriyle benzerlikler gösterebilir, ancak grup kendi özel araçlarını da geliştirmektedir. Yasal ve Güvenlik Perspektifi 8BASE'in faaliyetleri, uluslararası güvenlik ve hukuk otoriteleri tarafından izlenmektedir. Kolluk kuvvetleri ve siber güvenlik firmaları, grubun faaliyetlerini engellemek ve kurbanları korumak için çalışmalar yürütmektedir. Ancak, grubun anonim yapısı ve kullandığı teknikler, takibini zorlaştırmaktadır. Toplumsal ve Ekonomik Etkiler 8BASE'in saldırıları, hedef aldığı kuruluşların operasyonlarını kesintiye uğratarak ekonomik kayıplara yol açmaktadır. Özellikle sağlık ve finans sektörlerindeki saldırılar, hizmetlerin durmasına ve toplum genelinde güvensizlik hissinin artmasına neden olmaktadır. Grubun Medya ve Toplumdaki Yansıması 8BASE fidye yazılımı grubu, medya tarafından sıklıkla ele alınmakta ve kamuoyunda endişe yaratmaktadır. Özellikle büyük ölçekli saldırılar ve yüksek fidye talepleri, medyanın ilgisini çekmektedir. Bu durum, toplumda siber güvenlik farkındalığının artmasına katkı sağlasa da, aynı zamanda korku ve belirsizlik duygularını da beslemektedir. Gelecek Öngörüleri 8BASE ve benzeri fidye yazılımı gruplarının, tekniklerini sürekli geliştirerek daha sofistike saldırılar gerçekleştirmesi muhtemeldir. Bu nedenle, kuruluşların siber güvenlik önlemlerini sürekli güncellemeleri ve proaktif savunma stratejileri geliştirmeleri önem arz etmektedir. Sonuç 8BASE fidye yazılımı grubu, siber tehditlerin evrilen doğasını ve kuruluşların karşı karşıya olduğu riskleri gözler önüne sermektedir. Saldırganların kullandığı gelişmiş teknikler ve hedef aldıkları kritik sektörler, siber güvenliğin önemini bir kez daha vurgulamaktadır. Kurumların, çalışanlarını eğiterek,...

SafePay Ransomware Nedir? SafePay, Eylul-Ekim 2024'te ortaya cikan ve 2025 yilinda hizla yukselerek dunyanin en aktif fidye yazilimi gruplarindan biri haline gelen bir siber suc orgutudur. LockBit 3.0 sizdirilan kaynak kodundan turetilen SafePay, diger buyuk gruplardan farkli olarak merkezi ve kapali bir operasyon modeli isletmektedir. Grubun adi, ironik bir sekilde guvenli odeme kavramina gondermedir. Ancak grubun faaliyetleri tamamen kurban organizasyonlarin guvenligini tehlikeye atmaya yoneliktir. Tarihsel Gelisim 2024: Ortaya Cikis SafePay fidye yazilimi ilk olarak Eylul-Ekim 2024'te tespit edildi. Grubun ortaya cikis zamani, LockBit ve ALPHV operasyonlarina yonelik buyuk kolluk kuvveti operasyonlariyla es zamanli oldu. Bu durum, SafePay'in stratejik pazar konumlandirmasi yaptigini dusundurmektedir. Kasim 2024'te Check Point verilerine gore SafePay, bildirilen kurbanlarin yuzde 5'ini olusturuyordu. 2025: Patlama Yili SafePay, 2025 yilinda muazzam bir buyume kaydetti. Mayis 2025'te yalnizca bir ayda 70 fidye yazilimi saldirisi SafePay ile iliskilendirildi ve bu toplam saldirilairin yuzde 18'ini olusturdu. Haziran 2025'te grup, tek bir ayda 73 kurban organizasyon iddia ederek Bitdefender siralamasinda zirveye yerlesti. Yil sonu itibariyle SafePay, 464 kurban ile 2024'e kiyasla yuzde 775 oraninda buyume kaydetti. Bu buyume orani, fidye yazilimi tarihindeki en hizli yukselislerden birini temsil etmektedir. 2026: Saldirilar Devam Ediyor SafePay, 2026 yilinin ilk aylarinda da aktif saldirilarini surdurmektedir. Ocak 2026'daki onemli saldirilar arasinda: - 24 Ocak 2026: GS Global Resources saldirisi gerceklestirildi - Grup, yeni hedef bolgelere ve sektorlere genislemeye devam etmektedir 2025-2026 Saldiri Istatistikleri SafePay, 2025 yilinda etkileyici rakamlar kaydetti: - Toplam Kurban (2025): 464 - 2024'e Gore Buyume: %775 - Mayis 2025 Kurban Sayisi: 70-73 - Temmuz 2025 Kurban Sayisi: 42 - 2025 Kuresel Pazar Payi: %6 - Almanya Q1 2025 Payi: %24 (en yuksek) - Tek Gunde En Fazla Kurban: 29 (30 Mart 2025) - Gunluk 10+ Kurban Iddiali Gunler: Coklu Hedef Bolgeler SafePay'in 2025-2026 saldiri dalgasi belirli bolgelere yogunlasmaktadir: - ABD: En fazla hedeflenen - Almanya: Q1 2025'te tum fidye yazilimi kurbanlarinin %24'u - Ingiltere: Yuksek hedefleme - Kanada: Onemli hedef Hedef Sektorler SafePay genis bir sektor yelpazesini hedef almaktadir: - Profesyonel Hizmetler: En fazla saldiriya ugrayan - Insaat: Ikinci en cok hedeflenen - Uretim: Yuksek hedefleme - Kamu: Hukumet kurumlari - Saglik: Kritik altyapi - Finans: Finansal hizmetler - IT: Teknoloji firmalari - Ulasim: Lojistik sirketleri - Tuketici Urunleri: Perakende - Egitim: Okullar ve universiteler Merkezi Operasyon Modeli (Non-RaaS) RaaS Degil SafePay, baskin Ransomware-as-a-Service modellerinden farkli olarak merkezi, kapali bir grup olarak calismaktadir. Grup, altyapisi, muzakereleri ve karlari uzerinde siki kontrol saglamaktadir. SafePay, sizinti sitesinde RaaS baglaminda calismadiklarini acikca beyan etmektedir. Fidye yazilimlarini diger suclulara pazarlamamakta veya is ortakligi programi duyurusu yapmamaktadir. Model Avantajlari Bu yaklasimin SafePay'e sagladigi avantajlar: - OPSEC Guvenligi: Kod ve altyapi sizdirma risklerinin azaltilmasi - Tam Kar Payi: Fidye odemelerinin %100'u - Operasyonel Guvenlik: Is ortagi aglariyla iliskili zafiyetlerin ortadan kaldirilmasi - Tutarli TTP'ler: Tespit imzalarinin daha guvenilir olmasi Saldiri Hizi SafePay saldirilari, hizlariyla karakterize edilmektedir. Ilk erisimden sifrelemeye genellikle 24 saat icinde gecis yapilmaktadir. Bu hiz, savunucularin tepki surelerini ciddi olcude sinirlandirmaktadir. LockBit ve Diger Grup Baglantilari LockBit Kod Temeli Guvenlik arastirmacilari, SafePay operatorlerinin LockBit, ALPHV (BlackCat) ve INC Ransomware dahil dagilmis tehdit aktoru gruplariyla baglantilari oldugunu degerlendirmektedir. Fidye yazilimi binary'si, 2022 sonunda sizdirilan LockBit 3.0 (LockBit Black) kaynak koduyla onemli kod paylasimina sahiptir. Ancak SafePay'in LockBit personeli ve isbirlikcilerinden bagimsiz olarak calisan bir grup oldugunu destekleyen guclu kanitlar mevcuttur. Bu kanitlar, her grubun operasyonel modellerindeki ve sifreleme sureclerindeki carpici farkliliklari icermektedir. Conti Baglantisi Bir arastirmaci, grubu post-Conti fidye yazilimi gruplarindan biri olarak tanimladi. Operatorlerin tipik Conti tekniklerini, taktiklerini ve prosedurlerini (TTP) kullandigi ve dagilmis Conti cetesinin eski uyelerini icerebilecegi belirtildi. QDoor Arka Kapisi SafePay'in, daha once BlackSuit Ransomware operasyonuyla iliskilendirilen QDoor arka kapisini kullandigi raporlanmistir. Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri SafePay, belirli giris yontemlerine yogunlasmaktadir: Ele Gecirilmis Kimlik Bilgileri: Grup, ilk erisim brokerlarindan veya kaba kuvvet saldirilariyla elde edilen ele gecirilmis kimlik bilgilerini sik sik kullanmaktadir. Bu kimlik bilgileri, VPN aggecicleri ve Uzak Masaustu Protokolu sunucularindaki gecerli hesaplar uzerinden girisi kolaylastirmaktadir. Yanlis Yapilandirilmis Cihazlar: Bazi durumlarda, ozellikle Cok Faktorlu Kimlik Dogrulama olmadan yerel hesap kimlik dogrulamasina izin veren FortiGate firewall'lari gibi yanlis yapilandirilmis kenar cihazlari giris noktasi olarak hizmet etmektedir. MITRE ATT&CK Eslestirmesi Ilk Erisim: - T1078 - Valid Accounts (VPN, RDP) - T1133 - External Remote Services - T1190 - Exploit Public-Facing Application Yanal Hareket: - T1021.001 - Remote Desktop Protocol - T1021.002 - SMB/Windows Admin Shares Savunma Atlatma: - T1562.001 - Disable or Modify Tools - T1070 - Indicator Removal - Living off the Land teknikleri Sizdirma: - T1567 - Exfiltration Over Web Service (Rclone) - T1041 - Exfiltration Over C2 Channel (FileZilla) Etki: - T1486 - Data Encrypted for Impact - T1489 - Service Stop - T1490 - Inhibit System Recovery Kullanilan Arac Seti Ilk Erisim: - Ele gecirilmis VPN kimlik bilgileri - RDP istismari - Yanlis yapilandirilmis FortiGate firewall'lari Yanal Hareket: - RDP - SMB/Windows Admin Shares - Living off the Land araclari Sizdirma: - FileZilla: Dosya aktarim protokolu - Rclone: Bulut depolamaya aktarim Kalicilik: - QDoor: Arka kapi (BlackSuit ile iliskili) Savunma Atlatma Zararli yazilim, sifreleme oncesinde antiviris yazilimi, veritabanlari ve yedekleme cozumleriyle iliskili surecleri aktif olarak sonlandirmaktadir. Living off the Land teknikleri, tespiti atlatmak icin yaygin olarak kullanilmaktadir. Cift Gasp Stratejisi Saldiri Akisi SafePay, cift gasp teknikini kullanmaktadir: 1. Ele gecirilmis kimlik bilgileriyle ilk erisim 2. Hizli yanal hareket ve kesif 3. Finansal kayitlar ve fikri mulkiyet gibi hassas verilerin sizdirilmasi 4. Sistemlerin sifrelenmesi 5. Fidye notu birakilmasi 6. Odeme yapilmazsa verilerin Tor agindaki sizinti sitesinde yayinlanmasi Sizinti Sitesi Kurbanlar, Tor agindaki veri sizinti sitesi araciligiyla baskilanmaktadir. Fidyeyi odemeyi reddeden organizasyonlar bu sitede listelenmektedir. Kurban Profili Organizasyon Boyutu SafePay saldirilarinin kurbani olan organizasyonlarin medyan geliri son dort ayda oldukca tutarli olmustur. Raporlanan kurban organizasyonlarin cogu, 5 milyon dolar veya biraz uzerinde gelirlere sahiptir. Hedef Secimi Kurban profili, egitim, teknoloji, saglik, ulasim ve uretim dahil genis bir sektor yelpazesini kapsamaktadir. Orta olcekli ve buyuk isletmelere acik bir odaklanma mevcuttur. Uretim ve egitim sektorleri, operasyonel sureklilik gereksinimleri ve kisitli guvenlik butceleri nedeniyle onemli olcude hedeflenmektedir. Korunma Stratejileri ve Oneriler Kimlik Yonetimi - Tum VPN ve RDP erisimlerinde MFA zorunlu kilin - Yerel hesap kimlik dogrulamasini sinirlandirin - Guclu parola politikalari uygulayin - Dark Web izleme ile sizdirilan kimlik bilgilerini tespit edin - Duzenli kimlik bilgisi rotasyonu yapin Ag Guvenligi - FortiGate ve diger firewall yapilandirmalarini gozden gecirin - VPN ag gecitlerini sertlestirin - RDP erisimini sinirlandirin - Ag segmentasyonu uygulayin - Zero trust mimarisi benimseyin Uc Nokta Guvenligi - EDR cozumleri konuslandirin - Living off the Land aktivitelerini izleyin - LockBit 3.0 imzalarina karsi tarama yapin - Davranis tabanli analiz uygulayin - Surec Sonlandirma girisimlerini tespit edin Sizdirma Onleme - FileZilla ve Rclone kullanimini izleyin - DLP cozumleri uygulayin - Anormal veri aktarimlarini tespit edin - Bulut depolama erisimini sinirlandirin Veri Koruma - Cevrimdisi ve degistirilemez yedekler olusturun - 3-2-1 yedekleme kuralini uygulayin - Duzenli yedekleme testleri yapin - Yedekleme cozumlerini koruma altina alin Hiz Faktorune Karsi Onlemler SafePay'in 24 saat icinde saldiriyi tamamlama hizi goz onune alindiginda: - 7/24 SOC izleme uygulayin - Otomatik tehdit yaniti mekanizmalari kullanin - Olay mudahale planlarini guncel tutun - Hizli izolasyon proseduleri belirleyin Tehdit Istihbarati ve Izleme IoC Izleme - LockBit 3.0 turevli binary imzalari - QDoor arka kapi gostergeleri - Bilinen C2 IP adresleri - Fidye notu dosya adlari ve icerikleri Proaktif Onlemler - VPN ve RDP log'larini duzenli olarak inceleyin - Basarisiz oturum acma girisimlerini izleyin - Anormal saat dilimlerinde erisimleri arastirin - Tehdit istihbarati beslemelerini entegre edin Gelecek Ongoruleri Tehdit Degerlendirmesi SafePay'in merkezi operasyon modeli ve hizli saldiri yetenekleri, grubun 2026'da da onemli bir tehdit olmaya devam edecegini gostermektedir. LockBit ve ALPHV'nin dagilmasinin ardindan olusan boslugu doldurmaktadir. Beklenen Gelismeler - Saldiri hizinin daha da artmasi - Yeni hedef bolgelere genisleme - Living off the Land tekniklerinin sofistike edilmesi - Sizdirma yontemlerinin cesitlendirilmesi Sonuc SafePay, 2025 yilinda fidye yazilimi ekosisteminin en dikkat cekici oyuncularindan biri olarak one cikmistir. Merkezi operasyon modeli, diger buyuk gruplardan farklilasmaktadir ve is ortagi riskleri olmadan tam kar payi saglamaktadir. Grubun LockBit 3.0 kod temeli, hizli saldiri yetenekleri ve Living off the Land yaklasimi, SafePay'i tespit edilmesi zor ve etkili bir tehdit haline getirmektedir. Ozellikle 24 saat icinde tamamlanan saldirilar, geleneksel guvenlik yanitlarini yetersiz kilabilmektedir. 2025 yilinda 464 kurban ve yuzde 775 buyume orani ile SafePay, fidye yazilimi tarihinin en hizli yukselen gruplarindan biri olmustur. 2026 yilinda da GS Global Resources gibi saldirilarla aktivitelerini surdurmektedir. Kuruluslar, SafePay ve benzeri tehditlere karsi VPN ve RDP guvenligine oncelik vermeli, MFA'yi zorunlu kilmali ve 7/24 izleme yetenekleri gelistirmelidir. Firewall yapilandirmalarinin duzenlenmesi ve Living off the Land aktivitelerinin izlenmesi de kritik oneme sahiptir. Proaktif guvenlik durusu ve hizli yanit yetenekleri, bu tehditlere karsi en etkili savunma yaklasimini olusturmaktadir....

Lynx Ransomware Nedir? Lynx, 2024 yilinin ortasinda ortaya cikan ve INC ransomware'in yeniden markalanmis gelismis bir varyanti olarak bilinen bir fidye yazilimi grubudur. Ransomware-as-a-Service (RaaS) modeliyle calisan grup, cift gasp stratejisi ve gelismis sifreleme yontemleriyle ozellikle ABD ve Ingiltere'deki endustrileri hedef almaktadir. Grup adini vaahsi ve cevik bir yirtici olan vasi kedisinden almaktadir. Bu isim, grubun hizli ve agresif saldiri yaklasimini sembolize etmektedir. Tarihsel Gelisim ve INC Ransomware Baglantisi INC Ransomware Kokeni INC ransomware ilk olarak Agustos 2023'te ortaya cikti ve hem Windows hem de Linux ile uyumlu varyantlara sahipti. Mart 2024'te INC ransomware'in kaynak kodu siber suc yeraltı pazarinda satisa cikti. Mayis 2024'te RAMP forumunda kaynak kodun 300.000 dolara satildigi raporlandi. Lynx'in Ortaya Cikisi 2024 yilinin ortasinda yeni bir fidye yazilimi aktoru olarak Lynx ortaya cikti. Yeraltı dedikodularina gore Lynx grubu, INC ransomware'den kaynak kodu satin almistir. Binary diff analizleri, Lynx ve INC ransomware ornekleri arasinda yuzde 48 benzerlik skoru oldugunu, fonksiyonlarin ise yuzde 70,8 oraninda eslestgini gostermektedir. Linux ESXi varyantindaki ortusme daha da yuksektir. Bu teknik benzerlik, Lynx'in INC'nin evrimlestirilmis bir surumu oldugunu kanitlamaktadir. 2024: Hizli Buyume Eylul 2024'e kadar guvenlik raporlari 20'den fazla kurban tespit etmisti. Sadece birkac ay icinde grup hizla buyuyerek olceklendi. 2024 sonunda DZS Inc.'e yapilan saldiri, grubun yuksek profil hedefleme yetenegini ortaya koydu. 2025: Konsolidasyon Donemi 2025 basinda grup en az 42 bilinen saldiriya ulasmisti. Mayis 2025 itibariyle sizinti sitesinde 270'den fazla organizasyon listelenmisti. Agustos 2025'e kadar kurban sayisi yaklasik 300'e ulasti. 2026: Devam Eden Tehdit Ocak 2026 itibariyle Lynx, kuresel olcekte en aktif fidye yazilimi gruplarindan biri olmaya devam etmektedir. Grupo Ruiz 4 Ocak 2026'da ve South West Development Commission Ocak 2026'da saldiriya ugramistir. Grup, uretim ve kamu sektorlerini hedef almaya devam etmektedir. 2024-2026 Saldiri Istatistikleri Lynx, 2024-2026 doneminde istikrarli bir buyume gosterdi: - Toplam Kurban Sayisi (Ocak 2026): ~300+ - 2024 Kurban Sayisi: 174 (ABD) - Hedeflenen Ulke Sayisi: 16+ - ABD Kurban Orani: %60+ - Kanada ve Ingiltere Orani: %8 - En Yuksek Fidye Talebi: 18,1 milyon USD (DZS Inc.) 2026 Ocak Saldirilari - Grupo Ruiz: 4 Ocak 2026'da hedef alindi - South West Development Commission: Ocak 2026'da hedef alindi - Uretim ve kamu sektorleri agir sekilde hedefleniyor Hedef Sektorler Lynx belirli sektorlere yogunlasmaktadir: - Uretim: %20+ (en fazla hedeflenen) - Insaat: ~%20 - Is Hizmetleri: Yuksek - Teknoloji: Yuksek - Ulasim: Yuksek - Finans: Orta - Mimarlik: Orta - Kamu Sektoru: Artan hedefleme Cografi Dagilim Lynx'in hedefledigi ulkeler: - ABD: %60+ (en fazla hedeflenen, 174 kurban) - Ingiltere: %8 - Kanada: %8 - Avustralya: Yuksek - Almanya: Yuksek - Fransa: Yuksek MSP Hedeflemesi 2026 Trendleri 2026 basinda Lynx ve Akira fidye yazilimlari, Yonetilen Hizmet Saglayicilari (MSP) hedef almaya devam etmektedir. MSP'ler, birden fazla musteriye erisim sagladiklari icin yuksek degerli hedefler olarak gorulmektedir. MSP Saldiri Stratejisi MSP'lere yapilan basarili bir saldiri, tehdit aktorlerine tek bir giris noktasindan onlarca veya yuzlerce musteriye erisim saglayabilir. Bu durum, fidye yazilimi gruplarindan MSP'leri son derece cazip hedefler haline getirmektedir. RaaS Is Ortakligi Programi Platform Yapisi Lynx, son derece organize bir RaaS platformu isletmektedir. Is ortagi paneli birden fazla bolume ayrilmistir: - News: Haberler ve guncellemeler - Companies: Hedef organizasyonlar - Chats: Iletisim - Stuffers: Veri doldurma araclari - Leaks: Sizdirma yonetimi Bu tasarim, is ortaklarinin kurban profillerini yapilandirmasina, ozel fidye yazilimi ornekleri olusturmasina ve veri sizdirma takvimlerini yonetmesine izin vermektedir. Is Ortagi Paylari Lynx, deneyimli siber sucluları cekmek icin rekabetci bir model sunmaktadir: - Is Ortagi Payi: %80 - Cekirdek Ekip Payi: %20 - Ek Hizmetler: Cagri merkezi, gelismis depolama Yuksek performans gosteren is ortaklarina gelismis depolama cozumleri sunulmaktadir. Ayrica kurbanlara baski yapmak icin bir cagri merkezi hizmeti de mevcuttur. Ise Alim Sureci Is ortagi ise alim cabalari yeralti forumlarinda deneyimli penetrasyon testcileri ve sizma ekipleri icin katı bir inceleme sureci icermektedir. Etik Iddiasi ve Gercekler Iddia Edilen Etik Yaklasim Lynx arkasindaki siber suclular, hedef secerken topluma verilen zarari en aza indirmek icin etik bir yaklasim izlediklerini iddia etmektedir. Grup, hukumet kurumlari, saglik sektoru veya kar amaci gutmeyen organizasyonlari hedef almadıklarını belirtmektedir. Ise alim duyurusunda grubun faaliyet bolgeleri belirtilmis, Lynx'in Bagimsiz Devletler Toplulugu (BDT), Ukrayna, Cin, Iran ve Kuzey Kore'deki hedefleri atlatacagi aciklanmistir. Ayrica saglik kurumlari, devlet daireleri, kiliseler veya cocuk yardimine yonelik hayir kurumlari hedef alinmayacaktir. Gerceklik Kontrolu Ancak sosyal acidan onemli organizasyonlari hedef almama iddiasina ragmen, enerji altyapisi ve kamu hizmetlerine yonelik dogrulanan saldirilar bu iddialari curutmektedir. South West Development Commission gibi kamu sektoru saldirilari bu tutarsizligin acik bir ornegidir. 2024-2026 Onemli Saldirilari Electrica Energy Supplier (Aralik 2024) Lynx, buyuk bir enerji tedarikci olan Electrica'yi hedef aldi. Operasyonlar kesintiye ugratildi ve hassas veriler ele gecirildi. Bu saldiri, grubun kritik altyapiyi hedeflemekten cekinmedigini gosterdi. Hunter Taubman Fischer and Li LLC (Ocak 2025) Kurumsal ve menkul kiymetler hukukunda uzman bu ABD merkezli hukuk firmasi Lynx tarafindan ihlal edildi. DZS Inc. (2024 Sonu) Ag cozumlerinde kuresel bir lider olan DZS Inc., Lynx fidye yazilimi saldirisinaa maruz kaldi. Tehdit grubu yaklasik 30 GB hassas veri sizdirarak 18,1 milyon dolar fidye talep etti. 2026 Ocak Saldirilari - Grupo Ruiz: 4 Ocak 2026'da hedef alindi - South West Development Commission: Ocak 2026'da hedef alindi - MSP hedeflemesi devam ediyor Teknik Altyapi ve Saldiri Metodolojisi Coklu Platform Destegi Lynx, is ortaklarina cesitli ortamlari kapsayan kapsamli bir paket sunmaktadir: - Windows binary'leri - Linux binary'leri - ESXi binary'leri - Desteklenen mimariler: ARM, MIPS, PPC ve daha fazlasi Bu coklu mimari yaklasimi, heterojen aglarda genis uyumluluk ve maksimum etki saglamaktadir. Ilk Erisim Vektorleri Is ortaklari yontemlerini uyarlamaktadir ancak iki teknik baskindir: Calinti Kimlik Bilgileri: Kimlik bilgileri genellikle Dark Web pazarlarinda satin alinmakta veya infostealer log'larindan toplanmaktadir. Bu, saldırganlara RDP, VPN veya e-posta sistemlerine dogrudan erisim saglamaktadir. Kimlik Avi Saldirilari: Kimlik avi e-postalari bir diger populer guzergah olmaya devam etmektedir. Kotu Amacli Indirmeler: Bazi durumlarda is ortaklari kotu amacli indirmelere basvurmakta veya ilk erisim brokerlarindan hazir erisim satin almaktadir. MITRE ATT&CK Eslestirmesi Komuta ve Kontrol (TA0011): - T1071 - Application Layer Protocol - T1105 - Ingress Tool Transfer - T1573 - Encrypted Channel Sizdirma (TA0010): - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service Etki (TA0040): - T1486 - Data Encrypted for Impact - T1489 - Service Stop - T1490 - Inhibit System Recovery - T1491 - Defacement - T1657 - Financial Theft Ilk Erisim: - T1078 - Valid Accounts - T1566 - Phishing Yurutme: - T1059 - Command and Scripting Interpreter Savunma Atlatma: - T1562 - Impair Defenses - T1070 - Indicator Removal Sifreleme Teknolojisi Lynx, guclu kriptografik algoritmalar kullanmaktadir: - AES-128: CTR modunda simetrik sifreleme - Curve25519 Donna: Eliptik egri sifreleme - Dosya Uzantisi: .lynx Tum sifrelenen dosyalara .lynx uzantisi eklenmektedir. Kullanilan Arac Seti Ilk Erisim: - Calinti kimlik bilgileri (Dark Web, infostealer log'lari) - Kimlik avi e-postalari - Ilk erisim brokerlari Kalicilik ve Yanal Hareket: - RDP istismari - VPN erisimi - Legitim admin araclari Sizdirma: - C2 kanal uzerinden sizdirma - Web hizmetleri uzerinden sizdirma Etki: - Hizmet durdurma - Sistem kurtarma engelleme - Veri sifreleme Cift Gasp Stratejisi Saldiri Akisi Lynx, standart cift gasp yaklasimini uygulamaktadir: 1. Ag erisimi saglanir 2. Kesfetme ve yanal hareket 3. Hassas veriler belirlenir ve sizdirilir 4. Dosyalar sifrelenir 5. Fidye notu birakılır 6. Odeme yapilmazsa veriler sizinti sitesinde yayinlanir Sizinti Sitesi Lynx'in is ortagi paneli, fidyeler odenmediginde calinti verilerin kamuya acildigi ozel bir sizinti sitesi icermektedir. Bu mekanizma, kurbanlara odeme yapmasi icin ek baski unsuru olusturmaktadir. Sinobi Baglantisi Arastirmalar, Sinobi fidye yaziliminin Lynx ve INC ransomware'in halefi oldugunu gostermektedir. Bu durum, INC ailesinin surekli evrim gecirdigini ve farkli markalar altinda faaliyet gosterdigini kanitlamaktadir. Korunma Stratejileri ve Oneriler Kimlik Yonetimi - Tum hesaplarda MFA zorunlu kilin - Guclu parola politikalari uygulayin - Dark Web izleme ile sizdirilan kimlik bilgilerini tespit edin - Duzenli kimlik bilgisi rotasyonu yapin - Infostealer enfeksiyonlarina karsi koruma saglayin Ag Guvenligi - RDP ve VPN erisimini sinirlandirin - Gereksiz dis baglanti noktalarini kapatin - Ag segmentasyonu uygulayin - Zero trust mimarisi benimseyin Uc Nokta Guvenligi - EDR cozumleri konuslandirin - .lynx dosya uzantisi aktivitesini izleyin - AES-128 ve Curve25519 kullanan supheli surecleri tespit edin - Davranis tabanli analiz yapin E-posta Guvenligi - Gelismis e-posta filtreleme kullanin - Kullanici farkindalik egitimi saglayın - Phishing simulasyonlari yapin - Sandbox analizi uygulayin Veri Koruma - Cevrimdisi ve degistirilemez yedekler olusturun - 3-2-1 yedekleme kuralini uygulayin - Duzenli yedekleme testleri yapin - DLP cozumleri ile veri sizdirmayi onleyin MSP Guvenligi MSP hedeflemesi goz onune alindiginda: - MSP hesaplarinda ekstra MFA katmanlari uygulayin - MSP'lerle iletisimi izleyin - Tedarik zinciri guvenligini guclendiirin - MSP personeli icin guvenlik egitimleri zorunlu kilin Kritik Altyapi Korumasi - Enerji ve kamu hizmeti sektorlerinde ekstra onlemler alin - OT/IT segmentasyonu uygulayin - Kritik sistemleri izole edin Tehdit Istihbarati ve Izleme IoC Izleme - .lynx dosya uzantisi - Bilinen C2 IP adresleri ve alan adlari - Fidye notu dosya adlari - Sifreleme rutini imzalari Proaktif Onlemler - Dark Web forumlarini izleyin - Tehdit istihbarati beslemelerini entegre edin - Duzenli zafiyet taramalari yapin - Penetrasyon testleri gerceklestirin Gelecek Ongoruleri Tehdit Degerlendirmesi Lynx'in yapilandirilmis is ortakligi programi, MSP hedeflemesi ve evrilen arac seti, grubun fidye yazilimi ekosisteminde kalici bir varlik olarak kendini konumlandirdigini gostermektedir. INC ve Sinobi ile baglantili kod temeli, grubun surekli evrim kapasitesini kanitlamaktadir. Beklenen Gelismeler - Platform desteginin genisletilmesi - Daha sofistike sizdirma teknikleri - Is ortagi aginin buyumesi - MSP hedeflemesinin artmasi - Hedef sektor cesitliliginin artmasi Sonuc Lynx fidye yazilimi, INC ransomware'in evrimlestirilmis bir versiyonu olarak 2024-2026 doneminde hizla buyuyen tehditlerden biri haline gelmistir. Yapilandirilmis RaaS platformu, yuzde 80 is ortagi payi ve coklu platform destegi, grubu cezbedici bir is ortakligi firsati haline getirmektedir. Ocak 2026'da Grupo Ruiz ve South West Development Commission gibi uretim ve kamu sektoru kurumlari hedef alinmaya devam etmektedir. ABD'deki 174 kurban ve MSP hedeflemesi, grubun etkisini gostermektedir. Grubun etik hedefleme iddiasına ragmen, kritik altyapi ve kamu sektoru saldirilari bu iddialari curutmektedir. Ozellikle uretim, insaat, enerji ve kamu sektorlerindeki kurumlar, Lynx'in birincil hedefleri arasinda yer almaktadir. Kuruluslar, Lynx ve benzeri tehditlere karsi kimlik yonetimi, ag segmentasyonu, MSP guvenligi ve duzenli yedekleme oncelikli alanlar olarak ele alinmalidir. Dark Web izleme ve tehdit istihbarati entegrasyonu, calinti kimlik bilgilerinin erken tespitinde kritik oneme sahiptir. Proaktif guvenlik durus ve surekli izleme, bu tehditlere karsi en etkili savunma yaklasimini olusturmaktadir....

DragonForce Ransomware Nedir? DragonForce, 2023 yilinda ortaya cikan ve 2025 yilinda kartel modeline gecis yaparak fidye yazilimi ekosisteminin en agresif oyuncularindan biri haline gelen bir siber suc orgutudur. Trend Micro tarafindan Water Tambanakua olarak izlenen grup, ozellikle Ingiltere'deki buyuk perakende zincirlerine yonelik saldirilariyla kuresel dikkat cekmistir. Grubun kokenleri Malezya merkezli DragonForce Malaysia hacktivist grubuna dayandigi iddia edilse de, bu baglanti tartismalidir. Mevcut kanitlar, grubun altyapisinin Rusya ve Bagimsiz Devletler Toplulugu (BDT) ulkeleriyle iliskili oldugunu gostermektedir. Tarihsel Gelisim ve Evrim Sureci 2023: Ortaya Cikis DragonForce fidye yazilimi operasyonlari ilk olarak Agustos 2023'te tespit edildi. Baslangicta kendini Pro-Filistin hacktivist operasyonu olarak konumlandiran grup, zamanla hedeflerini ve yontemlerini genisletti. Ilk donemde siyasi motivasyonlu saldirilar on plandaydi. 2024: RaaS Modeline Gecis Haziran 2024'te DragonForce, resmi is ortakligi programini baslatti. Bu programda is ortaklarina fidyenin yuzde 80'i teklif edilirken, cekirdek ekip yuzde 20 pay aliyordu. 2024 yilinda grup, 93 farkli kurbani kamuya acik olarak listeledi. 2025: Kartel Modeli ve Patlama Mart 2025'te DragonForce, kartel olarak faaliyet gosterecegini duyurdu ve diger gruplari kendilerine katilmaya davet etti. Bu radikal donusum, fidye yazilimi ekosisteminde benzeri gorulmemis bir strateji olarak dikkat cekti. 24 saat icinde kartel duyurusunun ardindan DragonForce, BlackLock ve Mamona RaaS gruplarinin sizinti sitelerini tahrif etti. Nisan 2025'te RansomHub'in altyapisinin cokertilmesinde de DragonForce'un rolu oldugu degerlendirilmektedir. 2025: Scattered Spider Ortakligi DragonForce, Scattered Spider tehdit grubuyla ortaklik kurmustur. Scattered Spider, sosyal muhendislik konusunda uzman bir gruptur ve bu ortaklik DragonForce'un ilk erisim yeteneklerini guclendirebilir. 2026: Devam Eden Tehdit Ocak 2026 itibariyle DragonForce, kuresel olcekte en aktif fidye yazilimi gruplarindan biri olmaya devam etmektedir. United Business Systems 2 Ocak 2026'da saldiriya ugramistir. Grup, kartel modeliyle genislemeye devam etmektedir. 2024-2026 Saldiri Istatistikleri DragonForce, 2024-2026 doneminde onemli bir buyume kaydetti: - Toplam Bilinen Kurban: 341+ - 2024 Kurban Sayisi: 93 - 2025 Iddia Edilen Saldiri Payi: %5 - Ele Gecirilen Kayit: 6,5 milyon+ - 2025 Kuresel Saldiri Artisi: %32 - En Buyuk Veri Sizdirma: Co-op saldirisi (milyonlarca kayit) 2026 Ocak Saldirilari - United Business Systems: 2 Ocak 2026'da hedef alindi - Kartel modeli altinda yeni is ortaklari ekleniyor - Scattered Spider ortakligi aktif Comparitech verilerine gore, 2025 yilinda dunya genelinde 7.419 fidye yazilimi saldirisi gerceklesti. DragonForce, Akira (%16), Qilin (%16), Inc (%6) ve Safepay (%6) ile birlikte LockBit ve RansomHub'in cokusu sonrasinda hizla genisleyen gruplar arasinda yer aldi. 2025 Onemli Saldirilari Ingiltere Perakende Kampanyasi (Nisan-Mayis 2025): DragonForce, yuksek profilli Ingiltere perakendecilerini hedef alan koordineli bir kampanya baslatti. Marks and Spencer, Co-op ve Harrods gibi buyuk zincirler hedef alindi. E-ticaret platformlari, sadakat programlari ve dahili operasyonlar gunlerce kesintiye ugratildi. Orta Dogu Saldirisi (Subat 2025): Resecurity raporuna gore, bir Orta Dogu kurbaninin fidye talebini odememesi uzerine 6 TB'dan fazla veri sizdirildi. Co-operative Group Saldirisi: DragonForce'un en buyuk veri ihlali. 6,5 milyonun uzerinde kayit ele gecirildi. Kartel Modeli ve Is Yapisi Kartel Duyurusu 19 Mart 2025'te DragonForce, DragonForce Ransomware Cartel olarak yeniden markalasmistir. Bu model, LockBit ve diger olgun RaaS gruplarinin basarisini taklit etmeyi amaclamaktadir. Kartel Ozellikler Geleneksel Ransomware-as-a-Service operasyonlarindan farkli olarak, DragonForce is ortaklarinin yari bagimsiz calismarina izin vermektedir: - Gelir Payi: %20 (sektordeki en dusuk oranlardan biri) - Beyaz Etiket Hizmeti: RansomBay markasi altinda - Ozelestirme: Benzersiz fidye yazilimi markalari, ozel binary'ler, fidye notlari ve dosya uzantilari - Altyapi: Muzakere araclari, sifrelenmis depolama, sablon sizinti siteleri - Platform Destegi: Windows, Linux, ESXi ve NAS RansomBay Hizmeti 2025 baslarinda piyasaya surulen RansomBay, is ortaklarinin fidye yazilimini farkli bir marka altinda yeniden markalamasina izin veren beyaz etiket hizmetidir. Is ortaklari fidye hasilatinin yuzde 20'sini oderken geri kalani kendilerine kalmaktadir. Veri Analiz Hizmeti Agustos 2025'te DragonForce, is ortaklarina ve kurbanlara baski yapmak icin tasarlanmis veri analiz hizmeti tanitildi. Bu hizmet, hedef organizasyon ve calinan veriler uzerinde risk denetimi islevi gormektedir: - Gasp arama senaryolari - Yonetime mektup taslaklari - Sozde hukuki analizler - Ucret: Fidye odemelerinin %0 ila %23'u - Hedef: Yillik geliri en az 15 milyon dolar olan organizasyonlar Scattered Spider Ortakligi Ortaklik Detaylari DragonForce, Scattered Spider (UNC3944, Octo Tempest, Star Fraud) tehdit grubuyla ortaklik kurmustur. Scattered Spider, sosyal muhendislik konusunda uzman bir gruptur ve bu ortaklik DragonForce'un ilk erisim yeteneklerini guclendirebilir. Scattered Spider Ozellikleri - Sosyal muhendislik uzmanliği - Yardim masasi sahtekarligi - SIM swap saldirilari - Kimlik avi kampanyalari - Genc hacker toplulugu (yas ortalamasi 16-24) RansomHub ile Catisma RansomHub'in Cokusu RansomHub'in cevrimici altyapisi 1 Nisan 2025 itibariyla aciklanamaz sekilde cevrimdisi oldu. DragonForce, RansomHub'in altyapi kesintisinden sorumlu gorunmektedir. Bu durum, Nisan ayinda fidye yazilimi saldirilarinin onemli olcude dusmesine neden olmustur. RansomHub sizinti sitesinde DragonForce kartelini tanitim yapan yazilar gorunmesinin ardindan site cevrimdisi oldu ve RansomHub R.I.P 03/03/2025 mesaji goruntulendi. Dusmanlik ve Suclamalar RansomHub'in onde gelen uyesi koley, RAMP forumunda DragonForce ana sayfasinin tahrifatini paylasti ve DragonForce'u kolluk kuvvetleriyle calisma, rakiplere saldirma ve yalan soyleme ile sucladi. The Register'a gore, rakip RansomHub grubu DragonForce'u Rusya Federal Guvenlik Servisi (FSB) ajani olarak calistigini iddia etmistir. Is Ortagi Gocü RansomHub'in Nisan 2025'te ortadan kaybolmasinin ardindan DragonForce, is ortaklarini hizla bunyesine katmak icin harekete gecti. Kendini coken eski operatorlere cevik bir alternatif olarak konumlandirmistir. Bazi tehdit aktorleri zaten baska gruplara katilmistir. Ornegin VanHelsing fidye yazilimi grubu eski RansomHub is ortaklari tarafindan olusturulmustur. RansomBay artik DragonForce sistemlerinde calismaktadir. Teknik Altyapi ve Saldiri Metodolojisi Fidye Yazilimi Altyapisi Arastirmacilar, DragonForce'un zararli yaziliminin LockBit 3.0 ve Conti gibi unlu fidye yazilimlarinin sizdirilan kaynak kodundan insa edildigini raporlamaktadir. Bu durum, gruba saglam ve test edilmis bir temel saglamaktadir. Ilk Erisim Vektorleri DragonForce is ortaklari cesitli giris yontemleri kullanmaktadir: Gecerli Hesaplar (T1078): Ele gecirilmis kimlik bilgileriyle erisim Dis Uzaktan Erisim Servisleri (T1133): VPN ve RDP istismari Kamuya Acik Uygulama Istismari (T1190): Bilinen zafiyetlerin kullanimi Sosyal Muhendislik (T1566): Kimlik avi kampanyalari Scattered Spider Ortakligi: Yardim masasi sahtekarligi ve SIM swap MITRE ATT&CK Eslestirmesi Ilk Erisim: - T1078 - Valid Accounts - T1133 - External Remote Services - T1190 - Exploit Public-Facing Application - T1566 - Phishing Kalicilik (TA0003): - T1078 - Valid Accounts - T1543 - Create or Modify System Process - T1547 - Boot or Logon Autostart Execution - T1053 - Scheduled Task/Job Savunma Atlatma (TA0005): - T1070 - Indicator Removal - T1089 - Disabling Security Tools - T1562 - Impair Defenses - T1027 - Obfuscated Files or Information Yanal Hareket (TA0008): - T1021 - Remote Services (RDP, SMB) - T1021.001 - Remote Desktop Protocol - SimpleHelp uzaktan yonetim platformu istismari Yurutme: - T1105 - Ingress Tool Transfer (kendini kopyalama) Etki (TA0040): - T1486 - Data Encrypted for Impact (AES-256) - T1490 - Inhibit System Recovery BYOVD Teknigi DragonForce, Conti varyantinda bulunan Bring Your Own Vulnerable Driver (BYOVD) teknikini kullanmaktadir. Bu teknikle guvenlik sureclerini devre disi birakarak tespiti atlatmaktadir. Sifreleme Teknolojisi DragonForce, dosyalari kilitlemek icin AES-256 sifreleme algoritmasi kullanmaktadir. Sifreleme sonrasinda fidye karsiligi cozum anahtari talep edilmektedir. Kullanilan Arac Seti Arka Kapi ve Kalicilik: - SystemBC: Kalicilik icin arka kapi Kimlik Bilgisi Toplama: - Mimikatz: Kimlik bilgisi hasat etme - Cobalt Strike: Kimlik bilgisi toplama ve yanal hareket Kesif ve Tarama: - SoftPerfect Network Scanner: Ag haritalama - Cobalt Strike: Ag kesfetme Yanal Hareket: - RDP: Interaktif oturumlar - SMB: Paylasimlar uzerinden yayilma - SimpleHelp: Uzaktan yonetim platformu istismari - Cobalt Strike: Yanal hareket Hedef Sektorler ve Cografi Dagilim Oncelikli Hedef Sektorler DragonForce genis bir sektor yelpazesini hedef almaktadir: - Perakende: Buyuk zincirler ve e-ticaret - Uretim: Fabrikalar ve tedarik zincirleri - Hukuk: Hukuk firmalari - Saglik: Hastaneler ve saglik kuruluslari - Egitim: Okullar ve universiteler - Kamu Kurumlari: Hukumet birimleri - Finans: Finansal hizmetler Cografi Hedefleme 2025-2026 yillarinda en cok hedef alinan bolgeler: - Ingiltere: Perakende kampanyasi - ABD: Cesitli sektorler - Avrupa: Almanya, Fransa, Italya - Orta Dogu: Buyuk veri sizdirma olaylari - Asya-Pasifik: Avustralya, Japonya Korunma Stratejileri ve Oneriler Ag Guvenligi - RDP ve VPN erisimini sinirlandirin ve MFA zorunlu kilin - SimpleHelp ve diger RMM araclarini izleyin - Ag segmentasyonu uygulayin - Gereksiz dis baglanti noktalarini kapatin Sosyal Muhendislik Savunmasi Scattered Spider ortakligi goz onune alindiginda: - Yardim masasi personelini sosyal muhendislik konusunda egitim - Kimlik dogrulama protokollerini sertlestirin - SIM swap saldirilarına karsi onlemler alin - Telefon tabanli kimlik dogrulama prosedurlerini gozden gecirin Uc Nokta Guvenligi - EDR cozumleri konuslandirin - BYOVD saldirilarına karsi surucu imza dogrulamasi yapin - SystemBC ve Cobalt Strike tespiti icin davranis analizi yapin - Mimikatz ve benzeri araclari engelleyin Kimlik Yonetimi - Tum hesaplarda MFA zorunlu kilin - Guclu parola politikalari uygulayin - Ayricalikli hesaplari sinirlandirin - Duzenli kimlik bilgisi rotasyonu yapin Veri Koruma - Cevrimdisi ve degistirilemez yedekler olusturun - 3-2-1 yedekleme kuralini uygulayin - Duzenli yedekleme testleri yapin - Veri sizdirmayi onlemek icin DLP cozumleri kullanin Gelecek Ongoruleri Kartel Modelinin Etkileri DragonForce'un kartel modeli, fidye yazilimi ekosisteminde yeni bir paradigma olusturabilir. Is ortaklarinin bagimsizligi ve beyaz etiket hizmeti, daha kucuk gruplarin daha buyuk operasyonlara katilmasini kolaylastirmaktadir. Tehdit Degerlendirmesi RansomHub'in cokertilmesi, is ortaklarinin absorbe edilmesi ve Scattered Spider ortakligi, DragonForce'un 2026 ve sonrasinda buyumesini surecerecegini gostermektedir. Veri analiz hizmeti gibi yenilikler, grubun gasp taktiklerini daha da sofistike hale getirmektedir. Sonuc DragonForce, 2024-2026 doneminde fidye yazilimi ekosisteminin en agresif ve yenilikci oyuncularindan biri olarak one cikmistir. Kartel modeline gecisi, RansomHub'i cokertmesi, Scattered Spider ile ortakligi ve buyuk Ingiltere perakendecilerine yonelik kampanyasi, grubun stratejik yeteneklerini ortaya koymaktadir. Ocak 2026'da United Business Systems gibi sirketler hedef alinmaya devam etmektedir. Kuruluslar, DragonForce ve benzeri tehditlere karsi cok katmanli bir guvenlik stratejisi benimsemelidir. Ozellikle RDP ve VPN guvenligi, MFA uygulamasi, ag segmentasyonu, sosyal muhendislik savunmasi ve duzenli yedekleme kritik oneme sahiptir. DragonForce'un kartel modeli, Scattered Spider ortakligi ve veri analiz hizmeti gibi yenilikleri, fidye yazilimi tehditlerinin surekli evrim gecirdigini gostermektedir. Proaktif guvenlik durus ve surekli tehdit istihbarati izleme, bu tehditlere karsi en etkili savunma yaklasimini olusturmaktadir....

Everest Ransomware Nedir? Everest, Aralik 2020'den bu yana aktif olan ve cift gasp taktikleriyle bilinen bir fidye yazilimi grubudur. Rusca konusan ve finansal motivasyonlu olan grup, veri hirsizligi, gasp ve ilk erisim brokerliginde uzmanlasmistir. 2025-2026 yillarinda kritik altyapiyi hedef alan yuksek profilli saldirilariyla kuresel dikkat cekmistir. Grup adini, dunyanin en yuksek dagi olan Everest'ten almaktadir. Bu isim, grubun buyuk olcekli ve iddiali hedeflerini sembolize etmektedir. Tarihsel Gelisim ve Evrim Sureci 2020: Ortaya Cikis Everest fidye yazilimi grubu ilk olarak Aralik 2020'de tespit edildi. Baslangicta standart fidye yazilimi operasyonlariyla faaliyete baslayan grup, zamanla taktiklerini cesitlendirdi. 2021: Saglik Sektoru ve IAB Genislemesi Kasim 2021'de grubun Ilk Erisim Brokerligii (IAB) faaliyetleri ortaya cikti. Ele gecirilmis kimlik bilgilerini diger tehdit aktorlerine satmaya basladilar. 2021'den itibaren saglik sektorunu artan sekilde hedef aldilar. 2023: Iceriden Ise Alim Programi Ekim 2023'te karanlik web forumlarinda iceriden ise alim programi baslatildi. ABD, Kanada ve Avrupa'daki organizasyonlara erisim saglayan calisanlara nakit veya kar paylasimi teklif edildi. 2024: Salt Veri Gaspina Gecis 2024'ten itibaren operasyonlar sifreleme olmadan salt veri gaspina dogru kaymistir. Bu degisim, grubun veri sizdirma ve tehdit mekanizmasina odaklandigini gostermektedir. 2025: Kritik Altyapi Kampanyalari Temmuz-Ekim 2025 donemi, grubun 2020'deki kurulusundan bu yana en aktif aylari oldu. Kritik altyapi saldirilari dramatik sekilde artti. Nisan 2025'te grubun karanlik web sizinti sitesi, Prag'dan xoxo imzasiyla SuC Isleme, Suc Kotudur mesajiyla tahrif edildi. Muhtemelen rakip DragonForce grubu tarafindan yapilmis olabilir, ancak atif spekulatif kalmaktadir. Operasyonlar 2025 ortasina kadar toparlanmistir. 2026: Devam Eden Tehdit Ocak 2026 itibariyle Everest, kuresel olcekte en aktif fidye yazilimi gruplarindan biri olmaya devam etmektedir. Nissan 10 Ocak 2026'da 900 GB veri ile, McDonald's India 20 Ocak 2026'da ve Under Armour 72,7 milyon hesap verisiyle saldiriya ugramistir. Grup, otomotiv, yiyecek-icecek ve perakende sektorlerini hedef almaya devam etmektedir. 2024-2026 Saldiri Istatistikleri Everest, 2024-2026 doneminde onemli bir aktivite sergiled: - Toplam Kurban (2023'ten bu yana): 250+ - Son 12 Aylik Kurban: 100+ - ABD Saglik Sektoru Payi: %25+ - ABD Genel Kurban Orani: %33+ - En Aktif Donem: Temmuz-Ekim 2025 2026 Ocak Saldirilari - Nissan: 10 Ocak 2026'da 900 GB veri sizdirildigi iddia edildi - McDonald's India: 20 Ocak 2026'da hedef alindi - Under Armour: 72,7 milyon hesap verisi ele gecirildi - Otomotiv, yiyecek-icecek ve perakende sektorleri agir sekilde hedefleniyor 2025 Onemli Saldirilari Havacilik Sektoru (Eylul 2025): Everest, Heathrow, Bruksel ve Berlin havalimanlarindaki havacilik sistemlerini ihlal ettigini iddia etti. 576.000 AT&T basvuru sahibi kaydi, 1,5 milyon Dublin Havalimani yolcu dosyasi ve 18.000 Air Arabia calisan kaydi sizdirildi. Collins Aerospace (Ekim 2025): Buyuk Avrupa havalimanlarinda kullanilan MUSE check-in yazilimini etkileyen saldiri, yaygin seyahat gecikmelerine neden oldu. Isvec Enerji Operatoru Svenska Kraftnat (Ekim 2025): 280 GB dahili verinin calindigini iddia edildi. Chrysler (Aralik 2025): Noel gunu yayinlanan gonderide 1088 GB (1 TB'dan fazla) veri sizdirildigi iddia edildi. Calinan veriler 2021-2025 yillarini kapsiyor ve 105 GB'dan fazla Salesforce iliskili bilgi icermektedir. Hedef Sektorler ve Cografi Dagilim Saglik Sektoru Hedeflemesi Saglik sektoru, ABD kurbanlarinin dortte birinden fazlasini olusturmaktadir. Grup ozellikle tibbi goruntuleme saglayicilarini 24 saatlik son tarihlerle hedeflemekte, hasta bakimi aciliyeti ve HIPAA baskilarindan yararlanmaktadir. Nisan 2021 ile Temmuz 2024 arasinda Everest en az 20 saglik sektoru varligina saldirmistir. HHS (ABD Saglik ve Insan Hizmetleri Bakanligi), saglik sektoru hakkinda Everest uyarisi yayinlamistir. Diger Hedef Sektorler Everest genis bir sektor yelpazesini hedeflemektedir: - Finansal Hizmetler: Bankalar, sigorta sirketleri - Hukuk ve Profesyonel Hizmetler: Hukuk firmalari, danismanlik - Insaat: Insaat sirketleri - Kamu ve Devlet Sektoru: Hukumet birimleri - Uretim: Fabrikalar - Teknoloji: IT firmalari - Perakende: Magazalar, e-ticaret - Havacilik ve Havaacilik: Havalimanilari, havacilik sirketleri - Enerji ve Kamu Hizmetleri: Guc operatorleri - Otomotiv: Araba ureticileri - Yiyecek-Icecek: Restoran zincirleri Cografi Hedefleme ABD, tum kurbanlarin ucte birinden fazlasini temsil etmektedir. Avrupa ve yukselen Orta Dogu (BAE, Suudi Arabistan, Korfez devletleri) ek sicak noktalar olarak one cikmaktadir. Hibrit Operasyon Modeli Ransomware-as-a-Service (RaaS) Everest, Ransomware-as-a-Service modeli kullanmaktadir. Bu yapi, is ortaklarinin Everest'in zararli yazilim arac setini kullanarak saldirilar gerceklestirmesine ve karlari gelistiricilerle paylasmalarına olanak tanımaktadir. Ilk Erisim Brokerligi (IAB) Kasim 2021'den bu yana Everest, ele gecirilmis kimlik bilgilerini diger tehdit aktorlerine satarak IAB faaliyetleri yurutmektedir. Bu hibrit model, grubun birden fazla gelir akisi olusturmasini saglamaktadir. Iceriden Ise Alim Programi Ekim 2023'te baslatilan bu program, organizasyonlara erisim saglayan calisanlara nakit veya kar paylasimi teklif etmektedir. Bu yenilikci yaklasim, geleneksel teknik saldiri vektorlerinin otesine gecmektedir. Cift Gasp Stratejisi Veri Odakli Yaklasim Everest'i diger gruplardan ayiran, sifreleme oncesinde veri sizdirmasina verdigi onemdir. Grup, dosyalari sifrelemeden once dahili sirket verileri dahil hassas bilgileri caldigi bilinmektedir. Cogu durumda, fidye talepleri karsilanmazsa calinan dosyalari karanlik web sitesinde yaymakla tehdit etmektedir. 2024 Donusumu 2024'ten itibaren operasyonlar sifreleme olmadan salt veri gaspina dogru kaymistir. Bu degisim, veri hirsizligi ve tehdidin sifreleme mekanizmasindan daha etkili oldugunu gostermektedir. BlackByte Baglantisi Binary analizi, BlackByte fidye yazilimi ailesinin C varyantiyla kod baglantilari ortaya koymaktadir. BlackByte kod baglantisi, sunucu tabanli dagitim yerine yerel sifreleme anahtari uretiminde kendini gostermektedir. Rusya baglantili grup, BlackByte fidye yazilimi ailesiyle iliskilendirilmis ve cift gasp taktikleri kullanmaktadir: once veri calip, fidye talepleri karsilanmazsa sizdirilmekle tehdit etmektedir. Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri Saldiri zincirleri uc temel ilk erisim yontemiyle baslamaktadir: - Acik RDP servislerinin istismari - Diger Ilk Erisim Brokerlarindan kimlik bilgisi satın alma - Ekim 2023'ten bu yana aktif kurumsal iceriden ise alim programindan yararlanma Ek ilk erisim vektorleri arasında savunmasiz kamuya acik uygulamalarin istismari, kimlik avi kampanyalari ve uzaktan erisim hizmetleri icin kimlik bilgisi hirsizligi yer almaktadir. MITRE ATT&CK Eslestirmesi Ilk Erisim (TA0001): - T1566 - Phishing - T1078 - Valid Accounts - T1133 - External Remote Services (RDP) - T1190 - Exploit Public-Facing Application Yurutme: - T1059 - Command and Scripting Interpreter Kimlik Bilgisi Erisimi: - T1003 - OS Credential Dumping (ProcDump ile LSASS) Kesif: - T1018 - Remote System Discovery - T1082 - System Information Discovery - T1135 - Network Share Discovery Yanal Hareket: - T1021 - Remote Services - T1078 - Valid Accounts Toplama: - T1560 - Archive Collected Data (WinRAR) Sizdirma: - T1567 - Exfiltration Over Web Service Etki: - T1486 - Data Encrypted for Impact - T1657 - Financial Theft Kullanilan Arac Seti Everest, belirli legitim araclari silah olarak kullanmaktadir: Komuta ve Kontrol: - Cobalt Strike: C2 ve yanal hareket Kimlik Bilgisi Toplama: - ProcDump: LSASS bellek okuma Kesif: - SoftPerfect Network Scanner: Ag haritalama Sizdirma ve Arsivleme: - WinRAR: Veri sizdirma icin arsivleme Uzaktan Erisim: - AnyDesk: Uzaktan masaustu - Splashtop: Uzaktan erisim - Atera: RMM platformu Tanimlayici Ozellik: Her yurutme asamasindan sonra tum araclarin sistematik olarak silinmesi. Korunma Stratejileri ve Oneriler RDP Guvenligi - RDP servislerini internete dogrudan acmayin - Tum uzaktan erisimde MFA zorunlu kilin - VPN uzerinden RDP erisimini sinirlandirin - RDP portunu degistirmeyi dusunun Kimlik Yonetimi - Guclu parola politikalari uygulayin - Dark Web izleme ile sizdirilan kimlik bilgilerini tespit edin - Duzenli kimlik bilgisi rotasyonu yapin - Ayricalikli hesaplari sinirlandirin Ic Tehdit Koruması Everest'in iceriden ise alim programi goz onune alindiginda: - Calisan davranis analizini uygulayin - Olagandisi veri erisim kaliplarini izleyin - Ayricalikli erisimi siki bir sekilde kontrol edin - Ic tehdit farkindaligi egitimi saglayın Saglik Sektoru Ozel Onlemleri Saglik kuruluslari icin ek onlemler: - HIPAA uyumlulugunu surdururn - Hasta verilerini ozellikle koruyun - 24 saatlik son tarihlere hazirlikli olun - Olay mudahale planlarini hasta bakimi surekliligi icin optimize edin Uc Nokta Guvenligi - EDR cozumleri konuslandirin - ProcDump ve diger LOLBin kullanimini izleyin - Cobalt Strike imzalarini tespit edin - Arac silme kaliplarini arastirin Veri Koruma - Cevrimdisi ve degistirilemez yedekler olusturun - 3-2-1 yedekleme kuralini uygulayin - DLP cozumleri ile veri sizdirmayi onleyin - WinRAR ve arsivleme aktivitelerini izleyin Tehdit Istihbarati ve Izleme IoC Izleme - Cobalt Strike beacon'lari - ProcDump kullanimi - Anormal WinRAR aktivitesi - AnyDesk, Splashtop, Atera yetkisiz kurulumu - BlackByte kod imzalari Proaktif Onlemler - Karanlik web forumlarini ise alim duyurulari icin izleyin - Calisan kimlik bilgilerinin satisa cikarilip cikarilmadigini kontrol edin - Tehdit istihbarati beslemelerini entegre edin - Kritik altyapi sektorleri icin sektore ozel uyarilari takip edin Kritik Altyapi Riskleri 2025-2026 Kampanyalari Everest'in 2025-2026'daki kritik altyapi kampanyalari endise verici bir egilimi gostermektedir: - Havacilik sistemleri (Heathrow, Bruksel, Berlin, Dublin, Collins Aerospace) - Ulusal guc sebekeleri (Svenska Kraftnat) - Telekomnikasyon aglari - Otomotiv sektoru (Chrysler, Nissan) - Yiyecek-icecek zincirleri (McDonald's India) - Perakende (Under Armour) Ulusal Guvenlik Etkileri Kritik altyapiyi hedefleme, ulusal guvenlik boyutunu on plana cikarmaktadir. HHS ve diger kurumlarin uyarilari, Everest'in artan tehdit seviyesini vurgulamaktadir. Gelecek Ongoruleri Tehdit Degerlendirmesi Everest'in hibrit modeli (RaaS + IAB + iceriden ise alim), grubu benzersiz ve cok yonlu bir tehdit haline getirmektedir. 2025-2026'daki kritik altyapi kampanyalari, grubun stratejik hedeflerinin genisligini gostermektedir. Beklenen Gelismeler - Salt veri gaspinin sifreleme yerine tercih edilmesi - Iceriden ise alim programinin genislemesi - Kritik altyapi hedeflemesinin devami - Saglik sektoru odaginin surdurulusmesi - Otomotiv ve perakende sektorlerinde artis Sonuc Everest, 2024-2026 doneminde fidye yazilimi ekosisteminin en cok yonlu ve tehlikeli oyuncularindan biri olarak one cikmistir. Hibrit operasyon modeli, IAB faaliyetleri ve iceriden ise alim programi, grubu geleneksel fidye yazilimi gruplarından farklilistirmaktadir. Ocak 2026'da Nissan (900 GB), McDonald's India ve Under Armour (72,7 milyon hesap) gibi buyuk markalar hedef alinmaya devam etmektedir. Grubun kritik altyapiyi hedeflemesi, ozellikle havacilik, enerji, otomotiv, saglik ve perakende sektorlerinde ciddi endise yaratmaktadir. 2024'ten itibaren salt veri gaspina gecis, sifrelemenin bile gereksiz oldugunu gostermektedir; veri tehdidi tek basina yeterli baski unsuru olusturmaktadir. Kuruluslar, Everest ve benzeri tehditlere karsi RDP guvenligine, ic tehdit korumasi ve veri sizdirma onlemeye oncelik vermelidir. Ozellikle saglik ve kritik altyapi sektorlerindeki kurumlar, HHS ve diger kurumsal uyarilari yakindan takip etmelidir. Proaktif guvenlik durus, calisan farkindalik egitimi ve kapsamli veri koruma stratejileri, bu tehditlere karsi en etkili savunma yaklasimini olusturmaktadir....

Hunters International fidye yazılımı, siber güvenlik dünyasında dikkat çeken ve karmaşık saldırı teknikleriyle öne çıkan bir tehdittir. Bu yazıda, Hunters International fidye yazılımının tarihçesinden kullanılan tekniklere, hedeflerinden toplumsal etkilerine kadar kapsamlı bir analiz sunacağız. Giriş Fidye yazılımları, siber suçluların kurbanlarının verilerini şifreleyerek veya sistemlerine erişimi engelleyerek fidye talep ettiği zararlı yazılımlardır. Hunters International fidye yazılımı, bu tür tehditlerin en yeni örneklerinden biridir ve özellikle büyük ticari kuruluşları hedef almasıyla bilinir. Grubun Tarihçesi ve Kökenleri Hunters International, 2023 yılının üçüncü çeyreğinde ortaya çıkan bir Ransomware-as-a-Service (RaaS) markasıdır. Yapılan analizler, bu fidye yazılımının kaynak kodunun yaklaşık %60'ının Hive fidye yazılımı ile benzerlik gösterdiğini ortaya koymuştur. Bu durum, grubun Hive operasyonunun bir devamı veya onun kaynak kodunu kullanarak yeni bir oluşum olabileceğini düşündürmektedir. Kullanılan Teknikler ve Araçlar Hunters International fidye yazılımı, tespit edilmekten kaçınmak ve başarılı saldırılar gerçekleştirmek için çeşitli teknikler ve araçlar kullanır: - **SharpRhino RAT**: Grup, SharpRhino adını verdikleri yeni bir C ile yazılmış uzaktan erişim truva atı (RAT) kullanmaktadır. Bu araç, kurumsal ağlara sızmak için tasarlanmıştır ve dijital olarak imzalanmış bir yükleyici olarak dağıtılır. Sistemde kalıcılık sağlamak için Windows kayıt defterini değiştirir ve PowerShell komutları çalıştırarak fidye yazılımını dağıtır. - **Yasal Yazılımların Kötüye Kullanımı**: Saldırganlar, meşru Microsoft ikili dosyalarını kötüye kullanarak komuta ve kontrol (C2) iletişimi için özel dizinler oluşturur ve bu sayede tespit edilmekten kaçınırlar. Ayrıca, açık kaynaklı ağ tarama araçlarını taklit eden sahte web siteleri oluşturarak, yüksek yetkili hesapları hedef alırlar. - **Çift Aşamalı Saldırı**: Hunters International, hem verileri şifreleyerek hem de sızdırarak kurbanlarını tehdit eder. Bu çift aşamalı saldırı yöntemi, kurbanların fidye ödeme olasılığını artırmak için kullanılır. Hedefler ve Operasyon Alanı Hunters International, sağlık, otomotiv, üretim, lojistik, finans, eğitim ve gıda sektörleri gibi çeşitli endüstrileri hedef alır. Grubun faaliyetleri, Amerika Birleşik Devletleri, Kanada, Avrupa, Brezilya, Yeni Zelanda ve Japonya gibi birçok ülkeyi kapsamaktadır. Bu geniş hedef yelpazesi, grubun finansal kazanç elde etme amacını yansıtmaktadır. İş Modeli ve Finansal Yapı Hunters International, Ransomware-as-a-Service (RaaS) modeliyle çalışır. Bu modelde, fidye yazılımı geliştiricileri, saldırıları gerçekleştiren bağlı kuruluşlara yazılımı kiralar ve elde edilen fidye gelirinden pay alır. Bu sayede, grup hem teknik uzmanlık sağlar hem de operasyonel riski paylaşır. Kurbanlara Yaklaşım ve İletişim Grup, kurbanlarıyla genellikle fidye notları ve şifrelenmiş dosyalar aracılığıyla iletişim kurar. Fidye notlarında, şifrelenen verilerin geri alınması için belirli bir süre içinde ödeme yapılması gerektiği belirtilir ve ödeme yapılmazsa verilerin kalıcı olarak silineceği veya sızdırılacağı tehdidinde bulunulur. Ayrıca, kurbanların fidye ödemesini teşvik etmek için sızdırılan verileri yayınlayabilecekleri bir veri sızıntı sitesi de kullanırlar. Grubun Teknik Analizi Hunters International fidye yazılımının teknik analizi, karmaşık ve çok aşamalı bir yapıya sahip olduğunu gösterir: - **Kod Benzerliği**: Yapılan analizler, Hunters International fidye yazılımının kod tabanının yaklaşık %60'ının Hive fidye yazılımı ile örtüştüğünü göstermektedir. Bu durum, grubun Hive'ın kaynak kodunu kullanarak kendi fidye yazılımlarını geliştirdiğini düşündürmektedir. - **SharpRhino RAT**: Grup, SharpRhino adını verdikleri yeni bir C ile yazılmış uzaktan erişim truva atı (RAT) kullanmaktadır. Bu araç, kurumsal ağlara sızmak için tasarlanmıştır ve dijital olarak imzalanmış bir yükleyici olarak dağıtılır. Sistemde kalıcılık sağlamak için Windows kayıt defterini değiştirir ve PowerShell komutları çalıştırarak fidye yazılımını dağıtır. - **Yasal Yazılımların Kötüye Kullanımı**: Saldırganlar, meşru Microsoft ikili dosyalarını kötüye kullanarak komuta ve kontrol (C2) iletişimi için özel dizinler oluşturur ve bu sayede tespit edilmekten kaçınırlar. Yasal ve Güvenlik Perspektifi Hunters International gibi fidye yazılımı grupları, ulusal ve uluslararası güvenlik açısından ciddi tehditler oluşturmaktadır. Bu tür gruplar, kritik altyapılara ve büyük ölçekli kuruluşlara yönelik saldırılar düzenleyerek hem ekonomik hem de toplumsal zararlar vermektedir. Yasal merciler, bu tehditlere karşı çeşitli önlemler almakta ve operasyonlar düzenlemektedir. Örneğin, FBI'ın Hive fidye yazılımı grubuna karşı düzenlediği operasyon, bu tür tehditlerin engellenmesinde önemli bir adım olmuştur. Toplumsal ve Ekonomik Etkiler Fidye yazılımı saldırıları, toplum üzerinde doğrudan ve dolaylı birçok etkiye sahiptir: - **Mali Kayıplar**: Kurbanların fidye ödemeleri, doğrudan mali kayıplara yol açar. Ayrıca, saldırı sonrası veri kurtarma çalışmaları ve operasyonel duraklamalar da ek maliyetler yaratır. - **İtibar Kaybı**: Fidye yazılımı saldırısına uğrayan kuruluşlar, müşteri güvenini kaybedebilir ve bu da uzun vadede itibar kaybına yol açabilir. - **Operasyonel Aksaklıklar**: Saldırı sonrası, kuruluşların operasyonları durabilir veya kesintiye uğrayabilir, bu da iş sürekliliğini tehlikeye atar. Grubun Medya ve Toplumdaki Yansıması Hunters International, özellikle büyük şirketlere yönelik saldırılarıyla medyada geniş yer bulmuştur. Örneğin, Industrial and Commercial Bank of China'nın Londra şubesine yapılan saldırı, basında geniş yankı uyandırmıştır. Bu tür haberler, fidye yazılımlarının ciddiyetini ve yaygınlığını toplumun gündemine taşımaktadır. Gelecek Öngörüleri Fidye yazılımları, siber suçlular için kârlı bir yöntem olmaya devam ettikçe, bu tür saldırıların gelecekte de artarak süreceği öngörülmektedir. Saldırganlar, yeni teknikler ve araçlar geliştirerek güvenlik önlemlerini aşmaya çalışacaklardır. Bu nedenle, kuruluşların siber güvenlik stratejilerini sürekli olarak güncellemeleri ve fidye yazılımlarına karşı proaktif önlemler almaları kritik öneme sahiptir. Sonuç Hunters International fidye yazılımı, siber güvenlik dünyasında önemli bir tehdit olarak karşımıza çıkmaktadır. Kullanılan sofistike teknikler, hedef alınan büyük kuruluşlar ve yaratılan ekonomik ile toplumsal etkiler, bu tür tehditlere karşı daha güçlü ve koordineli bir mücadele gerekliliğini ortaya koymaktadır. Kurumlar ve bireyler, siber güvenlik farkındalıklarını artırmalı, gerekli önlemleri almalı ve olası saldırılara karşı hazırlıklı olmalıdır....

KillSec Ransomware Nedir? KillSec, Ekim 2023'te ortaya cikan ve hacktivizmden fidye yazilimi operasyonlarina donusen benzersiz bir siber suc grubudur. Ransomware-as-a-Service (RaaS) modeli ile calisan grup, ozellikle saglik sektörune yonelik agresif saldirilariyla dikkat cekmektedir. Grup, hacktivizm geçmisine ragmen finansal motivasyonlu fidye yazilimi operasyonlarina yonelmistir. DDoS saldirilari, sosyal muhendislik ve bilgi calmadan fidye yazilimina kadar genis bir siber saldiri yelpazesi sunmaktadir. Tarihsel Gelisim Ekim 2023: Ortaya Cikis KillSec'in ilk Telegram mesaji Ekim 2023'te ortaya cikti. Grubun faaliyetleri de bu tarihte baslamis gorunmektedir. Resecurity CEO'su Gene Yoo'ya gore, KillSec hacktivist bir topluluktan donusen bir siber suc grubudur. Bu takma adla bilinen cesitli gruplar ve bagimsiz aktorler bulunmakta olup, DDoS firsatci tahriflerden fidye yazilimina kadar farkli zararli faaliyetler yurutmektedir. 2024: RaaS Genislemesi KillSec grubu, 2024'te yeni gelenler arasinda en dikkat cekici surprizlerden biri olarak ortaya cikti ve 130'dan fazla organizasyonu hedef aldi. RaaS platformu gelismis ozelliklerle genisledi. Eylul 2025: Saglik Sektoru Patlamasi 2025, KillSec'in saglik sektorune karsi operasyonlarinin onemli olcude yogunlastigini gosterdi. Eylul 2025 basinda, ABD ve Latin Amerika'daki saglik kurumlarına yonelik rekor kiricisayida hack yayinladi. Onceki faaliyetlerine kiyasla yogunluk ve etkilenen kurban sayisi acisindan benzersizdi. 2026: Devam Eden Tehdit Ocak 2026 itibariyle grup 258 bilinen kurbanla aktif olarak faaliyetlerine devam etmektedir. 2025-2026 Saldiri Istatistikleri KillSec, ortaya cikisindan bu yana etkileyici rakamlar kaydetti: - Toplam Kurban (Son 6 Ay): 56 - Toplam Bilinen Kurban: 258 - 2024 Hedeflenen Organizasyon: 130+ - RaaS Giris Ucreti: 250 dolar - RaaS Komisyon Orani: %12 Hedef Sektorler KillSec belirli sektorlere yogunlasmaktadir: - Saglik: 36 kurban (%14,9 - en fazla hedeflenen) - Teknoloji: 35 kurban (%13,6) - Is Hizmetleri: 29 kurban (%11,6) - Finans: 16 kurban - Uretim: 12 kurban Saglik sektoru odagi kritik oneme sahiptir. KillSec operasyonlarinin yaklasik %20'si kamu guvenligi acisindanonemli rol oynayan saglik sektorunu hedeflemektedir. Cografi Dagilim KillSec'in hedefledigi ulkeler: - ABD: 78 kurban (birincil hedef) - Hindistan: 48 kurban - Ingiltere: 10 kurban - Brezilya: 8 kurban - Belcika: 8 kurban - Peru: Saglik sektoru - Kolombiya: Saglik kurumlari RaaS Operasyon Modeli Dusuk Bariyerli Giris KillSec'in is modeli, RaaS programi icin 250 dolar giris ucreti belirlemistir. Toplanan fidye uzerinden %12 komisyon alinmaktadir. Bu oran, bircok RaaS rakibinden dusuk olup yeni is ortaklarini cekmek icin rekabet avantaji olarak tasarlanmis olabilir. Platform Ozellikleri Platform, is ortaklarina cesitli yetenekler sunmaktadir: - Gercek zamanli istatistikler - Sohbet fonksiyonu - Derleme araci - Kampanyalarin kolayca ozellestirmesi - Derin teknik uzmanlik gerektirmeyen dagitim Ek Hizmetler KillSec, ek fonksiyonlarin gelistirildigini duyurmustur: - DDoS Saldiri Araci: Dagitik hizmet reddi saldirilari - Telefon Arama Fonksiyonu: Sosyal muhendislik veya kurban tacizi - Gelismis Stealer: Hassas bilgi cikarma Caliskilik Paradoksu Grubun kritik sektorlere yogunlasmasi, KillSec is ortagi programinin resmi kurallariyla buyuk bir celiski ortaya koymaktadir. Program acikca ortaklarin kritik altyapiyi hedef almasini yasaklamaktadir. Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri KillSec, cesitli ilk erisim yontemleri kullanmaktadir: - Phishing kampanyalari - Sosyal muhendislik - DDoS saldirilari ile dikkat dagitma - Tedarik zinciri saldirilari - Acik hizmetlerin istismari MITRE ATT&CK Eslestirmesi Ilk Erisim (TA0001): - T1566 - Phishing - T1190 - Exploit Public-Facing Application - T1199 - Trusted Relationship (tedarik zinciri) Yurutme (TA0002): - T1059 - Command and Scripting Interpreter Kalicilik (TA0003): - Ozel stealer implantlari Sizdirma (TA0010): - T1567 - Exfiltration Over Web Service - Buyuk olcekli veri sizdirma Etki (TA0040): - T1486 - Data Encrypted for Impact - T1498 - Network Denial of Service (DDoS) - T1657 - Financial Theft Kullanilan Arac Seti - Ozel Stealer: Hassas bilgi cikarma - DDoS Araci: Dagitik hizmet reddi - Telefon Fonksiyonu: Sosyal muhendislik - RaaS Platformu: Fidye yazilimi dagitimi 2025 Saglik Sektoru Kampanyasi MedicSolution Saldirisi (Eylul 2025) 8 Eylul 2025'te MedicSolution'a yapilan saldiri, grubun tedarik zinciri saldirilarina yonelik taktik kaymasini gostermektedir: - Hedef: Brezilya saglik yazilim saglayicisi - Calinan Veri: 34 GB+ - Dosya Sayisi: 94.818 - Icerkenler: Laboratuvar sonuclari, rontgenler, anonimlestirilmemis hasta goruntuleri, resite ait kayitlar Doctocliq Saldirisi (Agustos 2025) MedicSolution saldirisından bir ay once, tehdit aktorleri Peru'daki Doctocliq saglik yazilim platformundan veri sizdirdi. Platform 20'den fazla ulkede 2.500+ kullaniciya hizmet vermektedir. ABD ve Latin Amerika Kampanyasi Grup sadece Brezilya'yi degil, ABD, Peru ve Kolombiya'daki saglik kurumlarindan da veri caldigi iddia etmektedir. Cift Gasp Stratejisi Saldiri Akisi KillSec, cift gasp yaklasimini uygulamaktadir: 1. Phishing veya sosyal muhendislik ile ilk erisim 2. Stealer ile hassas bilgi toplama 3. Tedarik zinciri uzerinden yanal genisleme 4. Buyuk olcekli veri sizdirma 5. Dosyalarin sifrelenmesi 6. Fidye talebi 7. Odeme yapilmazsa veri sizdirma tehdidi 8. Opsiyonel telefon tacizi DDoS Entegrasyonu KillSec, DDoS saldirilarini fidye kampanyalariyla birlestirerek kurbanlara ek baski uygulamaktadir. Korunma Stratejileri ve Oneriler Saglik Sektoru Ozel Onlemleri KillSec'in saglik odagi goz onune alindiginda: - HIPAA uyumlulugunu surdururn - Hasta verilerini ozellikle koruyun - Saglik yazilim saglayicilarini degerlendirin - Tedarik zinciri guvenlik denetimleri yapin Tedarik Zinciri Guvenligi - Ucuncu taraf yazilim saglayicilarini degerlendirin - Tedarik zinciri erisimlerini sinirlandirin - Yazilim guncelleme sureclerini izleyin - Vendor risk degerlendirmesi yapin Phishing ve Sosyal Muhendislik Koruması - Calisan farkindalik egitimi saglayın - Phishing simulasyonlari yapin - E-posta filtreleme uygulayin - Telefon tacizi proseduleri olusturun DDoS Koruması - DDoS azaltma hizmetleri kullanin - Ag altyapisini guclendirinDDoS saldiri izleme uygulayin Veri Koruma - Hasta verilerini sifreleyin - Erisim kontrollerini sikılastırın - Veri sizdirma izleme yapin - Cevrimdisi yedekler olusturun Tehdit Istihbarati ve Izleme IoC Izleme - KillSec Telegram kanali aktivitesi - Bilinen C2 altyapisi - Stealer imzalari - DDoS saldiri kaliplari Proaktif Onlemler - Telegram ve yeralti forumlarini izleyin - Tehdit istihbarati beslemelerini entegre edin - Saglik sektoru tehdit raporlarini takip edin - Tedarik zinciri izleme yapin Gelecek Ongoruleri Tehdit Degerlendirmesi KillSec'in hacktivizmden RaaS'a donusumu ve saglik sektoru odagi, grubun 2026'da da onemli bir tehdit olmaya devam edecegini gostermektedir. Dusuk giris ucretleri ve dusuk komisyon orani, is ortagi aginin buyumesini tesvik etmektedir. Beklenen Gelismeler - Saglik sektoru hedeflemesinin devami - Tedarik zinciri saldirilarinin artmasi - DDoS entegrasyonunun genislemesi - Sosyal muhendislik taktiklerinin gelistirilmesi - Yeni is ortaklarinin katilimi Sonuc KillSec, hacktivizmden fidye yazilimi operasyonlarina donusen ve 2025-2026 doneminde saglik sektorune yonelik agresif saldirilarla dikkat ceken bir tehdit aktorudur. 258 kurban ve %20 saglik sektoru odagiyla kritik altyapi icin ciddi risk olusturmaktadir. Grubun RaaS platformu, dusuk 250 dolar giris ucreti ve %12 komisyon oraniyla yeni is ortaklarini cekmektedir. DDoS, stealer ve telefon tacizi gibi ek hizmetler, kurbanlara yonelik baski mekanizmalarini cesitlendirmektedir. Kuruluslar, KillSec ve benzeri tehditlere karsi saglik sektoru korumasi, tedarik zinciri guvenligi ve phishing farkindaligina oncelik vermelidir. HIPAA uyumlulugu, hasta veri korumasi ve vendor risk degerlendirmesi kritik oneme sahiptir. Proaktif guvenlik durus, surekli izleme ve kapsamli veri koruma stratejileri, bu tehditlere karsi en etkili savunma yaklasimini olusturmaktadir....

Rhysida Ransomware Nedir? Rhysida, Mayis 2023'te ortaya cikan ve kisa surede dunyanin en tehlikeli fidye yazilimi gruplarindan biri haline gelen bir siber suc orgutudur. Ransomware-as-a-Service (RaaS) modeliyle calisan grup, ozellikle saglik, egitim ve kamu sektorlerini hedef alarak ciddi zararlar vermektedir. Grup adini, cogunlukla toprak altinda yasayan ve nadiren gorulen bir kirkayak turundan almaktadir. Bu isim, grubun karanlikta faaliyet gosteren ve tespit edilmesi zor bir tehdit oldugunu sembolize etmektedir. Tarihsel Gelisim ve Vice Society Baglantisi 2023: Ortaya Cikis Rhysida fidye yazilimi ilk olarak Mayis 2023'te tespit edildi. Kasim 2023'te FBI, CISA ve MS-ISAC ortak bir siber guvenlik uyarisi (AA23-319a) yayinladi. Acik kaynak raporlari, Rhysida ile daha once aktif olan Vice Society (DEV-0832) grubu arasindaki benzerlikleri ortaya koydu. Vice Society Baglantisi Vice Society, egitim sektorunu hedef alan buyuk bir tehdit aktoruydu. Vice Society saldirilarinin yuzde 38,4'u egitim sektorunu hedef alirken, Rhysida'nin saldirilarinin yuzde 30'u ayni sektore yoneliktir. Bu benzerlik, iki grup arasinda operasyonel veya personel baglantisi oldugunu dusundurmektedir. 2024: Genisleme Donemi Rhysida, 2024 yilinda hedef yelpazesini genisletti. Saglik sektorunun otesine gecen grup, uretim, finans ve kamu sektorlerinde de saldirilar gerceklestirdi. 2025: Aktif Donem CISA, Nisan 2025'te uyariyi guncelleyerek yeni uzlasma gostergelerini (IoC) ekledi. Rhysida, 2025 yilinda ABD genelinde saglik, finans ve uretim sektorlerinden organizasyonlari hedef almaya devam etmektedir. 2026: Devam Eden Tehdit Ocak 2026 itibariyle Rhysida, kuresel olcekte en aktif fidye yazilimi gruplarindan biri olmaya devam etmektedir. MACT Health Board Inc. 29 Ocak 2026'da ve Cytek Biosciences Inc. 25 Ocak 2026'da saldiriya ugramistir. Grup, saglik sektoru ve biyoteknoloji sirketlerini hedef almaya devam etmektedir. 2024-2026 Saldiri Istatistikleri Rhysida, 2024-2026 doneminde oldukca aktif bir donem gecirmektedir: - Toplam Bilinen Kurban: 261+ - Dogrulanan Toplam Saldiri: 91 - 2025 Dogrulanan Saldiri: 8 - 2025 Iddia Edilen Saldiri: 45 - Toplam Ele Gecirilen Kayit: 5,5 milyon+ - Ortalama Fidye Talebi: 1,1 milyon USD - En Yuksek Fidye Talebi: 5,8 milyon USD (Seattle-Tacoma Havalimani) 2026 Ocak Saldirilari - MACT Health Board Inc.: 29 Ocak 2026'da hedef alindi - Cytek Biosciences Inc.: 25 Ocak 2026'da hedef alindi - Saglik ve biyoteknoloji sektorleri agir sekilde hedefleniyor Onemli 2025 Saldirilari Maryland Transit Administration: 3,4 milyon dolar bitcoin fidye talebi. Grubun ikinci en yuksek fidye talebi. Florida Hand Center: Temmuz 2025'te saglik sektorundeki son ABD kurbani. Hassas dosyalarin calindigi iddia edildi. Sunflower Medical Group: 3 TB veri calindi, kimlikler, sigorta kartlari ve veritabanlari dahil. Montreal-Nord Borough: 1 milyon dolar fidye odenmezse calinti hukumet dosyalarinin acik artirmayla satilacagi tehdidi. Hedef Sektorler ve Cografi Dagilim Oncelikli Hedef Sektorler Rhysida, firsat odakli hedefleme stratejisi kullanmaktadir: - Saglik: Hastaneler, klinikler, saglik sistemleri, biyoteknoloji - Egitim: Okullar, universiteler, egitim kurumlari - Uretim: Fabrikalar, uretim tesisleri - Bilgi Teknolojileri: IT firmalari, teknoloji sirketleri - Kamu Kurumlari: Belediyeler, devlet daireleri, ulasim otoriteleri - Finansal Hizmetler: Finans firmalari Sektor Dagilimi Degisimi Rhysida, 2025-2026 yillarinda saglik odakli kampanyadan daha genis ABD capinda cok sektorlu bir yaklasima gecis yapmistir. Grup artik firsat odakli hedeflerle daha fazla sektor cesitliligine yonelmektedir. Teknik Altyapi ve Saldiri Metodolojisi RaaS Is Modeli Rhysida, Ransomware-as-a-Service modeliyle calismaktadir: - Is Modeli: RaaS (kar paylasimi modeli) - Gasp Stratejisi: Cift gasp (double extortion) - Veri Sizdirma: Dedicated Leak Site uzerinden acik artirma - Odeme Yontemi: Bitcoin Ilk Erisim Vektorleri Rhysida is ortaklari cesitli giris yontemleri kullanmaktadir: VPN ve RDP Hesaplari: Ilk Erisim Brokerlari (IAB) araciligiyla ele gecirilmis VPN ve RDP hesaplari satin alinmaktadir. Ozellikle MFA etkinlestirilmemis organizasyonlar hedef alinmaktadir. Kimlik Avi: Zararsia gorunen e-postalar icindeki kotu amacli baglantılar veya ekler araciligiyla erisim saglanmaktadir. Zerologon Zafiyeti (CVE-2020-1472): Domain controller'lara erisim saglamak icin istismar edilmektedir. CleanUpLoader Malware: 2025'te yaygin olarak kullanilan CleanUpLoader (OysterLoader/Broomstick) kotu amacli reklamcilik ve sahte yazilim indirmeleri araciligiyla dagitilmaktadir. MITRE ATT&CK Eslestirmesi CISA, Rhysida aktivitelerini MITRE ATT&CK for Enterprise framework versiyon 17 ile eslestirmistir: Ilk Erisim (TA0001): - T1133 - External Remote Services (VPN, RDP) - T1566 - Phishing - T1078 - Valid Accounts - T1190 - Exploit Public-Facing Application Yurutme (TA0002): - T1059.001 - PowerShell - T1569.002 - Service Execution (PsExec) - T1047 - Windows Management Instrumentation Kalicilik (TA0003): - T1078 - Valid Accounts - T1133 - External Remote Services Ayricalik Yukseltme: - T1068 - Exploitation for Privilege Escalation - CVE-2020-1472 - Zerologon Savunma Atlatma (TA0005): - T1070 - Indicator Removal (Windows Event Log temizleme) - T1070.004 - File Deletion (kendini silme mekanizmasi) - T1562.001 - Disable or Modify Tools Kimlik Bilgisi Erisimi (TA0006): - T1003.003 - NTDS (ntdsutil ile NTDS.dit cikartma) - T1003 - OS Credential Dumping Kesif (TA0007): - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1135 - Network Share Discovery - T1018 - Remote System Discovery Yanal Hareket (TA0008): - T1021.001 - Remote Desktop Protocol - T1021.004 - SSH (PuTTy) - T1570 - Lateral Tool Transfer Toplama: - T1560 - Archive Collected Data - T1119 - Automated Collection Komuta ve Kontrol (TA0011): - T1219 - Remote Access Software (Cobalt Strike) - T1071 - Application Layer Protocol Sizdirma (TA0010): - T1567 - Exfiltration Over Web Service (MegaSync) - T1059.009 - Cloud Services (AZCopy, StorageExplorer) - T1530 - Data from Cloud Storage Object Etki (TA0040): - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery (Shadow Copy silme) - T1657 - Financial Theft (cift gasp) Sifreleme Teknolojisi Rhysida, hibrit sifreleme yaklasimi kullanmaktadir: - RSA: Asimetrik anahtar sifreleme - ChaCha20: Hizli simetrik sifreleme - Dosya Uzantisi: .rhysida - Volume Shadow Copies: Sistem kurtarmayi engellemek icin siliniyor Kendini Silme Mekanizmasi Rhysida fidye yazilimi, sifreleme tamamlandiktan sonra kendini sistemden silen bir mekanizma kullanmaktadir. Bu ozellik, saldiri hakkindaki bilgileri gizler ve adli analizi zorlastirir. Kullanilan Arac Seti Ilk Erisim ve Yukleyiciler: - CleanUpLoader: Kotu amacli reklamcilik yoluyla dagitim (OysterLoader/Broomstick) - Phishing: Kotu amacli ekler ve baglantılar Post-Exploitation: - Cobalt Strike: Komuta ve kontrol, yanal hareket - PsExec: Uzaktan komut calistirma - PuTTy: SSH baglantilari Kimlik Bilgisi Toplama: - ntdsutil: NTDS.dit veritabani cikartma - Mimikatz: Windows kimlik bilgisi cikartma - LSASS Dumping: Bellek okuma Veri Sizdirma: - MegaSync: Bulut depolamaya aktarim - AZCopy: Azure depolamaya aktarim - StorageExplorer: Bulut depolama yonetimi - PowerShell: Sizdirma betikleri Yanal Hareket: - RDP: Uzak masaustu protokolu - PsExec: Uzaktan yurutme - WMI: Windows Management Instrumentation Cift Gasp ve Acik Artirma Modeli Cift Gasp Stratejisi Rhysida, cift gasp yaklasimini kullanmaktadir: - Dosya sifreleme: Sistemleri kullanilmaz hale getirme - Veri sizdirma tehdidi: Calinti verileri yayinlama veya satisa cikarma Acik Artirma Modeli Rhysida, diger gruplardan farkli olarak calinti verileri dogrudan yayinlamak yerine acik artirmayla satisa cikarmaktadir. Bu yaklasim, kurbanlara fidye odemezlerse verilerinin ucuncu taraflara satilacagi baski unsuru eklemektedir. Interlock Fidye Yazilimi Baglantisi CISA, Rhysida ve Interlock fidye yazilimi varyantlari arasindaki benzerlikleri raporlamistir. Interlock, Eylul 2024'te ilk kez gozlemlenmis olup Kuzey Amerika ve Avrupa'daki isletmeleri, kritik altyapiyi ve diger organizasyonlari hedef almaktadir. Korunma Stratejileri ve Oneriler FBI ve CISA Onerileri FBI, CISA ve MS-ISAC, kuruluslarin guvenlik programlarini MITRE ATT&CK for Enterprise framework'e gore test etmelerini onermektedir: VPN ve Uzaktan Erisim Guvenligi: - Tum VPN ve uzaktan erisim noktalarinda MFA zorunlu kilin - Varsayilan olarak MFA etkinlestirin - Gereksiz uzaktan erisim servislerini kapatin - VPN yapilandirmalarini duzenli olarak gozden gecirin Yama Yonetimi: - CVE-2020-1472 (Zerologon) yamasini uygulayin - Isletim sistemlerini ve yazilimlari guncel tutun - Domain controller'lari oncelikli olarak yamalayin Kimlik Yonetimi: - Guclu parola politikalari uygulayin - Hesap kilitlenmesi politikalari belirleyin - Ayricalikli hesaplari sinirlandirin - Duzenli kimlik bilgisi rotasyonu yapin Ag Segmentasyonu: - Kritik sistemleri izole edin - Domain controller erisimini sinirlandirin - Yanal hareketi engelleyin Uc Nokta Guvenligi: - EDR cozumleri konuslandirin - PowerShell ve WMI aktivitelerini izleyin - Cobalt Strike ve benzeri araclari tespit edin - CleanUpLoader IoC'lerini engelleyin Veri Koruma: - Cevrimdisi ve degistirilemez yedekler olusturun - 3-2-1 yedekleme kuralini uygulayin - Duzenli yedekleme testleri yapin - Volume Shadow Copy korumasini etkinlestirin Tehdit Avlama Kurumlar, CISA uyarisindaki IoC'leri kullanarak aktif tehdit avlama yapmalidır: - NTDS.dit erisim girisimlerini izleyin - ntdsutil kullanımını tespit edin - Anormal PowerShell aktivitelerini arastirin - MegaSync ve AZCopy kullanımını izleyin Tehdit Istihbarati ve Izleme IoC'ler (Indicators of Compromise) CISA'nin Nisan 2025 guncellemesi yeni uzlasma gostergelerini icermektedir: - Dosya hashleri (MD5, SHA-256) - Komuta ve kontrol IP adresleri - Kotu amacli alan adlari - CleanUpLoader imzalari Tespit Stratejileri - SIEM cozumleriyle merkezi log toplama - Windows Event Log izleme (temizleme girisimlerini tespit) - EDR cozumleriyle davranis analizi - NDR cozumleriyle ag trafigi izleme Gelecek Ongoruleri Tehdit Degerlendirmesi Rhysida'nin 2025-2026'daki aktif faaliyetleri, grubun 2027 ve sonrasinda da onemli bir tehdit olmaya devam edecegini gostermektedir. CleanUpLoader gibi yeni araclarin benimsenmesi, grubun surekli evrim gecirdigini kanitlamaktadir. Beklenen Gelismeler - Kotu amacli reklamcilik kampanyalarinin artmasi - CleanUpLoader ve benzeri yukleyicilerin yayginlasmasi - Bulut depolama hedeflemesinin genislemesi - Cok sektorlu saldiri stratejisinin devami Sonuc Rhysida fidye yazilimi, 2024-2026 doneminde en tehlikeli siber tehditlerden biri olarak konumunu korumaktadir. FBI, CISA ve MS-ISAC'in ortak uyarisi ve Nisan 2025 guncellemesi, bu tehdidin ciddiyetini ve evrimini vurgulamaktadir. Ocak 2026'da MACT Health Board Inc. ve Cytek Biosciences Inc. gibi saglik ve biyoteknoloji sektorundeki kurumlar hedef alinmaya devam etmektedir. Grubun Vice Society ile olan potansiyel baglantisi, firsat odakli hedefleme stratejisi ve acik artirma modeli, Rhysida'yi benzersiz bir tehdit aktoru haline getirmektedir. Kuruluslar, VPN ve uzaktan erisim guvenligine oncelik vermeli, MFA'yi zorunlu kilmali ve duzenli yedekleme stratejileri uygulamalidir. CISA tarafindan yayinlanan guncel IoC'ler ve MITRE ATT&CK eslestirmeleri, guvenlik ekiplerinin tespit yeteneklerini gelistirmesinde kritik kaynak olarak kullanilmalidir....

Sinobi Ransomware Nedir? Sinobi, Haziran 2025'te ortaya cikan ve kisa surede fidye yazilimi ekosisteminin en aktif oyuncularindan biri haline gelen bir siber suc orgutudur. INC Ransomware ve Lynx fidye yazilimi ailelerinin dogrudan halefi olarak kabul edilen Sinobi, Ransomware-as-a-Service (RaaS) modeliyle calismakta ve cift gasp stratejisi uygulamaktadir. Grup adi, Japonca shinobi (ninja) kelimesinden turetilmistir. Bu isim, grubun gizlilik ve hassasiyet odakli saldiri yaklasimini sembolize etmektedir. Ancak tehdit istihbarati analizleri, operatorlerin Rusya veya Dogu Avrupa kokenli oldugunu dilsel eserler, aktivite kaliplari ve hedef kacirma davranislarina dayanarak degerlendirmektedir. Tarihsel Gelisim ve Fidye Yazilimi Soyu INC Ransomware Kokeni (2023) Sinobi'nin teknik soyu, Agustos 2023'te ortaya cikan INC Ransomware'e kadar uzanmaktadir. INC, hem Windows hem de Linux uyumlu varyantlara sahip guclu bir fidye yazilimi olarak tanimlandi. Mayis 2024'te INC Ransomware'in kaynak kodu, Rusca konusan salfetka rumuzlu bir aktor tarafindan yeralti pazarlarinda 300.000 dolara satisa cikarildi. Satis, yalnizca uc aliciyla sinirlandirildi. Lynx Ransomware Donemi (2024) Temmuz 2024'te Lynx Ransomware, INC kaynak kodunu satin alarak ortaya cikti. Binary analizleri, Lynx ve INC arasinda yuzde 70 fonksiyon benzerligi ve yaklasik yuzde 50 genel kod benzerligi oldugunu ortaya koydu. Lynx, 2024 yilinda hizla buyuyerek 300'e yakin kurban kaydetti. Grup, profesyonel RaaS altyapisi ve yuzde 80 is ortagi payiyla deneyimli siber suclulari cekmekte basarili oldu. Sinobi'nin Ortaya Cikisi (2025) Haziran 2025 sonlarinda Sinobi, Lynx altyapisini yansitan Tor tabanli veri sizinti siteleriyle ortaya cikti. Temmuz 2025'te aktiviteler onemli olcude artti. Guvenlik arastirmacilari, Sinobi ve Lynx arasindaki baglantilari kanitladi. Karsilastirmali analizler, fidye yazilimi binary'lerinin kodunda onemli ortusmeleri, veri sizinti sitelerinin neredeyse ayni yapisini ve cift gasp icin benzer operasyonel metodolojileri ortaya koydu. Ancak Lynx, Sinobi'nin ortaya cikisindan sonra da yeni kurbanlar iddia etmeye devam etti. Eylul 2025'e kadar Sinobi'nin radar alindigi tarihten itibaren Lynx 34 kurban daha ekledi. Bu durum, gruplarin ayri ancak baglantili oldugunu gostermektedir ve is ortagi aglari, paylasilan arac setleri veya operasyonel spin-off'lar iceren karmasik iliskilere isaret etmektedir. 2025-2026 Saldiri Istatistikleri Sinobi, ortaya cikisindan bu yana muazzam bir buyume kaydetti: - Toplam Kurban (Ocak 2026): 243-249 - Eylul 2025 Kurban Sayisi: ~40 - Ekim 2025 Kurban Sayisi: 69 - Ocak 2026 Sizinti Sitesi Kurbani: 200+ - Temmuz 2025 Pazar Payi: %12 - ABD Kurban Yogunlugu: %92 - Hedeflenen Ulke Sayisi: 10+ Buyume Hizi Sinobi'nin buyumesi dikkat cekicidir. Eylul 2025'te yaklasik 40 kurbanla baslayan grup, Ocak 2026'ya kadar 215'in uzerine cikarak bes ayda besden fazla buyume kaydetti. Bu tempo, yeni ortaya cikan bir gruptan cok, yerlesik bir RaaS operasyonuna isaret etmektedir. GRIT analistleri, kurulduktan sadece birkac ay sonra bu kadar onemli bir tempo artisinin, gelistirme asamasindaki bir gruptan ziyade kurulmus bir RaaS grubu oldugunu gosterdigini belirtmektedir. 2026 Ongoruleri Sinobi, 2026 basinda Lynx, Qilin ve Akira ile birlikte en aktif dort operator arasinda konumlanmistir. Ozellikle saglik sektoru icin 2026'da onemli bir tehdit olusturmasi beklenmektedir. Hedef Sektorler ve Cografi Dagilim Sektor Analizi Sinobi belirli sektorlere yogunlasmaktadir: - Uretim: En yuksek sektor riski, ikinci en yuksek sektorun iki katindan fazla - Insaat: Ikincil oncelik - Is Hizmetleri: Yuksek hedefleme - Saglik: 2025 ortasindan bu yana artan odaklanma - Finans: Orta seviye hedefleme - Egitim: Hedeflenen sektorler arasinda Saglik Sektoru Odagi Sinobi, 2025 ortasinda ortaya cikisindan bu yana saglik kurumlarına cesitli saldirilar gerceklestirmistir. Grup, 2025 dorduncu ceyreginde hizini artirarak veri sizinti sitesine 149 kurban ekledi. Bilinen saglik sektoru kurbanlari arasinda East Jefferson General Hospital, Greater Mental Health of New York, Johnson Regional Medical Center, Judson Center, Middlesex Endodontics, Newmark Healthcare Services, Phoenix Village Dental, Queens Counseling for Change, South Atlanta Medical Clinic ve Watsonville Community Hospital yer almaktadir. Cografi Dagilim Sinobi'nin hedefledigi bolgeler: - ABD: %92 yogunluk (birincil hedef) - Kaliforniya: En yuksek eyalet duzeyi aktivite - Kanada: Ikincil hedef - Avustralya: Hedeflenen ulkeler arasinda - Muttefik Ulkeler: Genel hedefleme Kurban Profili Sinobi, orta ve buyuk olcekli isletmelere odaklanmaktadir. Kurbanlarin yuzde 60'i yillik 10-50 milyon dolar gelir elde eden organizasyonlardir. Grup, daha kucuk sirketlerden kacinmakta ve daha yuksek fidye potansiyeli olan hedeflere yonelmektedir. RaaS Operasyon Modeli Hibrit Yapi Sinobi, RaaS olarak calismakta ve cekirdek operatorler is ortaklarina araclar ve altyapi saglamaktadir. Kar paylasimi duzenlemeleri altinda is ortaklari saldirilar gerceklestirmektedir. Lynx Mirasi Sinobi, Lynx'in RaaS altyapisini miras almistir. Bu miras, savas testinden gecmis kriptografik uygulama, EDR atlatma teknikleri (Carbon Black devre disi birakma dahil) ve kapsamli kurtarma onleme mekanizmalarini icermektedir. Profesyonel Operasyonlar Grup, operasyonel olgunluk ve disiplinli sizma yetenekleriyle karakterize edilmektedir. TOR tabanli kaynaklar, karanlik web forumlari ve Telegram iletisim altyapisi kullanilmaktadir. Muzakereler, sablonlu iletisim kaliplari kullanilarak cekirdek operatorler tarafindan yurutulmektedir. Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri Sinobi, cesitli ilk erisim yontemleri kullanmaktadir: Ele Gecirilmis Kimlik Bilgileri: Grup, ilk erisim icin oncelikle gecerli kimlik bilgilerini kotuye kullanmaktadir. Bu kimlik bilgileri genellikle ilk erisim brokerlarindan satin alinan veya onceki ihlallerden toplanan VPN veya RDP girisleridir. Ucuncu Taraf Tedarik Zinciri Ihlali: Sinobi is ortaklari, kurban organizasyonlarina ag erisimi ve yanal hareket icin SonicWall SSL VPN erisimi saglamak amaciyla ihlal edilmis ucuncu taraf MSP kimlik bilgilerini kullanmistir. Uygulama Istismari: CVE-2024-53704 gibi SonicWall SSL VPN kimlik dogrulama atlama zafiyetleri istismar edilmektedir. MITRE ATT&CK Eslestirmesi Ilk Erisim (TA0001): - T1078 - Valid Accounts (VPN, RDP) - T1133 - External Remote Services - T1199 - Trusted Relationship - T1190 - Exploit Public-Facing Application Yurutme (TA0002): - T1059 - Command and Scripting Interpreter - Manuel yurutme veya betik tabanli dagitim Kalicilik (TA0003): - T1098 - Account Manipulation - T1136 - Create Account - Legitim uzaktan erisim araclari yapilandirmasi Ayricalik Yukseltme (TA0004): - Yonetici hesabi olusturma - Izin ayarlama Savunma Atlatma (TA0005): - T1562 - Impair Defenses (Endpoint security devre disi birakma) - T1070 - Indicator Removal - Living-off-the-Land (LotL) teknikleri - LOLBins kullanimi Kimlik Bilgisi Erisimi (TA0006): - Windows Credential Manager erisimi - Ayricalikli hesap kesfi Kesif (TA0007): - T1018 - Remote System Discovery - T1083 - File and Directory Discovery - T1135 - Network Share Discovery - Domain numaralandirma - Dosya paylasimi tespiti - Endpoint guvenlik tespiti Yanal Hareket (TA0008): - T1021.001 - Remote Desktop Protocol - T1021.002 - SMB/Windows Admin Shares - Hafif kesif betigi ile otomatik yanal hareket Toplama (TA0009): - Hassas veri tespiti - Arsivleme oncesi veri toplama Sizdirma (TA0010): - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service - Rclone ile veri transferi - Guvenli FTP istemcileri - Tor tabanli altyapi veya anonimlestirilmis web hizmetleri Etki (TA0040): - T1486 - Data Encrypted for Impact - T1489 - Service Stop - T1490 - Inhibit System Recovery (Golge kopya silme) - T1491 - Defacement (Masaustu duvar kagidi degisikligi) - Geri Donusum Kutusu silme Kullanilan Arac Seti Ilk Erisim ve Kalicilik: - SonicWall SSL VPN istismari - AnyDesk: Uzaktan izleme ve kalicilik - Ihlal edilmis MSP kimlik bilgileri Yanal Hareket: - RDP: Uzak masaustu protokolu - SMB: Sunucu ileti blogu - Hafif kesif betigi Sizdirma: - Rclone: Bulut depolamaya veri transferi - WinSCP: Guvenli dosya transferi Sifreleme: - bin.exe veya benzeri genel/obfuskeli binary'ler - Curve-25519: Anahtar degisimi icin eliptik egri kriptografisi - AES-128-CTR: Simetrik dosya sifreleme Sifreleme Detaylari Sinobi, guclu kriptografik algoritmalar kullanmaktadir: - Anahtar Degisimi: Curve-25519 eliptik egri - Dosya Sifreleme: AES-128-CTR modu - Dosya Uzantisi: .SINOBI - Fidye Notu: README.txt (her sifrelenmis dizine birakilir) - Masaustu: Fidye mesaji gosterilir Bu kriptografik uygulama, saldirganin ozel anahtari olmadan dosya kurtarmayi imkansiz kilmaktadir. Bilinen Dosya Hash'leri Guvenlik ekiplerinin izlemesi gereken bilinen hash'ler: - 3ebf5f01ac8ca704f4ab9e12acd11139f3ff838f - 2101541061fb52b178165e7ef22244ec42601aea - 3055b209cfdd3bd297029ef4270b77b50f76dc03 - 86233a285363c2a6863bf642deab7e20f062b8eb Davranissal Gostergeler - Supheli USB cihaz numaralandirmasi - Olagandisi Windows Credential Manager erisim kaliplari - Desktop.ini dosya degisiklikleri - Mesai saatleri disinda yurutme Cift Gasp Stratejisi Saldiri Akisi Sinobi, standart cift gasp yaklasimini uygulamaktadir: 1. Ele gecirilmis kimlik bilgileri veya zafiyet istismari ile ilk erisim 2. Yonetici hesabi olusturma ve ayricalik yukseltme 3. Endpoint guvenlik yazilimlarinin devre disi birakilmasi 4. Legitim uzaktan erisim araclari ile kalicilik 5. Hafif kesif betigi ile yanal hareket ve ek guvenlik atlatma 6. Dosya aktarim araclari yapilandirmasi 7. Hassas verilerin sizdirilmasi 8. Dosyalarin sifrelenmesi 9. Fidye notu birakilmasi ve masaustu degisikligi 10. Odeme yapilmazsa verilerin sizinti sitesinde yayinlanmasi Hizli Etki Odagi Sinobi saldirilari hizli etki gaspi uzerine odaklanmaktadir. Veri sifreleme ve veri ifsa tehdidini birlestirerek kurbanlari odeme yapmaya zorlamaktadir. Duzenleme Baskisi Grup, GDPR, HIPAA ve SEC gereksinimleri gibi duzenleme maruziyeti tehdidini ek baski unsuru olarak kullanmaktadir. Bu yaklasim, ozellikle saglik ve finans sektorlerindeki kurbanlar icin ekstra baski olusturmaktadir. Sizinti Sitesi Kurbanlar, Tor agindaki veri sizinti sitesi araciligiyla baskilanmaktadir. Fidyeyi odemeyi reddeden organizasyonlarin verileri bu sitede yayinlanmaktadir. 2025-2026 Onemli Saldirilari Saglik Sektoru Kampanyasi Sinobi, 2025 ortasindan itibaren saglik sektorune yonelik sistematik bir kampanya yurutmustur: - East Jefferson General Hospital - Greater Mental Health of New York - Johnson Regional Medical Center - Judson Center - Middlesex Endodontics - Newmark Healthcare Services - Phoenix Village Dental - Queens Counseling for Change - South Atlanta Medical Clinic - Watsonville Community Hospital Ocak 2026 Aktivitesi Ocak 2026'da Affordable Housing Management, Inc. (AHM, Inc.) saldirisi tespit edildi. Tahmini saldiri tarihi 27 Ocak 2026, kesfedilme tarihi ise 28 Ocak 2026'dir. Ekim 2025 Patlamasi Ekim 2025'te Sinobi 69 kurban iddia etti. Bu sayi, Temmuz 2025'te ortaya cikan bir grup icin hizli bir yukselisi temsil etmektedir. Korunma Stratejileri ve Oneriler VPN ve Uzaktan Erisim Guvenligi Sinobi'nin ilk erisim vektorleri goz onune alindiginda: - SonicWall ve diger VPN cihazlarini guncel tutun - CVE-2024-53704 gibi bilinen zafiyetler icin yama uygulayin - Tum VPN erisimlerinde MFA zorunlu kilin - VPN log'larini duzenli olarak inceleyin - Basarisiz oturum acma girisimlerini izleyin Kimlik Yonetimi - Guclu parola politikalari uygulayin - Dark Web izleme ile sizdirilan kimlik bilgilerini tespit edin - Duzenli kimlik bilgisi rotasyonu yapin - Ayricalikli hesaplari sinirlandirin - Ilk erisim brokerlari tarafindan satilan kimlik bilgilerini izleyin Tedarik Zinciri Guvenligi Sinobi'nin MSP kimlik bilgisi istismari goz onune alindiginda: - Ucuncu taraf MSP erisimini sinirlandirin - MSP hesaplari icin ayri kimlik dogrulama uygulayin - Tedarik zinciri erisimlerini duzenli olarak denetleyin - Guvenilen iliski bazli erisilmleri izleyin Uc Nokta Guvenligi - EDR cozumleri konuslandirin - Carbon Black ve diger EDR devre disi birakma girisimlerini tespit edin - .SINOBI dosya uzantisi aktivitesini izleyin - Bilinen hash'leri tarayin - Living-off-the-Land aktivitelerini tespit edin - AnyDesk ve benzeri RMM araclarinin yetkisiz kurulumlarini izleyin Sizdirma Onleme - Rclone ve WinSCP kullanimini izleyin - DLP cozumleri uygulayin - Anormal veri aktarimlarini tespit edin - Bulut depolama erisimini sinirlandirin - Tor bagllantilarini engelleyin veya izleyin Veri Koruma - Cevrimdisi ve degistirilemez yedekler olusturun - 3-2-1 yedekleme kuralini uygulayin - Duzenli yedekleme testleri yapin - Yedekleme cozumlerini izole edin - Golge kopya korumasi uygulayin Saglik Sektoru Ozel Onlemleri Sinobi'nin saglik odagi goz onune alindiginda: - HIPAA uyumlulugunu surdururn - Hasta verilerini ozellikle koruyun - Olay mudahale planlarini hasta bakimi surekliligi icin optimize edin - Duzenleme ihlali tehditlerine hazirlikli olun Tehdit Istihbarati ve Izleme IoC Izleme - .SINOBI dosya uzantisi - README.txt fidye notlari - Desktop.ini degisiklikleri - Bilinen C2 IP adresleri ve alan adlari - Curve-25519 ve AES-128-CTR kullanan supheli surecler - Bilinen dosya hash'leri Davranissal Izleme - USB cihaz numaralandirma aktivitesi - Windows Credential Manager erisim kaliplari - Mesai saatleri disinda sifreleme aktivitesi - Yonetici hesabi olusturma girisimleri - Endpoint guvenlik devre disi birakma girisimleri Proaktif Onlemler - Yeralti forumlarini izleyin - Tehdit istihbarati beslemelerini entegre edin - Duzenli zafiyet taramalari yapin - Penetrasyon testleri gerceklestirin - Sizdirilan kimlik bilgileri icin Dark Web izleme Gelecek Ongoruleri Tehdit Degerlendirmesi Sinobi'nin INC ve Lynx soyu, grubun savas testinden gecmis teknik yeteneklere sahip oldugunu gostermektedir. 2026 basinda en aktif dort operator arasinda yer almasi, grubun kalici bir tehdit olarak kendini konumlandirdigini kanitlamaktadir. Beklenen Gelismeler - Saglik sektoru hedeflemesinin devami - ABD disinda cografi genisleme - Yeni zafiyet istismari entegrasyonu - Tedarik zinciri saldirilarinin artmasi - EDR atlatma tekniklerinin gelistirilmesi 2026 Risk Degerlendirmesi Sinobi, 2026'da ozellikle saglik sektoru icin onemli bir tehdit olusturmasi beklenmektedir. Hizli buyume temposu, profesyonel operasyonlar ve saglik odagi, grubun izlenmesi gereken oncelikli tehditler arasinda yer almasini gerektirmektedir. Sonuc Sinobi, INC Ransomware ve Lynx fidye yazilimi ailelerinin halefi olarak 2025-2026 doneminde hizla buyuyen tehditlerden biri haline gelmistir. Haziran 2025'te ortaya cikisindan Ocak 2026'ya kadar 40'tan 240'in uzerine kurban sayisini artirmasi, grubun operasyonel kapasitesini ortaya koymaktadir. Grubun saglik sektoru odagi, ozellikle HIPAA duzenlemelerine tabi kurumlar icin endise vericidir. Cift gasp stratejisi ve duzenleme baskisi kombinasyonu, kurbanlari odeme yapmaya zorlamak icin etkili bir mekanizma olusturmaktadir. Kuruluslar, Sinobi ve benzeri tehditlere karsi VPN guvenligi, kimlik yonetimi ve tedarik zinciri guvenligine oncelik vermelidir. SonicWall ve diger uzaktan erisim cihazlarinin yamalanmasi, MFA zorunlulugu ve MSP erisim kontrolu kritik oneme sahiptir. EDR cozumlerinin konuslandirilmasi, .SINOBI uzantisi ve bilinen hash'lerin izlenmesi, erken tespit icin gereklidir. Proaktif guvenlik durus, surekli izleme ve kapsamli yedekleme stratejileri, bu tehditlere karsi en etkili savunma yaklasimini olusturmaktadir. Ozellikle saglik sektoru kurumlari, Sinobi'nin 2026 tehdit ongoruleri goz onune alinarak ek onlemler almalidir....

Cactus fidye yazılımı, siber suç dünyasında dikkat çeken ve karmaşık saldırı teknikleriyle öne çıkan bir tehdittir. Bu yazıda, Cactus fidye yazılımının tarihçesinden kullanılan tekniklere, hedeflerinden toplumsal etkilerine kadar kapsamlı bir analiz sunacağız. Giriş Fidye yazılımları, siber suçluların kurbanlarının verilerini şifreleyerek veya sistemlerine erişimi engelleyerek fidye talep ettiği zararlı yazılımlardır. Cactus fidye yazılımı, bu tür tehditlerin en yeni örneklerinden biridir ve özellikle büyük ticari kuruluşları hedef almasıyla bilinir. Grubun Tarihçesi ve Kökenleri Cactus fidye yazılımı operasyonu, Mart 2023'ten bu yana aktif olarak faaliyet göstermektedir. İlk olarak Fortinet VPN cihazlarındaki güvenlik açıklarından yararlanarak kurban ağlarına sızdığı tespit edilmiştir. Grubun kökenleri hakkında sınırlı bilgi bulunsa da, kullanılan teknikler ve hedefler, deneyimli bir siber suç organizasyonunu işaret etmektedir. Kullanılan Teknikler ve Araçlar Cactus fidye yazılımı, tespit edilmekten kaçınmak ve başarılı saldırılar gerçekleştirmek için çeşitli teknikler ve araçlar kullanır: - **Şifrelenmiş Yapılandırma Dosyaları**: Fidye yazılımı, kendi yapılandırma dosyalarını şifreleyerek analiz edilmesini zorlaştırır. Bu sayede, güvenlik yazılımlarının ve araştırmacıların fidye yazılımının davranışını anlaması engellenir. - **Yasal Yazılımların Kötüye Kullanımı**: Saldırganlar, AnyDesk ve Rclone gibi yasal araçları kullanarak kalıcılık sağlar ve veri sızdırır. Bu araçlar, meşru amaçlar için tasarlanmış olmalarına rağmen, kötü niyetli aktörler tarafından kötüye kullanılabilir. - **Qlik Sense Güvenlik Açıklarından Yararlanma**: Cactus grubu, Qlik Sense veri analizi çözümündeki kritik güvenlik açıklarını kullanarak kurumsal ağlara sızar. Bu sayede, hedef sistemlere erişim sağlar ve fidye yazılımını dağıtır. - **Kendi Kendini Şifreleme**: Fidye yazılımı, antivirüs yazılımlarından kaçınmak için kendini şifreler ve yalnızca belirli koşullar altında çözülerek çalışır. Bu teknik, tespit edilme olasılığını azaltır ve saldırının başarılı olma şansını artırır. Hedefler ve Operasyon Alanı Cactus fidye yazılımı, özellikle büyük ticari kuruluşları hedef alır. Örneğin, enerji yönetimi ve otomasyon devi Schneider Electric, Ocak 2024'te Cactus fidye yazılımı saldırısına uğramıştır. Bu saldırı, şirketin bazı hizmetlerinde kesintilere ve veri sızıntılarına yol açmıştır. İş Modeli ve Finansal Yapı Cactus fidye yazılımı grubu, fidye talepleri ve veri sızıntıları üzerinden finansal kazanç elde eder. Kurbanlarından büyük meblağlarda fidye talep eden grup, ödemeler genellikle kripto para birimleri üzerinden gerçekleştirilir. Bu yöntem, işlemlerin izlenmesini zorlaştırarak saldırganların kimliklerini gizlemelerine yardımcı olur. Kurbanlara Yaklaşım ve İletişim Cactus grubu, kurbanlarıyla genellikle fidye notları ve şifrelenmiş dosyalar aracılığıyla iletişim kurar. Fidye notlarında, şifrelenen verilerin geri alınması için belirli bir süre içinde ödeme yapılması gerektiği belirtilir ve ödeme yapılmazsa verilerin kalıcı olarak silineceği veya sızdırılacağı tehdidinde bulunulur. Grubun Teknik Analizi Cactus fidye yazılımının teknik analizi, karmaşık ve çok aşamalı bir yapıya sahip olduğunu gösterir: - **İlk Erişim**: Saldırganlar, Fortinet VPN cihazlarındaki bilinen güvenlik açıklarından yararlanarak hedef ağlara sızar. Bu sayede, ağ içinde hareket edebilmek için gerekli erişimi elde ederler. - **Kalıcılık Sağlama**: Sistemde kalıcı olmak için AnyDesk gibi uzaktan erişim araçları yüklenir ve yönetici hesaplarının şifreleri değiştirilir. Bu, saldırganların sistem üzerinde uzun süreli kontrol sağlamasına olanak tanır. - **Veri Şifreleme**: Fidye yazılımı, hedef sistemdeki dosyaları şifreleyerek kullanılamaz hale getirir. Şifreleme işlemi sırasında, tespit edilmemek için çeşitli teknikler kullanılır ve şifreleme anahtarları güvenli bir şekilde saklanır. - **Veri Sızdırma**: Şifreleme öncesinde, hassas veriler Rclone gibi araçlar kullanılarak saldırganların kontrolündeki sunuculara aktarılır. Bu, kurban üzerinde ek bir baskı unsuru oluşturur, çünkü verilerin sızdırılması tehdidi fidye ödeme olasılığını artırır. Yasal ve Güvenlik Perspektifi Cactus fidye yazılımı gibi tehditler, ulusal ve uluslararası güvenlik açısından ciddi endişeler yaratmaktadır. Fidye yazılımları, kritik altyapılara yönelik saldırılarla kamu güvenliğini tehlikeye atabilir ve ekonomik refahı olumsuz etkileyebilir. Bu nedenle, devletler ve uluslararası kuruluşlar, fidye yazılımı saldırılarına karşı ortak mücadele stratejileri geliştirmektedir. Örneğin, ABD Dışişleri Bakanlığı'nın Yönetim ve Kaynaklardan Sorumlu Bakan Yardımcısı Richard Verma, fidye yazılımlarının küresel bir tehdit olduğunu ve buna karşı küresel bir yanıt gerektiğini vurgulamıştır. Toplumsal ve Ekonomik Etkiler Fidye yazılımı saldırıları, toplum üzerinde doğrudan ve dolaylı birçok etkiye sahiptir: - **Mali Kayıplar**: Kurbanların fidye ödemeleri, doğrudan mali kayıplara yol açar. Ayrıca, saldırı sonrası veri kurtarma çalışmaları ve operasyonel duraklamalar da ek maliyetler yaratır. - **İtibar Kaybı**: Fidye yazılımı saldırısına uğrayan kuruluşlar, müşteri güvenini kaybedebilir ve bu da uzun vadede itibar kaybına yol açabilir. - **Operasyonel Aksaklıklar**: Saldırı sonrası, kuruluşların operasyonları durabilir veya kesintiye uğrayabilir, bu da iş sürekliliğini tehlikeye atar. Grubun Medya ve Toplumdaki Yansıması Cactus fidye yazılımı, özellikle büyük şirketlere yönelik saldırılarıyla medyada geniş yer bulmuştur. Örneğin, enerji yönetimi ve otomasyon devi Schneider Electric'e yapılan saldırı, basında geniş yankı uyandırmıştır. Bu tür haberler, fidye yazılımlarının ciddiyetini ve yaygınlığını toplumun gündemine taşımaktadır. Gelecek Öngörüleri Fidye yazılımları, siber suçlular için kârlı bir yöntem olmaya devam ettikçe, bu tür saldırıların gelecekte de artarak süreceği öngörülmektedir. Saldırganlar, yeni teknikler ve araçlar geliştirerek güvenlik önlemlerini aşmaya çalışacaklardır. Bu nedenle, kuruluşların siber güvenlik stratejilerini sürekli olarak güncellemeleri ve fidye yazılımlarına karşı proaktif önlemler almaları kritik öneme sahiptir. Sonuç Cactus fidye yazılımı, siber güvenlik dünyasında önemli bir tehdit olarak karşımıza çıkmaktadır. Kullanılan sofistike teknikler, hedef alınan büyük kuruluşlar ve yaratılan ekonomik ile toplumsal etkiler, bu tür tehditlere karşı daha güçlü ve koordineli bir mücadele gerekliliğini ortaya koymaktadır. Kurumlar ve bireyler, siber güvenlik farkındalıklarını artırmalı, gerekli önlemleri almalı ve olası saldırılara karşı hazırlıklı olmalıdır....

Devman Ransomware Nedir? Devman, Nisan 2025'te ortaya cikan ve DragonForce ile Conti fidye yazilimi soyundan gelen sofistike bir tehdit aktorudur. Kapali bir operasyon olarak calismasina ragmen, Qilin, DragonForce, Apos ve RansomHub gibi coklu RaaS platformlarinda is ortagi olarak faaliyet gosteren grup, cift gasp stratejisi ve gelismis teknik yetenekleriyle dikkat cekmektedir. Devman 2.0 surumu, Temmuz 2025'te Rust dilinde yeniden yazilarak piyasaya surulmustur. Bu surum, ayri TOR altyapisi ve yukseltilmis fidye talepleriyle grubun evrimini gostermektedir. Tarihsel Gelisim Nisan 2025: Ortaya Cikis Devman fidye yazilimi ilk olarak Nisan 2025'te kapali bir operasyon olarak ortaya cikti. Grup, DragonForce ve Conti fidye yazilimi genetik kodunu paylasarak bu koklü soydan miras almistir. Operasyon, dis is ortaklari ise almadan dogrudan saldirilar gerceklestirmekte ve bu yaklasim grubun kapali operasyon modelini yansitmaktadir. Mayis 2025: Hizli Yukselis Mayis 2025'te DevMan tek bir ayda 13 kurban iddia ederek ust duzey gruplarla rekabet etmeye basladi. Bu hizli buyume, grubun operasyonel kapasitesini ortaya koydu. Haziran 2025: GangExposed Krizi Haziran 2025'te buyuk bir kriz yasandi: GangExposed, operator kimliklerini kamuya ifsa etti. Bu durum ani is ortagi terkine neden oldu. Ancak grup dayanikliligini kanıtlayarak operasyonlarini surdurudu. Temmuz 2025: Devman 2.0 Evrimi Temmuz 2025'te grup, 2.0 surumune evrildi. Bu surum Rust diliyle yeniden yazildi ve ayri TOR altyapisi olusturuldu. Fidye talepleri de onemli olcude yukseltildi: - Surum 1.0: 60.000 - 2,5 milyon dolar - Surum 2.0: 1 milyon - 91 milyon dolar 2026: Devam Eden Operasyonlar Ocak 2026 itibariyle grup aktif olarak faaliyetlerine devam etmektedir. Aralik 2025 ve Ocak 2026'da kesfedilen kurbanlar arasinda Jennings SD, SHAR Inc ve Intonu gibi organizasyonlar yer almaktadir. 2025-2026 Saldiri Istatistikleri Devman, ortaya cikisindan bu yana etkileyici rakamlar kaydetti: - Toplam Kurban (Son 6 Ay): 130 - Toplam Onaylanan Vaka: 120+ - Mayis 2025 Kurban Sayisi: 13 - En Yuksek Fidye Talebi: 91 milyon dolar - Medyan Fidye (v1.0): 450.000 - 800.000 dolar - Medyan Fidye (v2.0): 1 - 7 milyon dolar Hedef Sektorler Devman belirli sektorlere yogunlasmaktadir: - Teknoloji: 25 kurban (en fazla hedeflenen) - Saglik: 18 kurban - Kamu Sektoru: 12 kurban - Insaat: 7 kurban - Tarim ve Gida Uretimi: 6 kurban - Uretim: Yuksek hedefleme - Is Hizmetleri: Yuksek hedefleme - Perakende: Orta hedefleme - Kritik Altyapi: Hedeflenen Cografi Dagilim Devman'in hedefledigi ulkeler: - ABD: 35 kurban (birincil hedef) - Fransa: 9 kurban - Tayvan: 7 kurban - Tayland: 6 kurban - Cin: 6 kurban - Asya-Pasifik: %60+ yogunluk Grup, oncelikli olarak Bati disi pazarlari hedeflemekte, Asya (Tayland, Endonezya, Tayvan, Cin, Japonya, Singapur) ve Afrika'ya (Guney Afrika, Misir, Kenya) odaklanmaktadir. Ancak Avrupa, Latin Amerika ve Kuzey Amerika'ya da genislemektedir. Gelir Esikleri Devman, kurban seciminde gelir esikleri uygulamaktadir: - Kritik Altyapi: Minimum 100 milyon dolar gelir - Saglik Kuruluslari: Minimum 50 milyon dolar gelir Operasyon Modeli Kapali Operasyon Devman, dis is ortaklari ise almadan dogrudan saldirilar gerceklestiren kapali bir grup olarak calismaktadir. Ancak Qilin, DragonForce, Apos ve RansomHub gibi coklu RaaS platformlarinda is ortagi olarak da faaliyet gostermektedir. Cevrimdisi Mimari Grubun teknik mimarisi, C2 isaretlemesini ortadan kaldiran cevrimdisi operasyonu vurgulamaktadir. Saldirilar, ele gecirilmis aglar icinde kesfetme ve sifreleme islemlerini gerceklestirmektedir. Gelir Paylasimi Qilin RaaS gelir paylasimi yapisi kullanilmaktadir: - Is Ortagi Payi: %80-85 - Odeme Yontemi: Is ortagi cuzdanlari uzerinden Bitcoin Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri Devman, cesitli ilk erisim yontemleri kullanmaktadir: Phishing Kampanyalari: Zararli ekler iceren phishing e-postalari birincil erisim yontemidir. RDP Kaba Kuvvet: Parola spreyi ve kimlik bilgisi doldurma saldirilari uygulanmaktadir. Kenar Hizmet Istismari: VPN ag gecitleri ve uzaktan yonetim arayuzleri hedeflenmektedir. Microsoft Exchange Ihlali: Exchange sunuculari uzerinden erisim saglanmaktadir. VMware ESXi: Sanalilastirma ortamlari hedeflenmektedir. MITRE ATT&CK Eslestirmesi Ilk Erisim (TA0001): - T1566 - Phishing (zararli ekler) - T1078 - Valid Accounts (ele gecirilmis kimlik bilgileri) - T1190 - Exploit Public-Facing Application (Exchange, VPN, ESXi) Kesif (TA0007): - T1482 - Domain Trust Discovery (BloodHound) - T1018 - Remote System Discovery (ag taramasi) - T1135 - Network Share Discovery (SMB numaralandirma) Kimlik Bilgisi Erisimi (TA0006): - T1003 - OS Credential Dumping (Mimikatz ile LSASS) - T1555 - Credentials from Password Stores (tarayici kimlik bilgileri) Savunma Atlatma (TA0005): - T1562.001 - Disable or Modify Tools (AV/EDR devre disi birakma) - T1070 - Indicator Removal (registry silme) - Windows Restart Manager API istismari Yanal Hareket (TA0008): - T1021.001 - Remote Desktop Protocol - T1021.002 - SMB/Windows Admin Shares (PsExec) - T1484.001 - Group Policy Modification Sizdirma (TA0010): - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service (Mega.nz) Etki (TA0040): - T1486 - Data Encrypted for Impact - T1529 - System Shutdown/Reboot (zorla yeniden baslatma) - T1490 - Inhibit System Recovery (VSS silme) - T1491 - Defacement (masaustu duvar kagidi degisikligi) Kullanilan Arac Seti Kesif ve AD Haritalama: - BloodHound: Active Directory saldiri yolu gorselestirme - SoftPerfect Network Scanner: Ag kesfetme Kimlik Bilgisi Toplama: - Mimikatz: LSASS kimlik bilgisi okuma - Custom info-stealer: Tarayici kimlik bilgileri toplama Yanal Hareket: - PsExec: Uzaktan hizmet yayilimi - RDP: Uzak masaustu erisimi - PowerShell/cmd: Payload dagitimi Sizdirma: - Mega.nz: Bulut depolama uzerinden veri sizdirma - Buyuk olcekli sizdirmalar (ornek: 2,5 TB) Sifreleme Detaylari Devman, guclu hibrit kriptografi kullanmaktadir: - Simetrik Sifreleme: AES-256 (CBC modu) - Asimetrik Sifreleme: RSA-2048 (anahtar koruma) Operasyonel Modlar: - Tam Sifreleme: Kapsamli veri bozulmasi - Baslik-Only Sifreleme: Hiz optimizasyonu - Ozel Yapilandirmali Sifreleme: Hedeflenen senaryolar Bu esneklik, saldirganlarin hedeflerine bagli olarak hiz ve kapsamlilik arasinda denge kurmasina olanak tanimaktadir. Dosya Uzantilari - Surum 1.0: .DEVMAN, .devmanv1 - Surum 2.0: .devman1 - Varyant: .yAGRTb - Builder hatasi eseri: e47qfsnz2trbkhnt.devman Fidye Notlari - Surum 1.0: README.devmanv1.txt - Varyantlar: README.txt, README.yAGRTb.txt Teknik Yenilik: Restart Manager API Istismari Devman, Windows Restart Manager API'sini istismar ederek gecici registry oturumlari olusturmakta ve dosya kilitlerini atlayarak girisleri hizla silmektedir. Bu teknik, sifreleme sirasinda dosya erisim engellerini asmaktadir. Bilinen Teknik Kusurlar Devman, acele gelistirme veya eksik test gosteren bazi kusurlar icermektedir: - Builder yapilandirma hatasi nedeniyle zararli yazilim genellikle kendi fidye notlarini sifreleyerek kurbanlarin erisememesine neden olmaktadir - Masaustu duvar kagidi degistirme fonksiyonu Windows 10'da calismakta ancak Windows 11'de basarisiz olmaktadir Cift Gasp Stratejisi Saldiri Akisi Devman, gelismis cift gasp yaklasimini uygulamaktadir: 1. Phishing, RDP veya kenar hizmet istismari ile ilk erisim 2. BloodHound ve SoftPerfect ile ag ve AD kesfi 3. Mimikatz ile kimlik bilgisi toplama 4. AV/EDR devre disi birakma 5. PsExec ve RDP ile yanal hareket 6. Mega.nz uzerinden buyuk olcekli veri sizdirma (2,5 TB'a kadar) 7. VSS silme ve sistem hazirligi 8. AES-256/RSA-2048 hibrit sifreleme 9. Zorla sistem yeniden baslatma 10. Fidye notu ve sizinti sitesi tehdidi Sizinti Sitesi Devman, geri sayim zamanlayicilari olan ozel TOR sizinti siteleri isletmektedir: - Surum 1.0: qljmlmp4psnn3wqskkf3alqquatymo6hntficb4rhq5n76kuogcv7zyd.onion - Surum 2.0: wugurgyscp5rxpihef5vl6b6m5ont3b6sezhl7boboso2enib2k3q6qd.onion Fidye notlari, veri ifsa ve arac yok etme tehditleri icermektedir. Bilinen IoC'ler (Gostergeler) Dosya Hash'leri SHA256: - df5ab9015833023a03f92a797e20196672c1d6525501a9f9a94a45b0904c7403 (v1.0) - 018494565257ef2b6a4e68f1c3e7573b87fc53bd5828c9c5127f31d37ea964f8 (v1.0) MD5: - e84270afa3030b48dc9e0c53a35c65aa Altyapi - E-posta: support@devmanv1.com - TOX ID: 9D97F166730F865F793E2EA07B173C742A6302879DE1B0BBB03817A5A04B572FBD82F984981D - Mutex: hsfjuukjzloqu28oajh727190 Registry Kalicilik - HKEY_CURRENT_USER\Software\Microsoft\RestartManager\Session0000 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Dosya Gostergeleri - Dosya Uzantilari: .DEVMAN, .devmanv1, .devman1, .yAGRTb - Fidye Notlari: README.devmanv1.txt, README.txt, README.yAGRTb.txt 2026 Aktiviteleri Son Kurbanlar Aralik 2025 - Ocak 2026 doneminde kesfedilen kurbanlar: - 28 Aralik 2025: Jennings SD (Missouri egitim sirketi) - 28 Aralik 2025: SHAR Inc (Michigan saglik hizmetleri) - 28 Aralik 2025: Intonu (Georgia enerji/kamu hizmetleri) - 26-28 Ocak 2026: Ek kurbanlar tespit edildi Operasyonel Durum Ekim 2025 itibariyle aktif olan grup, Haziran 2025 GangExposed ifsasindan sonra surdurulebilir operasyonel tempo gostermektedir. Asya-Pasifik, Kuzey Amerika ve Avrupa pazarlarinda devam eden kurban edinimi gozlemlenmektedir. Korunma Stratejileri ve Oneriler E-posta ve Phishing Guvenligi Devman'in birincil ilk erisim vektoru goz onune alindiginda: - Gelismis e-posta filtreleme kullanin - Kullanici farkindalik egitimi saglayın - Phishing simulasyonlari yapin - Sandbox analizi uygulayin - Zararli ek tespiti yapin RDP ve Uzaktan Erisim Guvenligi - RDP erisimini sinirlandirin - MFA zorunlu kilin - Kaba kuvvet korumasi uygulayin - VPN ag gecitlerini sertlestirin - Oturum izleme yapin Microsoft Exchange ve ESXi Guvenligi - Exchange sunucularini guncel tutun - ESXi yamalarini uygulayin - Kenar hizmetleri sinirlandirin - Zafiyet taramalari yapin Active Directory Guvenligi - BloodHound tespiti icin izleme yapin - AD saldiri yollarini analiz edin - Ayricalikli hesaplari sinirlandirin - Domain trust yapilandirmalarini inceleyin Uc Nokta Guvenligi - EDR cozumleri konuslandirin - Mimikatz tespiti yapin - PsExec kullanimini izleyin - Davranis tabanli analiz uygulayin - AV/EDR devre disi birakma girisimlerini tespit edin Sizdirma Onleme - Mega.nz erisimini sinirlandirin veya izleyin - DLP cozumleri uygulayin - Buyuk veri aktarimlarini tespit edin - Bulut depolama politikalari olusturun Veri Koruma - Cevrimdisi ve degistirilemez yedekler olusturun - 3-2-1 yedekleme kuralini uygulayin - VSS korumasi uygulayin - Yedekleme cozumlerini izole edin Tehdit Istihbarati ve Izleme IoC Izleme - .DEVMAN, .devmanv1, .devman1, .yAGRTb dosya uzantilari - README.devmanv1.txt fidye notlari - Bilinen hash'ler ve mutex - TOR sizinti sitesi aktivitesi - TOX iletisim kimlikleri Davranissal Izleme - BloodHound AD numaralandirma aktivitesi - Mimikatz LSASS erisimi - Restart Manager API istismari - Registry degisiklikleri ve silmeleri - Mega.nz veri aktarimlari Proaktif Onlemler - Yeralti forumlarini izleyin - Tehdit istihbarati beslemelerini entegre edin - Exchange ve ESXi zafiyet taramalari yapin - Penetrasyon testleri gerceklestirin Gelecek Ongoruleri Tehdit Degerlendirmesi Devman'in DragonForce ve Conti soyu, grubun koklü teknik yeteneklere sahip oldugunu gostermektedir. Haziran 2025 GangExposed ifsasindan sonra hizli toparlanmasi ve 2.0 surumune evrimi, grubun dayanikliligini kanitlamaktadir. Beklenen Gelismeler - Fidye taleplerinin artmaya devam etmesi - Asya-Pasifik odaginin surmesi - Kritik altyapi hedeflemesinin genislemesi - Rust tabanli varyantlarin gelistirilmesi - Yeni RaaS platform entegrasyonlari Sonuc Devman, DragonForce ve Conti soyundan gelen ve 2025-2026 doneminde hizla buyuyen tehditlerden biri olarak on plana cikmaktadir. Nisan 2025'teki ortaya cikisindan bu yana 120'den fazla kurban iddia eden grup, 91 milyon dolara kadar fidye talepleriyle dikkat cekmektedir. Grubun cift gasp ustaligi, 2,5 TB'a kadar veri sizdirma kapasitesi ve hibrit AES-256/RSA-2048 sifreleme, kurbanlari zor durumda birakmaktadir. BloodHound, Mimikatz ve PsExec gibi arac seti, profesyonel operasyonlari yansitmaktadir. Kuruluslar, Devman ve benzeri tehditlere karsi phishing guvenligi, RDP sertlestirme ve Exchange/ESXi guncellemelerine oncelik vermelidir. BloodHound tespiti, Mimikatz izleme ve Mega.nz trafik kontrolu kritik oneme sahiptir. Proaktif guvenlik durus, surekli izleme ve kapsamli yedekleme stratejileri, bu tehditlere karsi en etkili savunma yaklasimini olusturmaktadir. Ozellikle teknoloji, saglik ve kamu sektorlerindeki kurumlar, Devman'in birincil hedefleri arasinda yer almalari nedeniyle ek onlemler almalidir....

Vice Society Ransomware Grubu: Teknik Detaylar ve Korunma Yolları Teknik Özellikler Vice Society, her ne kadar yeni bir ransomware grubu olsa da, çok iyi bir şekilde kodlanmış ve gelişmiş bir ransomware hedeflerine saldırma yeteneğine sahip. Bu ransomware, genellikle Microsoft'un SMB (Server Message Block) protokolündeki zaafiyetleri hedef alır ve Endpoint Security (EPP) ve Endpoint Detection and Response (EDR) gibi güvenlik çözümlerini etkisiz hale getirmek için geliştirilmiştir. Ayrıca bulaşma sonrası, ağ üzerinde lateral hareket yeteneği de bulunmaktadır. İşleyiş Ağa bulaştıktan sonra, Vice Society ransomware kurbanın verilerini şifreler ve fidye talep etmek için bir mesaj bırakır. Eğer fidye ödenmezse, kurbanın verileri dark web üzerinde satışa çıkarılır. Etki Alanı Vice Society, eğitim kurumlarına, hükümet kurumlarına ve sağlık hizmetlerine yönelik saldırılar gerçekleştirdiği görüldü. Son İstatistikler Son dönemde Vice Society'nin yayılma oranlarında önemli bir artış oldu. Bu grubun sebep oldugu kayıpların toplam maliyeti, milyonlarca dolara ulaştı. Neden Tehlikeli? Vice Society ransomware, kurbanın tüm verilerinin kontrolünü ele geçirme yeteneğine sahip. Ancak en büyük endişe verici nokta, hedeflerin özellikle kritik öneme sahip kurumlar olmasıdır. Korunma Yolları Korunma için, güncel bir backup planına sahip olmanız gerekmektedir. Ayrıca tüm yazılımlarınızın güncel olması, anti-virüs ve anti-malware programlarının kullanılması ve bilinmeyen kaynaklardan gelen e-posta eklerinin açılmaması önerilir....

RansomHouse Nedir? RansomHouse, 2021 yilindan bu yana aktif olan ve ozellikle saglik, uretim ve kritik altyapi sektorlerini hedef alan sofistike bir fidye yazilimi operasyonudur. Palo Alto Networks tarafindan Jolly Scorpius olarak izlenen grup, cift gasp taktikleriyle yuksek degerli hedeflere saldirmaktadir. Grup, Aralik 2021'den bu yana sizdirma sitesinde verileri ifsa edilen veya satilan en az 123 kurbani listelemistir. Saglik, finans, ulasim ve hukumet dahil kritik sektorleri kesintiye ugratmis olan RansomHouse, 2025-2026 doneminde 46'nin uzerinde saldiri gerceklestirerek aktif tehdit durumunu surdurmektedir. Tarihsel Gelisim ve Evrim 2021-2023: Ortaya Cikis ve Kurulus RansomHouse, Aralik 2021'de ilk kurbanlarini sizdirma sitesinde listeleyerek sahneye cikti. Grup, baslangicta veri hirsizligi ve gasp odakli bir model benimsedi. Bu donemde grup, kurumsal guvenlik zafiyetlerini elestiren ve fidye odemeyenleri kamuya ifsa etmekle tehdit eden bir yaklasim sergiledi. 2024: RaaS Modeline Gecis RansomHouse, 2024 yilinda Ransomware-as-a-Service (RaaS) modeline gecis yapti. Bu donusum, grubun operasyonel kapasitesini genisletti ve affiliate agiyla buyumesini sagladi. 2025: Mario Sifreleme Guncellemesi RansomHouse operasyonuna yonelik son guncellemeler, cift gasp RaaS modeline cok katmanli sifreleme guncellemesi eklenmesiyle kurumsal savunuculara yeni endseler yaratmistir. Fidye yazilimi cetesi, basit, tek fazli sifreleme rutininden, operasyonlarinin karmasikligini artiran cok katmanli cift anahtar sifreleme mimarisine gecis yapmistir. Arastirmacilar, guncellenmis sifreleyiciyi "Mario" adi altinda izlemektedir. Mario'nun ters muhendislik analizinde, yukseltilmis binary'nin hem 32 byte'lik birincil hem de 8 byte'lik ikincil sifreleme anahtari olusturdugu ve birbirine bagli ayri sifreleme gecisleri yuruttu gozlemlenmistir. 2025-2026: VMware ESXi Odagi RansomHouse saldirganlari, VMware ESXi altyapisini hedef almakla bilinmektedir. Bu kurumsal sinif hipervizor platformunun ele gecirilmesi, duzinelerce hatta yuzlerce sanal makinenin tek seferde sifrelenmesine olanak tanmaktadir. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2021-2026) - Toplam Bilinen Kurban: 123+ (Aralik 2021'den itibaren) - 2024-2026 Dogrulanmis Saldiri: 46+ - Hedef Alinan Sektor Sayisi: 10+ - Operasyonel Model: RaaS (Ransomware-as-a-Service) - Hedef Platformlar: Windows, Linux, VMware ESXi Sektor Bazli Dagilim - Saglik: %22 - Uretim: %20 - Finans: %15 - Ulasim: %12 - Hukumet: %10 - Teknoloji: %8 - Perakende: %7 - Diger: %6 2025-2026 Onemli Saldirilar **Warren County Sheriff's Office, Kentucky, ABD** Kesif Tarihi: 29 Ocak 2026 Tahmini Saldiri Tarihi: 19 Aralik 2025 Kamu sektoru hedeflemesinin devam ettigini gosteren bu saldiri, kolluk kuvvetleri verilerinin risk altinda oldugunu ortaya koymaktadir. **Luxshare Precision Industry Co., Ltd. (Luxshare-ICT)** Kesif Tarihi: 26 Ocak 2026 Tahmini Saldiri Tarihi: 15 Aralik 2025 Onde gelen kuresel hassas bilesen ureticisi, RansomHouse tarafindan hedef alinmistir. **Fulgar S.p.A.** RansomHouse, Fulgar'in IT sistemlerine sizarak finansal kayitlar, faturalar, iletisimler, sozlesmeler ve uretim dokumantasyonu dahil hassas dahili verileri sizdirdigini iddia etmistir. Grup, talepleri karsilanmadigi takdirde calinan verileri yayinlamakla tehdit etmistir. **Kurogane Kasei Co. ve S Food Co., Ltd. (Japonya)** Kesif Tarihi: Ekim 2025 Japon sirketlerinin hedef alinmasi, grubun Asya-Pasifik bolgesindeki aktivitesini gostermektedir. Teknik Altyapi ve Saldiri Metodolojisi Mario Sifreleyici Mimarisi RansomHouse'un yeni Mario sifreleyicisi, sofistike bir cift anahtar sifreleme sistemi kullanmaktadir: **Birincil Anahtar (32 byte)** Ana sifreleme islemi icin kullanilan guclu anahtar. **Ikincil Anahtar (8 byte)** Ek sifreleme katmani icin kullanilan yardimci anahtar. **Cift Gecis Sifreleme** Iki ayri sifreleme gecisi birbirine baglanarak, kurtarmayi onemli olcude zorlastirmaktadir. Hedef Platformlar **Windows** Kurumsal Windows ortamlari ve dosya sunuculari hedef alinmaktadir. **Linux** Linux sunuculari ve uygulamalari icin ozel payload'lar gelistirilmistir. **VMware ESXi** Kurumsal sanalastirma altyapisi oncelikli hedefler arasindadir. Tek bir ESXi sunucusunun ele gecirilmesi, duzinelerce sanal makinenin sifrelenmesine yol acabilir. Ilk Erisim Vektorleri **Uzaktan Erisim Zafiyetleri (T1190)** VPN ve uzaktan erisim cozumlerindeki zafiyetler istismar edilmektedir. **Gecerli Hesaplar (T1078)** Ele gecirilmis kimlik bilgileri ile sisteme erisim saglanmaktadir. **Kimlik Avi (T1566)** Hedefli kimlik avi kampanyalari ile ilk erisim elde edilmektedir. MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1190 - Exploit Public-Facing Application - T1078 - Valid Accounts - T1566 - Phishing - T1133 - External Remote Services **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1047 - Windows Management Instrumentation **Kalicilik (TA0003)** - T1078 - Valid Accounts - T1053 - Scheduled Task/Job **Ayricalik Yukseltme (TA0004)** - T1068 - Exploitation for Privilege Escalation - T1078 - Valid Accounts **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery - T1057 - Process Discovery **Yanal Hareket (TA0008)** - T1021 - Remote Services - T1021.004 - SSH - T1021.001 - Remote Desktop Protocol **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Cift Gasp Stratejisi Veri Sizdirma RansomHouse, sifreleme oncesinde buyuk miktarda veriyi sizdirmaktadir. Bu veriler: - Finansal kayitlar ve faturalar - Dahili iletisimler ve e-postalar - Sozlesmeler ve hukuki belgeler - Uretim dokumantasyonu - Musteri ve calisaan verileri - Fikri mulkiyet Sizdirma Sitesi RansomHouse, profesyonel gorunumlu bir sizdirma sitesi isletmektedir. Fidye odemeyen kurbanların verileri bu sitede yayinlanmakta veya satisa sunulmaktadir. Fidye Muzakereleri Grup, kurbanlariyla ozel kanallar uzerinden fidye muzakereleri yurutmektedir. Talep edilen fidye miktarlari, kurbanin buyuklugune ve calinan verilerin hassasiyetine gore degismektedir. Hedef Profili ve Secim Kriterleri Oncelikli Sektorler **Saglik** Hastaneler ve saglik kuruluslari, hasta verilerinin hassasiyeti nedeniyle oncelikli hedeflerdir. **Uretim** Fabrikalar ve tedarik zincirleri, operasyonel kesinti baskilari nedeniyle hedef alinmaktadir. **Kritik Altyapi** Enerji, ulasim ve kamu hizmetleri sektorleri hedef alinmaktadir. Cografi Odak - Kuzey Amerika: ABD, Kanada - Avrupa: Italya, Almanya, Fransa - Asya-Pasifik: Japonya, Guney Kore - Orta Dogu ve Afrika 2025-2026 Fidye Yazilimi Ekosistemi Baglaminda RansomHouse Kuresel Saldiri Artisi Fidye yazilimi sizdirma sitelerini izleyen takipciler, 2025 yilinda dunya genelinde 8.000'den fazla iddia edilen kurban kaydetmistir. Bu, 2023'e kiyasla yuzde 50'den fazla bir artisi temsil etmektedir. Yeni Gruplar ve Cesitlilik Cyble, 2025 yilinda 57 yeni fidye yazilimi grubu ve 27 yeni gasp grubu gozlemlemistir. RansomHouse, bu kalabalik alanda yerlesik ve sofistike bir operasyon olarak one cikmaktadir. Kurellesme Trendi Recorded Future, 2026'nin Rusya disinda faaliyet gosteren yeni fidye yazilimi aktorlerinin Rusya icerindekileri gectigi ilk yil olacagini ongormektedir. Bu, fidye yazilimi ekosisteminin hizli kurellesmeesini yansitmaktadir. Korunma Stratejileri ve Oneriler Sanalastirma Altyapisi Guvenligi **ESXi Sertlestirme** VMware ESXi sunucularinin guvenlik yapilandirmalarinin sertlestirilmesi kritik oneme sahiptir. **Yama Yonetimi** ESXi ve vCenter icin guncellemelerin hizla uygulanmasi gerekmektedir. **Erisim Kontrolu** Yonetim arayuzlerine erisimin sinirlandirilmasi ve MFA uygulanmasi onemlidir. Ag Guvenligi **Segmentasyon** Kritik sistemlerin ag segmentasyonu ile izole edilmesi gerekmektedir. **VPN Guvenligi** VPN cihazlarinin guncel tutulmasi ve guvenlik yaplandirmalarinin denetlenmesi onemlidir. **Izleme** Anormal ag trafiginin ve yanal hareketin izlenmesi icin NDR cozumleri kullanilmalidir. Veri Koruma **Yedekleme Stratejisi** Cevrimdisi ve degistirilemez yedeklerin olusturulmasi, 3-2-1 yedekleme kuralinin uygulanmasi gerekmektedir. **Veri Siniflandirma** Hassas verilerin siniflandirilmasi ve uygun koruma onlemlerinin alinmasi onemlidir. **DLP Cozumleri** Veri sizdirmayi onlemek icin DLP cozumlerinin uygulanmasi gerekmektedir. Olay Mudahale **Olay Mudahale Plani** Fidye yazilimi senaryolari icin ozel planlar hazirlanmalidir. **Forensik Yetenek** Olay sonrasi analiz icin forensik yeteneklerin gelistirilmesi onemlidir. **Iletisim Plani** Kriz iletisimi ve paydas bilgilendirme planlari hazirlanmalidir. Sonuc RansomHouse, 2021'den bu yana aktif olan ve surekli evrilen sofistike bir fidye yazilimi operasyonudur. Mario sifreleyicisinin getirdigi cok katmanli cift anahtar sifreleme mimarisi, grubun teknik yeteneklerini ortaya koymaktadir. VMware ESXi altyapisina odaklanma, sifreleme karmasikliginin arttirilmasi ve cift gasp taktiklerinin rafine edilmesi, RansomHouse'un modern fidye yazilimi tehditlerinin on saflarinda yer aldigini gostermektedir. Ocak 2026'da Warren County Sheriff's Office ve Luxshare gibi yuksek profilli kurbanlarin eklenmesi, grubun aktif durumunu ve tehdit seviyesini dogrulamaktadir. Organizasyonlar, ozellikle sanalastirma altyapisi guvenligi, ag segmentasyonu ve veri koruma alanlarinda kapsamli guvenlik onlemleri almalidir. Proaktif tehdit istihbarati, guclu yedekleme stratejileri ve olay mudahale yetenekleri, RansomHouse ve benzeri sofistike tehditlere karsi en etkili savunma yaklasimini olusturmaktadir....

FunkSec, Aralık 2024'te ortaya çıkan ve hızla dikkat çeken yeni bir fidye yazılımı grubudur. Kısa sürede medya, BT, perakende ve eğitim gibi çeşitli sektörlerde faaliyet gösteren kuruluşları hedef alarak siber güvenlik dünyasında önemli bir tehdit haline gelmiştir. Grubun Tarihçesi ve Kökenleri FunkSec, ilk olarak Aralık 2024'te siber suç forumlarında kendini tanıtmıştır. Grubun veri sızdırma sitesi (DLS) Eylül 2024'te oluşturulmuş olup, bu da grubun birkaç aydır hazırlık yaptığını göstermektedir. FunkSec, fidye yazılımı hizmeti sunan bir grup olarak tanımlanmaktadır. Kullanılan Teknikler ve Araçlar FunkSec, saldırılarında çift aşamalı şantaj yöntemini kullanmaktadır. Bu yöntemde, hem veriler şifrelenir hem de hassas bilgiler sızdırılmakla tehdit edilir. Grubun fidye yazılımı, Fernet algoritması gibi güçlü şifreleme yöntemleri kullanarak dosyaları erişilemez hale getirir. Ayrıca, çoklu iş parçacığı (multithreading) kullanarak şifreleme sürecini hızlandırır ve sistem genelinde hızlı bir yayılma sağlar. FunkSec, fidye notları oluşturarak kurbanları ödeme yapmaya zorlar ve masaüstü arka planını değiştirerek psikolojik baskı uygular. Hedefler ve Operasyon Alanı FunkSec, küresel ölçekte faaliyet göstermektedir. Amerika Birleşik Devletleri, Fransa, Hindistan ve diğer ülkelerdeki medya, BT, perakende ve eğitim sektörlerindeki kuruluşları hedef almıştır. Özellikle, İspanya'daki bir sivil toplum kuruluşu olan ABD (Asociación Bienestar y Desarrollo) ve Hindistan'daki QuizTarget platformu gibi çeşitli kuruluşlara saldırılar düzenlemiştir. İş Modeli ve Finansal Yapı FunkSec, fidye yazılımı hizmeti modeliyle çalışmaktadır. Kurbanlardan genellikle kripto para birimi cinsinden fidye talep ederler. Örneğin, İspanya'daki ABD kuruluşundan 5.000 dolar fidye talep etmişlerdir. Ayrıca, sızdırdıkları verileri karanlık web üzerinde satma veya ifşa etme tehdidiyle ek gelir elde etmeyi amaçlamaktadırlar. Kurbanlara Yaklaşım ve İletişim FunkSec, kurbanlarına fidye notları ve değiştirilmiş masaüstü arka planları aracılığıyla ulaşır. Bu notlarda, ödeme talimatları ve tehditler yer alır. Ayrıca, karanlık web üzerindeki veri sızdırma sitelerinde kurbanlarının bilgilerini yayınlayarak baskı uygularlar. Kurbanlarla iletişim genellikle anonim iletişim kanalları üzerinden gerçekleştirilir. Grubun Teknik Analizi FunkSec'in fidye yazılımı, çeşitli teknik özelliklere sahiptir: - **Dosya Şifreleme:** Fernet gibi güçlü şifreleme algoritmaları kullanarak geniş bir dosya yelpazesini şifreler. - **Çoklu İş Parçacığı Kullanımı:** Şifreleme sürecini hızlandırmak için çoklu iş parçacığı tekniğini kullanır, bu da sistem genelinde hızlı bir yayılma sağlar. - **Fidye Notları ve Psikolojik Baskı:** Şifreleme işlemi tamamlandıktan sonra fidye notları oluşturur ve masaüstü arka planını değiştirerek kurban üzerinde psikolojik baskı kurar. - **Kendi Kendine Kalıcılık:** Kendi varlığını sürdürmek ve tespitten kaçınmak için çeşitli teknikler kullanır. Yasal ve Güvenlik Perspektifi FunkSec'in faaliyetleri, uluslararası hukuk ve siber güvenlik standartlarına aykırıdır. Bu tür saldırılar, hem bireyler hem de kurumlar için ciddi yasal ve finansal sonuçlar doğurabilir. Güvenlik uzmanları, bu tür tehditlere karşı sürekli olarak yeni savunma mekanizmaları geliştirmektedir. Toplumsal ve Ekonomik Etkiler FunkSec'in saldırıları, hedef alınan kuruluşların operasyonlarını kesintiye uğratarak ekonomik kayıplara neden olur. Ayrıca, sızdırılan hassas veriler, bireylerin mahremiyetini tehlikeye atar ve toplumsal güveni sarsar. Grubun Medya ve Toplumdaki Yansıması FunkSec, medya tarafından yeni ve tehlikeli bir fidye yazılımı grubu olarak tanımlanmaktadır. Saldırıları, siber güvenlik topluluğunda endişe yaratmış ve çeşitli platformlarda tartışmalara yol açmıştır. Gelecek Öngörüleri FunkSec gibi fidye yazılımı gruplarının faaliyetlerinin önümüzdeki dönemde artarak devam etmesi muhtemeldir. Siber suçlular, yeni teknikler ve araçlar geliştirerek saldırılarını daha sofistike hale getirmektedir. Özellikle, hizmet olarak fidye yazılımı (RaaS) modelinin yaygınlaşması, daha fazla suçlunun bu tür saldırılara katılmasını kolaylaştırmaktadır. Ayrıca, Nesnelerin İnterneti (IoT) cihazlarının yaygınlaşmasıyla birlikte, fidye yazılımı saldırılarının yeni hedefleri haline gelmesi beklenmektedir. Uç ağ cihazlarındaki güvenlik açıkları, siber suçluların saldırılarına kapı açarak, işletmelerin ağlarına sızmalarına neden olabilir. Sonuç FunkSec, fidye yazılımı dünyasında yeni bir tehdit olarak ortaya çıkmıştır. Kullandıkları teknikler ve hedef aldıkları sektörler, siber güvenlik önlemlerinin önemini bir kez daha göstermektedir. Kurumlar ve bireyler, düzenli veri yedeklemeleri yapmalı, sistemlerini güncel tutmalı ve siber güvenlik farkındalığını artırmalıdır. Bu sayede, FunkSec ve benzeri grupların oluşturduğu tehditlere karşı daha dirençli bir yapı oluşturulabilir....

Stormous Ransomware Nedir? Stormous, 2022 yili baslarinda ortaya cikan ve kendini Rusya hukumetinin acik destekleyicisi olarak konumlandiran, Arapcla konusan bir fidye yazilimi grubudur. Ukrayna'yi cevreleyen jeopolitik gerilimler sirasinda Rus yanlis bir gundemle ABD ve Ukrayna'daki hedeflere siyasi motivasyonlu saldirilar gerceklestirmistir. Grup, siyasi motivasyonlu hedeflemeyi Ransomware-as-a-Service (RaaS) ticari dagitimiyla birlestiren hibrit bir saldiri stratejisi sergilemektedir. Cift gasp taktikleri kullanan Stormous, hassas verileri calarak ve kamusal sizdirma tehdidinde bulunarak kurbanlarini baskiya almaktadir. 2024-2026 doneminde 15'in uzerinde saldiri gerceklestiren grup, ozellikle konaklama, teknoloji, is hizmetleri, saglik ve hukumet sektorlerini hedef almistir. Tarihsel Gelisim ve Politik Bagllam 2022: Ortaya Cikis ve Politik Tutum Stormous fidye yazilimi ilk olarak 2022 baslarinda teshis edildi ve Ukrayna'yi cevreleyen jeopolitik gerilimler sirasinda Rusya hukumetine destegini acikca ilan ederek kendini hizla farklilastirdi. Arapcla konusan bir grup olarak, acik Rus yanlis gundemiyle ABD ve Ukrayna'daki hedeflere siyasi motivasyonlu saldirilar gerceklestirmistir. 2022-2024: RaaS Operasyonlarin Kurulmasi Grup, RaaS operasyonu yurutmekte ve cift gasp taktikleri kullanmaktadir. Bu donemde grup, teknik altyapisini gelistirdi ve affiliate agini genisletti. 2025: Aktif Saldiri Donemi Grup, en az 150 sirkete saldirdigi bilinmektedir ve genellikle ayda 10'dan az saldiri gerceklestirmektedir. Ancak Mayis 2025'te grup 15'ten fazla saldiri gerceklestirdi. En cok hedef alinan sektorler konaklama ve turizm, teknoloji, is hizmetleri, saglik ve hukumettir. En cok saldiriya ugrayan bes ulke Ispanya, ABD, Birlesik Arap Emirlikleri, Fransa ve Brezilya'dir. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2022-2026) - Toplam Bilinen Kurban: 150+ sirket - 2024-2026 Dogrulanmis Saldiri: 15+ - Tipik Aylik Saldiri: 10'dan az - Mayis 2025 Saldiri Sayisi: 15+ - Politik Tutum: Pro-Rusya - Dil: Arapcla Sektor Bazli Dagilim - Konaklama ve Turizm: %22 - Teknoloji: %20 - Is Hizmetleri: %18 - Saglik: %15 - Hukumet: %12 - Diger: %13 Cografi Dagilim - Ispanya: %25 - ABD: %22 - Birlesik Arap Emirlikleri: %18 - Fransa: %15 - Brezilya: %12 - Diger: %8 2025 Onemli Saldirilari Hy-Vee Atlassian Ihlali (Haziran 2025) 23 Haziran 2025'te Stormous, Hy-Vee'nin Atlassian altyapisini ihlal ettiginin sorumlulugunuu ustlendi. Confluence ve Jira hedef alindi. Ele gecirilen kimlik bilgileri StealC, Lumma ve Redline gibi zararli yazilimlar tarafindan calindi ve Stormous'a dahili sistemlere sizsma imkani tanidi. Fransiz Hukumeti (Mayis 2025) Tahmini saldiri tarihi 23 Mayis 2025 olan bu saldiri, grubun hukumet hedeflerine yonelik ilgisini gostermektedir. Volkswagen CarNet (Mayis 2025) Tahmini saldiri tarihi 31 Mayis 2025 olan bu saldiri, otomotiv sektorunun de hedef alindigini ortaya koymaktadir. Wizz Air (Nisan 2025) Tahmini saldiri tarihi 30 Nisan 2025 olan havacilik sektoru saldirisi. Diger 2025 Hedefleri - enersolcr.com (Mart 2025) - KYC UK (Mart 2025) North Country HealthCare Iddialari (Temmuz 2025) North Country HealthCare, 13 Temmuz 2025'te grubun veri sizdirma sitesinde listelendi. Ancak North Country HealthCare sorusturmasini tamamladi ve iddianin asılsız oldugunu ve hicbir ihlal gerceklesmedigi kesinlikle dogruladi. Cevrimici olarak yayinlanan verilerin uydurma oldugu tespit edildi. Bu vaka, Stormous'un bazen asılsız iddialar yapabilecegini ve sizdirilan verilerin fabricated olabilecegini gostermektedir. Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri **Hedefli Kimlik Avi (Spear-phishing)** Zararli belgeler veya baglantilar iceren hedefli kimlik avi kampanyalari. **Zafiyet Tarama** Yamasiz web hizmetleri, VPN'ler ve RDP endpoint'leri aktif olarak taranmaktadir. **Infostealer Kullanimi** SmokeLoader veya RedLine Stealer gibi emtia yukleyiciler, ana fidye yazilimi yurutulebilir dosyasini dagitmak icin yaygin olarak kullanilmaktadir. Hy-Vee saldirisinda StealC, Lumma ve Redline kullanildi. Cift Gasp Taktigi Stormous, standart cift gasp modelini uygulamaktadir: 1. Hassas verilerin sizdirmasi 2. Sistemlerin sifrelenmesi 3. Fidye talep edilmesi 4. Odeme yapilmazsa verilerin yayinlanmasi tehdidi MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing (spear-phishing) - T1190 - Exploit Public-Facing Application - T1133 - External Remote Services (VPN, RDP) - T1078 - Valid Accounts **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1204 - User Execution - T1106 - Native API **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores - T1539 - Steal Web Session Cookie (infostealer) **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery **Yanal Hareket (TA0008)** - T1021 - Remote Services - T1570 - Lateral Tool Transfer **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery Politik Motivasyon ve Hacktivizm Pro-Rusya Tutumu Stormous, acik Pro-Rusya tutumuyla diger fidye yazilimi gruplarından ayrilmaktadir. Ukrayna'yi cevreleyen jeopolitik gerilimler sirasinda bu tutum belirginlesmistir. Hibrit Yaklasim Grup, siyasi motivasyonlu hedeflemeyi RaaS ticari dagitimiyla birlestiren hibrit bir saldiri stratejisi sergilemektedir. Bu, hem ideolojik hem de finansal motivasyonlari oldugunu gostermektedir. Hedef Secimi ABD ve Ukrayna ile iliskili hedefler oncelikli olarak secilmektedir. Ancak grup, Ispanya, BAE, Fransa ve Brezilya gibi ulkeleri de hedef almakta ve finansal motivasyonun da onemli oldugunu gostermektedir. Infostealer Ekosistemi Entegrasyonu Kimlik Bilgisi Tedarik Zinciri Hy-Vee saldirisinda goruldugu gibi, Stormous infostealer ekosisteminden faydalanmaktadir: - **StealC**: Tarayici kimlik bilgileri ve oturum cerezleri - **Lumma**: Kapsamli veri toplama - **Redline**: Kripto cuzdan ve kimlik bilgileri Saldiri Akisi 1. Infostealer'lar kurban sistemlerinden kimlik bilgileri caliyor 2. Bu bilgiler karanlik web pazarlarinda satiliyor veya dogrudan kullaniliyor 3. Stormous, gecerli kimlik bilgileriyle hedef sistemlere erisim sagliyor 4. Yanal hareket ve veri sizdirma gerceklesiyor 5. Fidye yazilimi konuslandiriliyor Korunma Stratejileri ve Oneriler Infostealer Savunmasi Stormous'un infostealer kullanimi goz onune alindiginda: **Endpoint Guvenligi** - EDR cozumleri konuslandirin - StealC, Lumma, Redline tespiti icin guncel imzalar - Davranis analizi ve sandbox **Tarayici Guvenligi** - Parola yoneticileri kullanin (tarayici parola saklama yerine) - Oturum yonetimi ve timeout politikalari - Tarayici uzantisi beyaz listeleri Kimlik ve Erisim Yonetimi **MFA Zorunlulugu** Tum kurumsal hesaplarda ve ozellikle Atlassian, VPN ve RDP erisiminde MFA zorunlu kilinmalidir. **Kimlik Bilgisi Izleme** Sizdirilmis kimlik bilgileri icin dark web izleme hizmetleri kullanilmalidir. **Parola Politikalari** Guclu, benzersiz parolalar ve duzenli rotasyon. Zafiyet Yonetimi **Yama Onceliklendirme** VPN, RDP ve web hizmetleri icin kritik yamalar onceliklendirilmelidir. **Saldiri Yuzeyi Azaltma** Gereksiz dis erisim noktalarinin kapatilmasi. **Zafiyet Tarama** Duzenli zafiyet taramalari ve penetrasyon testleri. Atlassian Ozel Guvenligi Hy-Vee saldirisi goz onune alindiginda: - Confluence ve Jira erisim kontrollerini sertlestirin - Atlassian urunleri icin MFA zorunlu kilin - Atlassian loglarini izleyin - API erisimini sinirlandirin Tehdit Istihbarati - Stormous IOC'lerini guvenlik araclariniza entegre edin - Pro-Rusya grup aktivitesini izleyin - Infostealer ekosistemi trendlerini takip edin Gelecek Ongoruleri 2026 Trendleri 2025 yilinda yaklasik 6.500 fidye yazilimi olayiyla, son iki yilda %47'lik artis kaydedilmistir. Cyble, 2025 yilinda 57 yeni fidye yazilimi grubu ve 27 yeni gasp grubu gozlemlemistir. Bu yeni gruplar, fidye yazilimi ekonomisinin 2026'ya girerken nereye gittigini yansitmaktadir: daha hizli yeniden markalasma donguuleri, daha fazla kimlik bilgisi tabanli sizma zincirleri, platformlar arası sifreleme ve cift gaspın temel haline gelmesi. Stormous Devam Eden Tehdit Grubun hibrit politik-finansal motivasyonu, infostealer entegrasyonu ve RaaS modeli, 2026'da da aktif kalacagini gostermektedir. Sonuc Stormous, 2022'de ortaya cikan ve Pro-Rusya tutumu ile dikkat ceken hibrit bir fidye yazilimi grubudur. Siyasi motivasyonlu hedeflemeyi RaaS ticari modeliyle birlestiren grup, ozellikle ABD, Ispanya ve BAE'deki konaklama, teknoloji ve hukumet sektorlerini hedef almistir. Haziran 2025'teki Hy-Vee Atlassian ihlali, grubun infostealer ekosisteminden nasil faydalandigini gosteren onemli bir ornektir. StealC, Lumma ve Redline ile ele gecirilen kimlik bilgileri, kurumsal sistemlere erisim icin kullanilmistir. North Country HealthCare vakasi, grubun bazen asılsız iddialar yapabilecegini ve sizdirilan verilerin uydurma olabilecegini gostermektedir. Bu, kurbanların iddialari dikkatli degerlendirmesi gerektigini ortaya koymaktadir. Organizasyonlar, ozellikle infostealer savunmasi, kimlik yonetimi ve Atlassian guvenligi alanlarinda kapsamli onlemler almalidir. Proaktif tehdit istihbarati ve guclu kimlik dogrulama mekanizmalari, Stormous ve benzeri tehditlere karsi en etkili savunma yaklasimini olusturmaktadir....

Cloak Ransomware Nedir? Cloak, 2023 yilinin ortalarinda kamuya acik olarak ortaya cikan ve cift gasp modeliyle faaliyet gosteren bir siber suc fidye yazilimi grubudur. Babuk'tan turetilmis bir ARCrypter varyanti konuslandiran grup, guvenlik ve yedekleme hizmetlerini sonlandiran, golge kopyalari silen ve HC-128 ile Curve25519 anahtar uretimi gibi algoritmalr kullanan sifreli payload'lar yukleyen yukleyiciler araciligiyla saldirilarini yurutmektedir. Grup, Good Day fidye yazilimi grubuyla baglantili olduguna inanilmaktadir. Her iki operasyon da bir veri sizdirma platformunu paylasmaktadir - bu durum gasp kampanyalarında olasi isbirligi veya operasyonel ortusme oldugunu gostermektedir. 2024-2026 doneminde 13'un uzerinde saldiri gerceklestiren Cloak, ozellikle %91-96 gibi olaganustu yuksek bir odeme orani ile en etkili fidye yazilimi operasyonlarindan biri olarak kanitlamistir. Tarihsel Gelisim ve Evrim 2023: Ortaya Cikis Cloak, 2023 yilinin ortalarinda kamuya acik hale gelen bir siber suc fidye yazilimi grubudur. Grup, baslangictan itibaren cift gasp modelini benimsedi ve Avrupa'daki kucuk ve orta olcekli isletmeleri - ozellikle Almanya'dakiler - hedef almaya basladi. 2024: Genisleme Grup, 2024 yilinda Asya ulkelerine dogru genisleyerek hedef cografyasini artirdi. Saglik, BT, gayrimenkul, insaat, gida ve uretim gibi cesitli sektorlerde organizasyonlara saldirdi. 2025: Yuksek Profilli Saldirilar 2025 yilinda Cloak, Virginia Basavciligi Ofisi gibi yuksek profilli hedeflerle dikkat cekti. Bu saldiri, grubun 2025'teki ilk dogrulanmis saldirisi oldu. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2023-2026) - Toplam Dogrulanmis Saldiri: 13+ - Odeme Orani: %91-96 (olaganustu yuksek) - Affiliate Kar Payi: 85/15 (affiliate/Cloak) - Teknik Temel: Babuk turevli ARCrypter - Sifreleme: HC-128 + Curve25519 Sektor Bazli Dagilim - Is Hizmetleri: 21 kurban - Teknoloji: 10 kurban - Saglik: 8 kurban - Uretim: 6 kurban - Ulasim/Lojistik: 5 kurban - Diger sektorler: Gayrimenkul, insaat, gida Cografi Dagilim - ABD: 38 kurban - Almanya: 35 kurban - Ingiltere: 10 kurban - Kanada: 7 kurban - Fransa: 4 kurban - Asya ulkeleri: Genisleme bolgeleri Fidye Talep Evrimi Fidye talepleri, grup daha buyuk ve daha karli hedeflere yoneldikce bes haneli orta seviyelerden alti ve hatta yedi haneli yuksek meblağlara tirymanmistir. 2025 Onemli Saldirilari Virginia Basavciligi Ofisi (Mart 2025) 20 Mart'ta Cloak, Virginia Basavciligi Ofisini Tor tabanli sizdirma sitesine ekledi ve iddialara gore calinan verileri indirmeye acik hale getirdi - bu, basarisiz bir gasp girisimini gostermektedir. Bu olay, Cloak'in 2025'teki ilk dogrulanmis saldirisini isaretlemektedir. - Virginia Basavciligi Ofisi BT sistemleri kesintiye ugratildi - 134 GB veri sizdirild ve Cloak'in Tor sizdirma sitesinde listelendi Asya Hukumet Emeklilik Departmani (Haziran 2025) Cloak Ransomware, 27 Haziran 2025'te Asya'da emeklilik isleyen bir hukumet departmanina saldirdi. Ele gecirilen veriler hakkında spesifik detaylar aciklanmamis olsa da, emeklilik odemeleri yonetiminden sorumlu bir hukumet kurumuna yapilan saldiri, kamu refahi ile baglantili finansal sistemlerin guvenligi konusunda ciddi endiseler uyandirmaktadir. Bahreyn Organizasyonu (Agustos 2025) 9 Agustos 2025'te fidye yazilimi grubu Cloak, Bahreyn merkezli bir organizasyona basarili bir siber saldiri duyurdu. Saldirganlar, talepleri karsilanmadigi takdirde hassas verileri yayinlamakla tehdit etti. Fitzpatrick Hotels (Aralik 2025) 30 Aralik 2025'te kotu sohretli fidye yazilimi grubu Cloak, ABD konaklama sektorunun onde gelen oyuncularindan Fitzpatrick Hotels'e karsi onemli bir siber saldirinin sorumlulugunuu ustlendi. Diger 2025 Kurbanlari - Bosshard-Farben AG (Isvicre boya sirketi, Nisan 2025) - wr-recht.de (Alman hukuk danismanlik firmasi, Mart 2025) - Baltimore City Devlet Okullari (Mart 2025) - Waggoner Engineering (Subat 2025) Teknik Altyapi ve Saldiri Metodolojisi Fidye Yazilimi Ozellikleri **ARCrypter Varyanti** Cloak, Babuk'tan turetilmis bir ARCrypter varyanti konuslandirmaktadir. **Sifreleme Algoritmalari** - HC-128 stream cipher - Curve25519 anahtar uretimi **Payload Dagitimu** Yukleyiciler araciligiyla dagitim: - Guvenlik hizmetlerini sonlandirir - Yedekleme hizmetlerini sonlandirir - Golge kopyalari siler - Sifreli payload'lari yukler Ilk Erisim Vektorleri Cloak fidye yaziliminin arkasindaki tehdit aktorlerinin, Russian Market gibi unlu yeralti pazarlarindan tehdit aktorlerinden erisim satin aldigi dusunulmektedir. Operasyonlari, ag sizmasi icin sunlari kullandigi raporlanmaktadir: - Ilk erisim broker'lari (IAB) - Kimlik avi - Kotu amacli reklamcilik (malvertising) - Exploit kit'leri Affiliate Modeli Grup, yeralti forumlarinda affiliate'lere %85/15 kar paylasim modeli sunmaktadir ve katilmak icin on odeme gerektirmemektedir. Odemeyi reddeden kurbanlar, Cloak'in sizdirma sitesinde calinan verilerin kamuya yayinlanmasiyla cift gasp ile karsi karsiya kalmaktadir. MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing - T1189 - Drive-by Compromise (exploit kit'ler) - T1078 - Valid Accounts (IAB'lardan) - T1133 - External Remote Services **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API - T1129 - Shared Modules **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses (guvenlik hizmetleri sonlandirma) - T1070 - Indicator Removal - T1490 - Inhibit System Recovery (golge kopya silme) **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Good Day Ransomware Baglantisi Platform Paylasimi Cloak, Good Day fidye yazilimi grubuyla baglantili olduguna inanilmaktadir. Her iki operasyon da bir veri sizdirma platformunu paylasmaktadir - bu durum gasp kampanyalarında olasi isbirligi veya operasyonel ortusme oldugunu gostermektedir. Ortak Altyapi Etkileri Bu baglanti, her iki grubun: - Ortak kaynak ve altyapi kullanimi - Bilgi ve teknik paylasimi - Koordineli hedefleme - Paylasilan affiliate agi olabilecegini gostermektedir. Yuksek Odeme Orani Analizi %91-96 Basari Cloak, olaganustu yuksek bir odeme orani ile en etkili fidye yazilimi operasyonlarindan biri olarak kanitlamistir. Bu basarinin muhtemel nedenleri: **Hedef Secimi** Odeme yapma kapasitesi ve motivasyonu yuksek hedefler secilmektedir. **Veri Kalitesi** Ele gecirilen verilerin hassasiyeti ve degeri yuksektir. **Profesyonel Muzakere** Grup, etkili fidye muzakere teknikleri kullanmaktadir. **Cift Gasp Baskisi** Veri sizdirma tehdidi, odeme baskisini artirmaktadir. Korunma Stratejileri ve Oneriler Ilk Erisim Broker Savunmasi Cloak'in IAB'lardan erisim satin aldigina dair bilgiler goz onune alindiginda: **Kimlik Bilgisi Izleme** - Dark web'de kurumsal kimlik bilgilerini izleyin - Sizdirilmis kimlik bilgileri icin uyarilar yapilandirin - Compromised credential tespit hizmetleri kullanin **Erisim Kontrolu** - MFA tum hesaplarda zorunlu kilin - Sifir guven yaklasimi benimseyin - Ayricalikli hesap yonetimi uygulayin Endpoint Guvenligi **Guvenlik Hizmeti Koruma** Cloak'in guvenlik hizmetlerini sonlandirdigi goz onune alindiginda: - Tamper protection etkinlestirin - Guvenlik servisi sonlandirma girisimlerni izleyin - EDR cozumlerini sertlestirin **Golge Kopya Koruma** - Volume Shadow Copy Service'i koruyun - Golge kopya silme girişimlerini tespit edin - Ek kurtarma mekanizmalari uygulayin Yedekleme Stratejisi **Degistirilemez Yedekler** Cloak'in yuksek odeme orani goz onune alindiginda, guclu yedekleme stratejisi kritiktir: - Cevrimdisi ve degistirilemez yedekler - 3-2-1-1 yedekleme kurali - Duzenli kurtarma testleri - Yedeklerin ag segmentasyonu ile izolasyonu Malvertising ve Exploit Kit Savunmasi **Tarayici Guvenligi** - Reklam engelleyiciler - Tarayici guncellemeleri - Script engelleme **Ag Guvenligi** - Web filtreleme - DNS guvenligi - IPS/IDS cozumleri Tehdit Istihbarati - Good Day ve Cloak IOC'lerini izleyin - Babuk/ARCrypter varyantlarini izleyin - Russian Market gibi pazarlari izleyen istihbarat kaynaklari kullanin Sonuc Cloak, 2023'te ortaya cikan ve %91-96 gibi olaganustu yuksek odeme oraniyla en etkili fidye yazilimi operasyonlarindan biri olarak kanıtlanan tehlikeli bir gruptur. Babuk turevli ARCrypter varyanti, Good Day grubuyla platform paylasimi ve ilk erisim broker'larindan erisim satın alma pratigi, grubun sofistike bir operasyon yuruttugunuu gostermektedir. Mart 2025'teki Virginia Basavciligi Ofisi saldirisi ve Aralik 2025'teki Fitzpatrick Hotels saldirisi, grubun hem kamu hem de ozel sektoru hedef aldigini ortaya koymaktadir. ABD ve Almanya en cok hedef alinan ulkeler olup, grup Asya'ya dogru genislemektedir. Organizasyonlar, ozellikle kimlik bilgisi izleme, guvenlik hizmeti koruma ve yedekleme stratejileri alanlarında kapsamli onlemler almalidir. Cloak'in yuksek odeme orani, proaktif onlemlerin kritik onemini vurgulamaktadir - cunku saldiri gerceklestikten sonra kurtarma maliyetli ve zor olabilir....

Giriş Avaddon Ransomware, bilgisayar sistemlerini hedefleyen ve çeşitli protokoller ile saldırı gerçekleştiren bir fidye yazılımı grubudur. Tarihçe Avaddon Ransomware'nin tarihi, 2020 yılına kadar uzanmaktadır. 2020 yılının başında bilinmeyen bir hacker grubu tarafından yayılmaya başladığı düşünülmektedir. Teknik Özellikler Bu yazılım, bir ransomware olarak Trojan.VBCrypt cinsinden bir malwaredir. Sisteminize bulaştıktan sonra verilerinizi şifreler ve daha sonra verilerinizi geri almanız için fidye talep eder. İşleyiş Avaddon Ransomware, şüpheli e-postalar ve linkler aracılığıyla yayılır. Bir kez bir sistemde, bu fidye yazılımı hızla çalışır ve kullanıcının erişilebilir dosyalarını şifreler. Etki Alanı Bu fidye yazılımı, küresel bir tehdittir ve tüm dünyada birçok organizasyonu hedef almıştır. İstatistikler 2020'den günümüze kadar, binlerce organizasyon ve birey, Avaddon Ransomware tarafından hedef alındı ve milyonlarca dolar zarar gördü. Neden Tehlikelidir? Avaddon Ransomware, sadece verileri şifrelemekle kalmaz, aynı zamanda bu verileri internette sızdırabilir, bu da maddi zararın yanı sıra ciddi itibar hasarına neden olabilir. Genel Hedefleri Bu grup, genellikle büyük ölçekli organizasyonları ve hükümet kurumlarını hedefler, ancak küçük işletmeler ve bireysel kullanıcılar da risk altındadır. Saldırı Taktikleri Avaddon Ransomware, phishing ve spear-phishing saldırıları, sahte yazılım güncellemeleri ve açık kaynaklı yazılım araçlarını kullanıyor. Önemli Olaylar 2021'de Avaddon Ransomware, ABD'deki bir sigorta şirketinin verilerini şifreleyerek 1 milyon dolar fidye talep etti. Korunma Yolları Avaddon Ransomware'dan korunmak için, güvenliğinizi artırmalı ve spam e-postaları dikkatlice incelemeli, bilinmeyen linklere tıklamamalı ve güvende olmayan web sitelerinden indirme yapmamalısınız....

Giriş Son yıllarda siber güvenlik alanında dikkat çeken tehditlerden biri de BlackByte ransomware olmuştur. Siber korsanların favori araçlarından biri haline gelen bu ransomware, kurumları ve bireyleri hedef alarak ciddi zararlara yol açmaktadır. Grubun Tarihçesi ve Kökenleri BlackByte ransomware, ilk olarak 2021 yılında tespit edilmiş bir fidye yazılımıdır. Kökeni tam olarak bilinmese de, çeşitli raporlar grubun Doğu Avrupa kökenli olabileceğine işaret etmektedir. Kullanılan Teknikler ve Araçlar BlackByte, genellikle phishing saldırıları ve zararlı yazılım yükleyen e-posta ekleri aracılığıyla dağıtılır. Sisteme sızdıktan sonra, dosyaları şifreleyerek kurbanlarını fidye ödemeye zorlar. AES ve RSA şifreleme algoritmalarını kullanarak verileri kilitleyebilir. Hedefler ve Operasyon Alanı Bu ransomware, özellikle büyük şirketleri ve kamu sektörü kurumlarını hedef alır. Ağırlıklı olarak finans, sağlık ve eğitim sektörlerinde faaliyet gösteren kuruluşlar tehdit altındadır. İş Modeli ve Finansal Yapı BlackByte, genellikle 'Ransomware as a Service' (RaaS) modelini benimser. Bu model sayesinde, siber suç ekosistemindeki diğer aktörler de bu kötü amaçlı yazılımı kullanabilmekte ve kar paylaşımı yapmaktadırlar. Kurbanlara Yaklaşım ve İletişim Grup, genellikle kurbanlarına ödeme yapmaları durumunda verilerini geri alma sözü verir. Ancak, ödeme yapıldıktan sonra verilerin geri verilip verilmeyeceği her zaman belirsizdir. Grubun Teknik Analizi BlackByte yazılımı, sürekli olarak geliştirilmekte ve yeni savunma mekanizmalarını aşmak için yenilenmektedir. Bu durum, güvenlik uzmanları için sürekli bir tehdit oluşturur. Yasal ve Güvenlik Perspektifi Hükümetler ve güvenlik firmaları, BlackByte gibi tehditlere karşı daha etkili yasal düzenlemeler ve savunma stratejileri geliştirmek için çalışmaktadır. Toplumsal ve Ekonomik Etkiler Ransomware saldırıları, şirketlerin faaliyetlerini durdurabilir ve ekonomik kayıplara neden olabilir. Aynı zamanda, fidye ödemeleri siber suçları teşvik ederek daha büyük bir güvenlik sorununun ortaya çıkmasına yol açabilir. Grubun Medya ve Toplumdaki Yansıması Medya, BlackByte gibi grupların faaliyetlerini büyük bir tehdit olarak sıkça dile getirmekte ve toplumsal farkındalık yaratmaya çalışmaktadır. Gelecek Öngörüleri Siber güvenlik uzmanları, ransomware saldırılarının gelecekte daha da sofistike hale geleceğini ve bu tür tehditlere karşı yeni savunma yöntemleri geliştirilmesi gerektiğini vurgulamaktadır. Sonuç BlackByte, dünya genelinde birçok kuruluş için ciddi bir tehdit oluşturmaya devam ediyor. Kurumların, bu tür tehditlere karşı daha hazırlıklı olmaları ve güvenlik önlemlerini artırmaları gerekmektedir....

Sarcoma Ransomware Nedir? Sarcoma, Ekim 2024'te ortaya cikan ve ilk ayinda 31 saldiri gerceklestirerek kuresel fidye yazilimi siralamasinda ucuncu siraya hizla yukselen agresif bir tehdit aktorudur. Yil sonuna kadar 58 saldiriya ulasan ve 2025 ortasina kadar 116'yi asan kurban sayisiyla grup, fidye yazilimi ekosisteminin en hizli buyuyen oyuncularindan biri haline gelmistir. Grup, secici affiliate alimi ile hibrit bir RaaS (Ransomware-as-a-Service) modeli uzerinden faaliyet gostermektedir. "Living Off the Land Remotely" taktiklerine onculuk eden Sarcoma, zararli aktiviteyi normal BT operasyonlariyla harmanlamak icin mesru Uzaktan Izleme ve Yonetim (RMM) araclarini silah olarak kullanmaktadir. 2024-2026 doneminde 18'in uzerinde dogrulanmis saldiri gerceklestiren grup, ozellikle orta olcekli sirketleri hedef almaktadir. Tarihsel Gelisim ve Hizli Yukselis Ekim 2024: Patlayici Baslangic Sarcoma, Ekim 2024'te sahneye cikti ve ilk ayinda 31 saldiri gerceklestirerek kuresel fidye yazilimi siralamasinda ucuncu siraya hizla yerlesti. Bu patlayici baslangic, grubun iyi organize ve kaynak acisidan zengin oldugunu gostermektedir. 2024 Sonu: Buyume Yil sonuna kadar grup, toplam 58 saldiriya ulasti. Bu hizli buyume, grubun operasyonel kapasitesini ve affiliate aginin genisligini ortaya koymaktadir. 2025: Devam Eden Tehdit 2025 ortasina kadar 116'yi asan belgelenmiş kurban sayisiyla grup, tam operasyonel durumunu surdurmektedir. Ekim 2025 itibariyle 100'den fazla belgelenmiş kurbana ragmen sifir hukumet uyarisi veya kolluk kuvvetleri eylemi bulunmaktadir. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2024-2026) - Ilk Ay Saldiri Sayisi: 31 - 2024 Sonu Toplam: 58 - 2025 Ortasi Toplam: 116+ - Fidye Talep Evrimi: Bes haneli ortadan 1 milyon dolar+ (Q2 2025) - Hedef Profili: Orta olcekli sirketler (1-10 milyon USD gelir) Sektor Bazli Dagilim - Uretim: 27 kurban - Is Hizmetleri: 12 kurban - Tarim ve Gida Uretimi: 7 kurban - Teknoloji: 7 kurban - Ulasim/Lojistik: 6 kurban Cografi Dagilim - ABD: 28 kurban - Italya: 14 kurban - Kanada: 12 kurban - Almanya: 12 kurban - Avustralya: 7 kurban Q3 2025 Aktivitesi Q3 2025, esit ABD ve Almanya hedeflemesiyle en az 15 saldiri gosterdi. Eylul ayinda Almanya'da koordineli saldirilar gerceklestirildi. Onemli 2025 Saldirilari Unimicron Saldirisi (Ocak 2025) 30 Ocak 2025'te Unimicron'un yan kurulsu Unimicron Technology (Shenzhen) Corp. bir fidye yazilimi saldirisina ugradi. Sarcoma fidye yazilimi grubu, 377 GB SQL dosyasi ve belge caldigini iddia ederek sorumlulugu ustlendi. Fidye talepleri karsilanmazsa verileri kamuya aciklamakla tehdit ettiler. Unimed RS Brezilya Saldirisi (Ekim 2025) Axur'un arastirma ekibi, Sarcoma fidye yazilimi grubu tarafindan iddia edilen Brezilyali saglik saglayicisi Unimed RS'ye ait 2,8 terabyte verinin dark web forumlarinda yayinlandigini dogruladi. - Saldiri Tarihi: 5 Ekim 2025 - Sorumluluk Iddialari: 15 Ekim 2025 - Sizdirilan Veri: 2,8 TB - Iceriks: SQL veritabanlari ve kimlik belgesi gorselleri Teknik Altyapi ve Saldiri Metodolojisi Living Off the Land Remotely (LOTLR) Sarcoma, zararli aktiviteyi normal BT operasyonlariyla harmanlamak icin mesru Uzaktan Izleme ve Yonetim (RMM) araclarini silah olarak kullanarak "Living Off the Land Remotely" taktiklerine onculuk etmektedir. Bu yaklasim: - Tespit atlatmayi kolaylastirir - Mesru BT trafigine karisir - Anomali tespitini zorlastirir - Guvenlik araclarini atlatir Ilk Erisim Vektorleri Sarcoma saldirilari asagidakileri icermektedir: **Kimlik Avi E-postalari (T1566)** Hedefli kimlik avi kampanyalari ile zararli ekler veya baglantilar. **N-Day Zafiyet Istismari (T1190)** Bilinen ancak yamanmamis zafiyetlerin istismari. **Tedarik Zinciri Izinsiz Girisleri (T1199)** Tedarik zinciri iliskileri uzerinden hedef organizasyonlara erisim. Cift Gasp Stratejisi Sarcoma, veri sifrelemeyi kamusal sizdirma tehdidiyle birlestirerek kripto para biriminde fidye odemeleri icin baski yapan "cift gasp" stratejisi kullanmaktadir: 1. Hassas verilerin sizdirmasi 2. Sistemlerin sifrelenmesi 3. Fidye talebi (kripto para) 4. Odeme yapilmazsa verilerin yayinlanmasi tehdidi MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing - T1190 - Exploit Public-Facing Application (n-day) - T1199 - Trusted Relationship (tedarik zinciri) - T1078 - Valid Accounts **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1072 - Software Deployment Tools (RMM araclari) - T1219 - Remote Access Software **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution - T1133 - External Remote Services **Savunma Atlatma (TA0005)** - T1036 - Masquerading (mesru RMM araclari) - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery **Yanal Hareket (TA0008)** - T1021 - Remote Services - T1570 - Lateral Tool Transfer - T1072 - Software Deployment Tools **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Hedef Profili: Orta Olcekli Sirketler "Big Game Hunting" Yerine Orta Olcek "Big Game Hunting" - yuksek profilli veya yuksek gelirli organizasyonlari hedefleme - yerine, Sarcoma tipik olarak 1 milyon ile 10 milyon USD arasinda geliri olan orta olcekli sirketlere odaklanmaktadir. Bu Stratejinin Avantajlari - Daha zayif guvenlik altyapisi - Daha hizli odeme kararlari - Daha az medya dikkati - Daha dusuk kolluk kuvvetleri riski - Daha kolay muzakere surecleri Kolluk Kuvvetleri Durumu Sifir Eylem Ekim 2025 itibariyle, 100'den fazla belgelenmiş kurbana ragmen: - Sifir hukumet uyarisi - Sifir kolluk kuvvetleri eylemi - Grup tam operasyonel durumda Bu durum, grubun operasyonel guvenliginin etkili oldugunu veya kolluk kuvvetlerinin kaynaklarinin sinirli oldugunu gosteriyor olabilir. Korunma Stratejileri ve Oneriler RMM Araci Guvenligi Sarcoma'nin LOTLR taktikleri goz onune alindiginda: **RMM Kullanimi Izleme** - Mesru RMM araclarinin kullanim kaliplarini izleyin - Yetkisiz RMM araci kurulumlarini tespit edin - RMM trafik anormalliklerini izleyin **Beyaz Liste** - Yalnizca onaylanmis RMM araclarına izin verin - Diger RMM araclarini engelleyin - RMM erisim kontrollerini sertlestirin Tedarik Zinciri Guvenligi Tedarik zinciri izinsiz girisleri goz onune alindiginda: - Ucuncu taraf risk degerlendirmesi yapin - Yuklenici erisimini sinirlandirin ve izleyin - Tedarikci guvenlik gereksinimlerini sozlesmelerde belirleyin N-Day Zafiyet Yonetimi **Hizli Yamalama** Bilinen zafiyetler icin yamalari hizla uygulayin. **Zafiyet Tarama** Duzenli zafiyet taramalari yapin. **Risk Onceliklendirme** Aktif olarak istismar edilen zafiyetleri onceliklendirin. Orta Olcekli Sirketler Icin Oneriler Sarcoma'nin hedef profili goz onune alindiginda, orta olcekli sirketler: - Guvenlik butcelerini yeniden degerlendirmeli - Yonetilen guvenlik hizmetleri (MSSP) dusunmeli - Olay mudahale planları hazirlamali - Siber sigorta seceneklerini degerlendirmeli Genel Guvenlik Onlemleri **Endpoint Guvenligi** - EDR cozumleri konuslandirin - RMM araci davranislarini izleyin **Ag Guvenligi** - Segmentasyon uygulayin - Yanal hareket tespiti **Veri Koruma** - Cevrimdisi ve degistirilemez yedekler - 3-2-1 yedekleme kurali Gelecek Ongoruleri Devam Eden Buyume Ilk ayinda 31 saldiridan 2025 ortasinda 116+ kurbana ulasan buyume, Sarcoma'nin 2026'da da genislemesini gostermektedir. Fidye Talep Artisi Fidye taleplerinin bes haneli ortadan 1 milyon dolar+ aralığina tirymanmasi, grubun daha buyuk hedeflere yonelebilecegini gostermektedir. LOTLR Taktiklerinin Yayginlasmasi Sarcoma'nin onculuk ettigi LOTLR taktikleri, diger gruplar tarafindan da benimsenmesi muhtemeldir. Sonuc Sarcoma, Ekim 2024'te ortaya cikan ve ilk ayinda ucuncu siraya yukselerek fidye yazilimi ekosisteminde siradisi bir giris yapan tehlikeli bir tehdit aktorudur. "Living Off the Land Remotely" taktiklerine onculuk etmesi ve orta olcekli sirketlere odaklanmasi, grubun stratejik yaklasimini ortaya koymaktadir. Ocak 2025'teki Unimicron (377 GB) ve Ekim 2025'teki Unimed RS (2,8 TB) saldirilari, grubun buyuk hacimli veri sizdirma kapasitesini gostermektedir. 100'den fazla kurbana ragmen sifir kolluk kuvvetleri eylemi, grubun operasyonel guvenliginin etkili oldugunu ortaya koymaktadir. Organizasyonlar, ozellikle RMM araci guvenligi, tedarik zinciri risk yonetimi ve n-day zafiyet yonetimi alanlarında kapsamli onlemler almalidir. Orta olcekli sirketler, Sarcoma'nin birincil hedef profili olarak ozellikle dikkatli olmalidir....

The Gentlemen Ransomware Nedir? The Gentlemen, 2025 yilinin ucuncu ceyreginde ortaya cikan ve kisa surede en agresif siber suc operasyonlarindan biri haline gelen bir fidye yazilimi grubudur. Windows, Linux ve ESXi ortamlarini hedefleyen grup, Ransomware-as-a-Service (RaaS) modeli ile calismakta ve cift gasp stratejisi uygulamaktadir. Grup adi, incelikli ve profesyonel bir gorunum vermeye calisan ancak son derece tehlikeli bir siber suc orgutunu yansitmaktadir. Ilk gozlemlerden bu yana 17 ulkede 30'dan fazla kurban iddia eden grup, hizli yukselisi ve gelismis arac setiyle dikkat cekmektedir. Tarihsel Gelisim 2025: Ortaya Cikis ve Hizli Yukselis The Gentlemen fidye yazilimi grubu ilk olarak Temmuz 2025'te siber suc sahnesinde gozlemlendi. Ancak arastirma kanitlari, operasyonlarin yilin basinda basladigini gostermektedir. Grubun onceki tarihcesinin olmamasi ve bu kadar kisa surede yuksek kurban sayisina ulasmasi, iki olasiliga isaret etmektedir: deneyimli fidye yazilimi operatorlerinin yeniden markalanmasi veya iyi finanse edilmis yeni bir suc ekibi. Temmuz 2025'te sizinti sitesinde 48 kurban listelendi. Grup, yeni ve son derece yetenekli fidye yazilimi varyantlari yayinlamaya devam etmektedir. 2025 Sonbahari: Olgunlasma Donemi Eylul-Kasim 2025 doneminde grup, Win/Linux/ESXi locker varyantlarinda onemli guncellemeler yayinladi. Bu guncellemeler, gelismis otomasyon, kalicilik ve sifreleme performansi icermektedir. 2026: Devam Eden Tehdit Ocak 2026'da grup aktif olarak faaliyetlerine devam etmektedir. 31 Ocak 2026'da kesfedilen kurbanlar arasinda Lawsoft, Hydrometrics ve Roben Tonbaustoffe GmbH yer almaktadir. 2025-2026 Saldiri Istatistikleri The Gentlemen, kisa surede etkileyici rakamlar kaydetti: - Toplam Kurban (Son 6 Ay): 137 - Sizinti Sitesi Kurbani: 48+ - Hedeflenen Ulke Sayisi: 17 - En Fazla Hedeflenen Sektor: Uretim (16) - Ikinci En Fazla Hedeflenen Sektor: Teknoloji (14) - Ucuncu En Fazla Hedeflenen Sektor: Saglik (10) Hedef Sektorler The Gentlemen belirli sektorlere yogunlasmaktadir: - Uretim: 16 kurban - Teknoloji: 14 kurban - Saglik: 10 kurban - Finans Hizmetleri: 9 kurban - Egitim: 6 kurban - Insaat: Yuksek hedefleme - Sigorta: Yuksek hedefleme Cografi Dagilim The Gentlemen'in hedefledigi ulkeler: - ABD: 11 kurban (birincil hedef) - Brezilya: 7 kurban - Tayland: 6 kurban - Fransa: 5 kurban - Endonezya: 4 kurban - Asya-Pasifik: Yogun hedefleme Grup, Rusya ve BDT ulkelerinde calismayi yasaklamistir. RaaS Operasyon Modeli Platform Ozellikleri The Gentlemen, cesitli siber suc forumlarinda gelismis bir RaaS cozumu olarak tanitilmaktadir. Platform, cesitli saldiri senaryolarina uyarlanmis yuksek yapilandirma ozellikleri sunmaktadir. RaaS programi, guclu teknik yetenekleriyle is ortaklarini cekmektedir. Fidye yazilimi, gelismis sifreleme teknikleri ve dinamik yayilma seceneklerini birlestirerek operatorlerin Windows, Linux ve ESXi platformlarini hedeflemesine olanak tanimaktadir. Coklu Platform Destegi The Gentlemen, kapsamli platform destegi sunmaktadir: - Windows - Linux - BSD - NAS - ESXi Kompakt ve verimli binary'ler kullanilarak genis ortam uyumlulugu saglanmaktadir. Gelismis Ozellikler 2025 sonbaharinda yayinlanan guncellemeler, onemli iyilestirmeler icermektedir: - Otomatik yeniden baslatma (boot-on-run) - Gizli yurutme icin sessiz mod - Cikarilabilir ve eslenmis suruculerin sifrelenmesi - WMI, SCHTASKS, SC ve PowerShell Remoting ile gelismis yayilma Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri The Gentlemen, cesitli ilk erisim yontemleri kullanmaktadir: FortiGate Istismari: Internete dogrudan erisimi olan FortiGate sunuculari giris noktasi olarak hizmet etmektedir. Ele gecirilmis yonetici kimlik bilgileri ag erisimini saglamaktadir. Internet-Facing Hizmetler: Kamuya acik uygulamalarin istismari ile ilk erisim elde edilmektedir. MITRE ATT&CK Eslestirmesi Ilk Erisim (TA0001): - T1190 - Exploit Public-Facing Application (FortiGate sunuculari) Kesif (TA0007): - T1046 - Network Service Scanning (Nmap) - T1087.002 - Domain Account Discovery (60+ kullanici hesabi sorgulama) - T1482 - Domain Trust Discovery (Active Directory kesfi) - T1018 - Remote System Discovery Savunma Atlatma (TA0005): - T1562.001 - Disable or Modify Tools (All.exe, Allpatch2.exe) - T1014 - Rootkit (ThrottleBlood.sys driver istismari) - T1112 - Modify Registry (kimlik dogrulama protokollerini zayiflatma) - T1562.004 - Disable or Modify System Firewall (RDP etkinlestirme, guvenlik duvari kurallari) Yanal Hareket (TA0008): - T1021.002 - Remote Services: SMB/Windows Admin Shares (PsExec) - T1021.001 - Remote Services: Remote Desktop Protocol Kalicilik (TA0003): - T1219 - Remote Access Software (AnyDesk) - Boot-on-run otomatik yeniden baslatma Sizdirma (TA0010): - WinSCP ile sifrelenmis veri sizdirma - Sifrelenmis kanallar uzerinden operasyonel guvenlik Etki (TA0040): - T1486 - Data Encrypted for Impact - T1489 - Service Stop (80+ surec sonlandirma) - T1490 - Inhibit System Recovery (golge kopya silme) - T1070 - Indicator Removal (RDP log'lari, Prefetch dosyalari, Geri Donusum Kutusu) Kullanilan Arac Seti Keşif ve Ag Haritalama: - Advanced IP Scanner: Ag taramasi - Nmap: Dahili ag haritalama ve hizmet numaralandirma - Batch script'ler: Domain kullanici hesabi sorgulama Savunma Atlatma ve Ayricalik Yukseltme: - All.exe / ThrottleBlood.sys: Driver tabanli surec sonlandirma - Allpatch2.exe: Ozellestrilmis guvenlik ajani sonlandirma - PowerRun.exe: Ayricalik yukseltme Yanal Hareket: - PsExec: SMB tabanli yanal hareket - WMI: Uzaktan komut yurutme - PowerShell Remoting: Ag genelinde yayilma - SCHTASKS: Zamanlanmis gorev olusturma - SC (Service Control): Hizmet kontrolu Sizdirma: - WinSCP: Sifrelenmis veri sizdirma Uzaktan Erisim: - AnyDesk: C2 sunucusu ve kalici uzaktan erisim BYOVD Teknigi The Gentlemen'in en endise verici yeniliklerinden biri, ThrottleStop.sys driver'inin (ThrottleBlood.sys olarak yeniden adlandirilmis) istismaridir. Bu legitim, imzalanmis driver, saldirganların kernel duzeyi ayricaliklari elde etmesine izin veren CVE-2025-7771 zafiyetini icermektedir. Bu BYOVD (Bring Your Own Vulnerable Driver) teknigi, guvenlik yazilimi sureclerini sonlandirmayi mumkun kilmaktadir. All.exe araci ve gelistirilmis surumu Allpatch2.exe, antivirusve EDR cozumlerini kernel duzeyinde etkisiz hale getirmek icin bu zafiyeti istismar etmektedir. Sifreleme Detaylari The Gentlemen, guclu hibrit kriptografi kullanmaktadir: - Simetrik Sifreleme: XChaCha20 - Anahtar Degisimi: Curve25519 - Anahtar Uretimi: Her dosya icin benzersiz gecici anahtar - Dosya Uzantisi: .7mtzhh (alti karakterli) - Fidye Notu: README-GENTLEMEN.txt Yurutme icin "--password" parametresi (8-byte anahtar) zorunludur. Istege bagli "--path" parametresi ozel sifreleme hedefleri icin kullanilabilmektedir. On-Sifreleme Eylemleri Sifreleme oncesinde The Gentlemen asagidaki islemleri gerceklestirmektedir: - PowerShell komutlariyla Windows Defender devre disi birakma - "wmic shadowcopy delete" ve vssadmin ile golge kopya silme - RDP log'lari, Prefetch dosyalari ve Geri Donusum Kutusu temizleme - Yedekleme, veritabani ve guvenlik hizmetleri dahil 80+ surec sonlandirma Yayilma Yontemi Fidye yazilimi, domain'in NETLOGON paylasimi araciligiyla dagitilmaktadir. Bu yaklasim, tum domain'e katilmis sistemlerde yaygin dagilimi saglamaktadir. Parola korumasi, sandbox analizini onlemektedir. Cift Gasp Stratejisi Saldiri Akisi The Gentlemen, standart cift gasp yaklasimini uygulamaktadir: 1. FortiGate veya internet-facing hizmet istismari ile ilk erisim 2. Advanced IP Scanner ve Nmap ile ag kesfi 3. Domain hesap numaralandirma 4. Custom araclarla guvenlik cozumlerini devre disi birakma 5. PsExec ve WMI ile yanal hareket 6. AnyDesk ile kalicilik 7. WinSCP ile sifrelenmis veri sizdirma 8. Golge kopya silme ve surec sonlandirma 9. NETLOGON uzerinden fidye yazilimi dagitimi 10. Dosyalarin sifrelenmesi ve fidye notu birakilmasi Sizinti Sitesi Kurbanlar, Tor agindaki veri sizinti sitesi araciligiyla baskilanmaktadir. Fidyeyi odemeyi reddeden organizasyonlarin hassas verileri bu sitede yayinlanmaktadir. TOX sifrelenmis iletisim kullanilmaktadir. Bilinen IoC'ler (Gostergeler) Dosya Hash'leri (SHA1) - c12c4d58541cc4f75ae19b65295a52c559570054 (Ransom.Win64.GENTLEMAN.THHAIBE) - c0979ec20b87084317d1bfa50405f7149c3b5c5f (Trojan.Win64.KILLAV.THHBHBE) - e00293ce0eb534874efd615ae590cf6aa3858ba4 (HackTool.Win32.PowerRun.THHBHBE) Dosya Gostergeleri - Dosya Uzantisi: .7mtzhh - Fidye Notu: README-GENTLEMEN.txt - Driver: ThrottleBlood.sys - Araclar: All.exe, Allpatch2.exe, PowerRun.exe Kolluk Kuvvetleri Durumu Bugune kadar The Gentlemen ile ilgili tutuklama veya kamu altyapisi el koyma rapor edilmemistir. Tor sizinti sitesi cevrimici kalmaya devam etmektedir ve sifrelenmis iletisim (TOX) izlenebilirligi zorlaştirmaktadir. Interpol ve Europol gibi uluslararasi kuruluslar muhtemelen istihbarat toplamaktadir, ancak bu gruba karsi koordineli bir kamu eylemi henuz aciklanmamistir. Korunma Stratejileri ve Oneriler FortiGate ve Internet-Facing Cihaz Guvenligi The Gentlemen'in ilk erisim vektorleri goz onune alindiginda: - FortiGate ve diger ag gecit cihazlarini guncel tutun - Yonetici hesaplari icin MFA zorunlu kilin - Internet-facing hizmetleri sinirlandirin - VPN yapilandirmalarini sertlestirin - Erisim log'larini duzenli olarak inceleyin BYOVD Koruması ThrottleBlood.sys driver istismarina karsi: - Zaafiyetli driver'lari engelleyin - Driver yukleme politikalarini sıkılastırın - CVE-2025-7771 icin izleme yapin - Kernel-level surec sonlandirma girisimlerini tespit edin Ag Guvenligi - PsExec kullanimini sinirlandirin veya izleyin - WMI ve PowerShell Remoting aktivitelerini izleyin - NETLOGON paylasimlarina dikkat edin - RDP erisimini siki kontrol altina alin - Ag segmentasyonu uygulayin Uc Nokta Guvenligi - EDR cozumleri konuslandirin - All.exe ve Allpatch2.exe imzalarini tarayin - PowerRun.exe kullanimini tespit edin - Windows Defender devre disi birakma girisimlerini izleyin - Davranis tabanli analiz uygulayin Sizdirma Onleme - WinSCP kullanimini izleyin - Sifrelenmis kanal aktivitelerini tespit edin - DLP cozumleri uygulayin - Anormal veri aktarimlarini tespit edin Veri Koruma - Cevrimdisi ve degistirilemez yedekler olusturun - 3-2-1 yedekleme kuralini uygulayin - Golge kopya korumasi uygulayin - Yedekleme cozumlerini izole edin AnyDesk ve RMM Kontrolu - Yetkisiz AnyDesk kurulumlarini tespit edin - RMM araclarinin kullanim politikalarini belirleyin - C2 iletisim kaliplarini izleyin Tehdit Istihbarati ve Izleme IoC Izleme - .7mtzhh dosya uzantisi - README-GENTLEMEN.txt fidye notlari - ThrottleBlood.sys driver aktivitesi - Bilinen hash'ler ve dosya adlari - Nmap ve Advanced IP Scanner kullanimi Davranissal Izleme - Registry degisiklikleri (kimlik dogrulama protokolleri) - Guvenlik duvari kural degisiklikleri - 80+ surec sonlandirma girisimleri - NETLOGON paylasimi aktivitesi - Domain hesap numaralandirma Proaktif Onlemler - Yeralti forumlarini izleyin - Tehdit istihbarati beslemelerini entegre edin - FortiGate ve diger cihazlar icin zafiyet taramalari yapin - Penetrasyon testleri gerceklestirin Gelecek Ongoruleri Tehdit Degerlendirmesi The Gentlemen'in kisa surede yuksek kurban sayisina ulasmasi ve gelismis teknik yetenekleri, grubun 2026'da da onemli bir tehdit olmaya devam edecegini gostermektedir. BYOVD teknigi ve custom anti-AV araclari, grubun savunma atlatma konusundaki uzmanligini kanitlamaktadir. Beklenen Gelismeler - Yeni platform varyantlarinin yayinlanmasi - BYOVD tekniklerinin gelistirilmesi - Hedef sektor cesitliliginin artmasi - Asya-Pasifik bolgesinde genisleme - Yeni zafiyet istismari entegrasyonu Sonuc The Gentlemen, 2025 yilinda ortaya cikan en tehlikeli fidye yazilimi gruplarindan biri olarak on plana cikmaktadir. Temmuz 2025'teki ortaya cikisindan bu yana 17 ulkede 30'dan fazla kurban iddia eden grup, profesyonel RaaS altyapisi ve gelismis teknik yetenekleriyle dikkat cekmektedir. Grubun BYOVD teknigi, ThrottleBlood.sys driver istismari ve custom anti-AV araclari, kernel duzeyinde guvenlik cozumlerini etkisiz hale getirme kapasitesini gostermektedir. XChaCha20 ve Curve25519 ile hibrit sifreleme, dosya kurtarmayi imkansiz kilmaktadir. Kuruluslar, The Gentlemen ve benzeri tehditlere karsi FortiGate ve internet-facing cihaz guvenligine oncelik vermelidir. BYOVD koruması, PsExec kontrolu ve NETLOGON izleme kritik oneme sahiptir. EDR cozumlerinin konuslandirilmasi, bilinen IoC'lerin izlenmesi ve davranis tabanli analiz, erken tespit icin gereklidir. Proaktif guvenlik durus, surekli izleme ve kapsamli yedekleme stratejileri, bu tehditlere karsi en etkili savunma yaklasimini olusturmaktadir. Ozellikle uretim, teknoloji ve saglik sektorlerindeki kurumlar, The Gentlemen'in birincil hedefleri arasinda yer almalari nedeniyle ek onlemler almalidir....

Handala Nedir? Handala (diger adlariyla Handala Hack Team, Hatef, Hamsa), Aralik 2023'te ilk kez gozlemlenen ve siyasi motivasyonlu siber kampanyalarla Israil'i hedef alan Pro-Filistin hacktivist grubudur. Grubun adi, 1969 yilinda siyasi karikaturist Naji al-Ali tarafindan yaratilan ve daha sonra Filistin halkinin kimlik ve direnis sembolu haline gelen karakterden gelmektedir. Geleneksel fidye yazilimi gruplarinin aksine, Handala'nin hedefi fidye odemesi degil itibar ve psikolojik hasardir. Grubun yaklasimi, orta ila yuksek teknik yetenekleri Israil psikolojisinin derin anlayisiyla birlestirmektedir. 2024-2026 doneminde 36'nin uzerinde saldiri gerceklestiren Handala, Israil'e yonelik siber saldirilarda en one cikan oyunculardan biri haline gelmistir. Iran Baglantilari ve Devlet Desteği Kudus Strateji ve Guvenlik Enstitusu'nun konum belgesine gore, Handala grubu Iran Istihbarat Bakanligina bagli bir Iran birimiyle iliskilidir. Iranli blogger Nariman Gharib'in arastirmasina dayanan acik raporlara gore, Handala, Istihbarat Bakanligi (MOIS) ile baglantili Iran'in siber ekosistemindeki cesitli iliskili cephelerden biri olarak faaliyet gostermektedir. Acik raporlama, Handala'yi Karma Below ve Homeland Justice gibi ilgili markalarla birlikte Banished Kitten siber grubuyla iliskilendirmektedir. Tarihsel Gelisim ve Evrim Aralik 2023: Ortaya Cikis Handala, 18 Aralik 2023 itibariyle Israil'deki organizasyonlari ve Israil ile is yapan veya destek veren organizasyonlari agir bir sekilde hedef alarak aktif hale geldi. Grubun ilk operasyonlari veri hirsizligi ve web sitesi tahrifatina odaklandi. 2024: Genisleme ve Sofistikasyon Kasim 2024'te Silicom ihlali gerceklesti. Handala, Israilli teknoloji firmasindan 40 TB hassas veri sizdirip sildigini iddia etti. Bu saldiri, grubun teknik yeteneklerinin ve yikici kapasitesinin onemli bir gostergesi oldu. Subat 2025: Polis Veri Hirsizligi Subat 2025'te Handala, 2,1 TB polis dosyasi caldigini iddia etti. Kisisel ve dava verileri dahil bu ihlal, kolluk kuvvetleri bilgilerinin risk altinda oldugunu ortaya koydu. Ocak 2025: Anaokullarinda Siren Saldirisi En sarsici olaylardan biri Ocak 2025'te gerceklesti. Grup, elektronik tedarikci Maagar-Tec'in sistemlerine sizmays basardi ve kamu kurumlarindaki anons sistemlerinin kontrolunu ele gecirdi. Israil genelindeki anaokulllarinda hava saldirisi sirenleri aktive edildi ve Arapcla tehdit mesajlari yayinlandi. Bu olay, Handala'yi ic cephede kamuoyunun kisisel guvenlik duygusunu baltalamaya calisan bir grup olarak isaretledi. Eylul 2024: Nukleer Tesis Iddialari Eylul 2024'te Handala, Nahal Sorek nukleer tesisiyle ilgili sunuculari ihlal ettigini iddia etti. Hackerlar, yaklasik 197 gigabyte veri elde ettiklerini ileri surdu. Bu iddia dogrulanmamis olsa da, grubun kritik altyapiyi hedef alma niyetini ortaya koymaktadir. Subat 2025: Silah Lisansi Sizintisi Subat 2025 baslarinda lisansli silah tasiyan cok sayida Israillinin bilgileri sizdirildi. Bu sizinti, kisisel guvenlik endiselerini arttirdi. Aralik 2025: Bibi Gate Operasyonlari Aralik 2025'te Handala, iki onde gelen Israilli siyasi figurun mobil cihazlarini tamamen ele gecirdigini iddia etti. Ancak KELA'nin analizi, ihlallerin yalnizca Telegram hesaplariyla sinirli oldugunu ve tam telefon erisimi olmadigini ortaya koydu. **Naftali Bennett Saldirisi** Eski Israil Basbakani Naftali Bennett'in iPhone 13'une yapilan ilk saldirinin, iletisim listeleri, videolar, fotograflar ve yaklasik 1.900 sohbet konusmasini ele gecirdigi iddia edildi. **Tzachi Braverman Saldirisi** Handala, Basbakan Benyamin Netanyahu'nun Kabine Sefi Tzachi Braverman'in iPhone'unu ihlal ettigini iddia etti. Hacktivist'ler siniflandirilmamis belgeler sizdirdi. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2023-2026) - Toplam Dogrulanmis Saldiri: 36+ - En Buyuk Veri Sizdirma: Silicom (40 TB iddia edilen) - Polis Verisi Hirsizligi: 2,1 TB - Hedef Alinan Sektor Sayisi: 10+ - Operasyonel Odak: Psikolojik ve bilissel etki Hedef Kategorileri - Teknoloji Sirketleri: %25 - Kamu Kurumlari: %22 - Kritik Altyapi: %18 - Savunma Sektoru: %15 - Politikacilar ve Yetkililer: %12 - Diger: %8 Teknik Altyapi ve Taktikler Saldiri Yontemleri Handala Hack Team, cesitli sofistike taktik ve teknikler kullanmaktadir: **Veri Hirsizligi** Buyuk hacimli kurumsal ve kisisel verilerin calinmasi ve sizdirilmasi. **Kimlik Avi (Phishing)** Hedefli kimlik avi kampanyalari ile kimlik bilgisi toplama. **Gasp** Calinan verilerin yayinlanmamasi karsiliginda taleplerde bulunma. **Web Sitesi Tahrifati** Propaganda mesajlari ile web sitelerinin defacement edilmesi. **Wiper Zararli Yazilimi** Windows ve Linux ortamlarini hedef alan ozel wiper zararli yazilimlari ile yikici saldirilar. Wiper Zararli Yazilimi Splunk analizi, Handala'nin Windows ve Linux ortamlarini hedef alan ozel wiper tehditleri gelistirdigini ortaya koymaktadir. Bu zararli yazilimlar, verileri sifirelemek yerine kalici olarak silmek icin tasarlanmistir. MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing - T1078 - Valid Accounts - T1189 - Drive-by Compromise - T1199 - Trusted Relationship **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1204 - User Execution **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1070 - Indicator Removal - T1562 - Impair Defenses **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores - T1539 - Steal Web Session Cookie **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1114 - Email Collection **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1485 - Data Destruction (Wiper) - T1491 - Defacement - T1498 - Network Denial of Service - T1499 - Endpoint Denial of Service Psikolojik Savas Stratejisi Gecis ve Evrim 2023 sonlarindan itibaren Handala Hack Team, hesapli bir Iran psikolojik savasi aracina donusmustur. Grup, Israilli siyasi yetkilileri, savunma sektoru personelini ve sivilleri sistematik olarak hacklemekte, ifsa etmekte ve tehdit etmektedir. Ayrica sirketleri ve kritik altyapiyi, ozellikle Israil'de hedef almaktadir. Gecen yil (2025) boyunca HHT, geleneksel siber izinsiz girislerden, morali aşındirmak, kamusal baski ve drama yaratmak ve siber uzayin cok otesine erisimi yansitmak icin tasarlanmis hedefli etki kampanyalarina giderek artan bir sekilde gecis yapmistir. Uzman Degerlendirmesi Israil Ulusal Siber Direktörlugu eski baskan yardimcisi Rafael Franco, grubu soyle nitelendirmistir: "Derin istihbarat yeteneklerine sahip klasik bir hacker grubuyla degil, ana hedefi psikolojik ve bilissel etki olan 'gurultulu' bir aktorle karsi karsiyayiz." Grup, son aylarda Israil'e yönelik siber saldirilarda en one cikan oyunculardan biri haline gelmistir. Fidye Disi Motivasyon Fidye odemesi peşinde koşan suclu gruplarin aksine, Handala'nin hedefi itibar ve psikolojik hasardir. Yaklasimi, orta ila yuksek teknik yetenekleri Israil psikolojisinin derin anlayisiyla birlestirmektedir. 2025 Yili Onemli Operasyonlar Ozeti Kronolojik Siralama 1. **Ocak 2025**: Maagar-Tec sistemleri ele gecirildi, anaokulllarinda siren ve tehdit mesajlari 2. **Subat 2025**: Lisansli silah tasiyicilarin bilgileri sizdirildi 3. **Subat 2025**: 2,1 TB polis dosyasi calindi 4. **Eylul 2024**: Nahal Sorek nukleer tesisi iddialari (197 GB) 5. **Kasim 2024**: Silicom ihlali (40 TB iddia edilen) 6. **Aralik 2025**: Bennett ve Braverman Telegram hesaplari Hedef Profili Birincil Hedefler **Israil Hukumeti ve Yetkilileri** Politikacilar, bakanlik yetkilileri ve danismanlari dogrudan hedef alinmaktadir. **Savunma Sektoru** Savunma sirketleri, personeli ve iliskili organizasyonlar hedef alinmaktadir. **Kritik Altyapi** Enerji, nukleer tesisler ve kamu hizmetleri hedef alinmaktadir. **Teknoloji Sirketleri** Israil teknoloji sektoru ve Israil ile is yapan sirketler hedef alinmaktadir. **Siviller** Silah lisansi sahipleri, guvenlik personeli ailelerı ve genel kamu hedef alinmaktadir. Ikincil Hedefler Israil disinda, Israil ile is yapan veya destek saglayan organizasyonlar da hedef alinmaktadir. Korunma Stratejileri ve Oneriler Hesap Guvenligi **Telegram ve Sosyal Medya** Iki faktorlu kimlik dogrulama etkinlestirilmeli, oturum guvenligi izlenmeli ve supheli giris girisimleri icin uyarilar yapilandirilmalidir. **Kurumsal Hesaplar** Guclu parola politikalari, MFA zorunlulugu ve ayricalikli hesap yonetimi uygulanmalidir. Fiziksel Guvenlik Sistemleri Maagar-Tec ornegi goz onune alindiginda: - Anons ve siren sistemlerinin siber guvenlik degerlendirmesi - IoT cihazlarinin segmentasyonu - Varsayilan kimlik bilgilerinin degistirilmesi - Fiziksel guvenlik sistemleri icin izleme Veri Koruma **Hassas Veri Siniflandirma** Kisisel, kurumsal ve devlet verilerinin siniflandirilmasi ve koruma seviyelerinin belirlenmesi. **Veri Minimizasyonu** Gereksiz verilerin toplanmaması ve saklanmamasi. **Sifreleme** Hassas verilerin hem aktarim sirasinda hem de duragan halde sifrelenmesi. Tehdit Istihbarati **Iran Tehdit Aktoru Izleme** Handala ve iliskili Iran destekli gruplarin TTP'lerinin izlenmesi. **Erken Uyari** Sizdirilan veriler icin dark web izleme. Kriz Iletisimi Psikolojik etki kampanyalari goz onune alindiginda: - Medya iletisim planlari - Calislan ve paydas bilgilendirme prosedurlleri - Itibar yonetimi stratejileri Wiper Savunmasi Handala'nin wiper zararli yazilimlari nedeniyle: - Degistirilemez ve cevrimdisi yedekler - Endpoint tespit ve mudahale (EDR) - Ag segmentasyonu - Kurtarma testleri Gelecek Ongoruleri Devam Eden Tehdit Handala'nin Iran devlet destegiyle operasyonlarini surdureceği beklenmektedir. Grubun psikolojik savas odagi, geleneksel siber guvenlik onlemlerinin otesinde stratejiler gerektirmektedir. Taktik Evrimi Grubun geleneksel siber izinsiz girislerden etki kampanyalarina gecisi, 2026'da daha sofistike psikolojik operasyonlara isaret etmektedir. Sonuc Handala, Aralik 2023'te ortaya cikan ve Iran destekli psikolojik savas operasyonu olarak faaliyet gosteren benzersiz bir tehdit aktorudur. Grubun fidye disi motivasyonu, wiper zararli yazilimlari ve kapsamli veri hirsizligi yetenekleri, onu geleneksel fidye yazilimi gruplarından ayirmaktadir. Ocak 2025'teki anaokullarinda siren saldirisi ve Aralik 2025'teki ust duzey politikaci Telegram hesap ihlalleri, grubun psikolojik etki yaratma kapasitesini ortaya koymaktadir. Rafael Franco'nun belirttigi gibi, Handala'nin ana hedefi psikolojik ve bilissel etkidir. Israil'e yonelik siber saldirilarda en one cikan oyunculardan biri olarak Handala, hem teknik siber guvenlik onlemleri hem de psikolojik savas savunmasi gerektiren cok boyutlu bir tehdit olusturmaktadir. Organizasyonlar, ozellikle hesap guvenligi, fiziksel guvenlik sistemleri ve kriz iletisimi alanlarinda kapsamli stratejiler gelistirmelidir....

NightSpire Ransomware Nedir? NightSpire, Subat 2025'te ortaya cikan ve hizla fidye yazilimi ekosisteminin onemli oyuncularindan biri haline gelen finansal motivasyonlu bir siber suc orgutudur. Grup, sofistike cift gasp stratejisi ile hedefli sifreleme ve kamusal veri sizdirma taktiklerini birlestirerek kisa surede kuresel olcekte etkili saldirilar gerceklestirmistir. Ilk olarak Guney Kore'de ortaya cikan NightSpire, kurumsal aglardaki zafiyetleri kullanarak ilk erisim saglamakta ve ozellikle eski VPN cihazlari ile yamasiz Remote Desktop Protocol (RDP) hizmetlerini hedef almaktadir. 2025 yilinda 49'un uzerinde dogrulanmis saldiri gerceklestiren grup, 2026 yilinda da aktif operasyonlarini surdurmeye devam etmektedir. Tarihsel Gelisim ve Ortaya Cikis Subat 2025: Ilk Aktivite NightSpire fidye yazilimi operasyonlari ilk olarak Subat 2025'te tespit edildi. Grup, baslangicta sizdirma tabanli gasp yontemlerine agirlik verirken, zamanla cift gasp fidye yazilimi modeline gecis yapti. Bu evrim, Cyble'in 2025 gozlemlerini dogrular niteliktedir: veri hirsizligi tek basina kurbanlari baskiya alabilse de, sifreleme odeme zorlama konusunda en etkili mekanizma olmaya devam etmektedir. Mart 2025: Dark Web Varligi 12 Mart 2025 itibariyle NightSpire, calinan hassas verilerin yayinlanacagi tehdidiyle kurbanlari baskiya almak icin Dark Web Veri Sizdirma Sitesi (DLS) isletmeye basladi. Bu site, grubun cift gasp stratejisinin kritik bir bileseni haline gelmistir. 2025 Ortasi - Sonu: Hizli Genisleme Eylul 2025 itibariyle raporlara gore yaklasik 40 bilinen kurban tespit edilmis olup, bu durum grubun istikrarli aktivitesini ve organize gasp boru hattini ortaya koymaktadir. Grubun 55 iddia edilen kurbaninin analizi, en sik hedef alinan sektorlerin Teknoloji, IT Hizmetleri, Finansal Hizmetler, Uretim, Insaat ve Egitim oldugunu gostermektedir. Aralik 2025 - Ocak 2026: Devam Eden Operasyonlar Grup, 2025 yili sonunda ve 2026 basinda saldirilarini surdurmeye devam etmektedir. Aralik 2025'te Fransa'daki THT Bio-Science ve ABD'deki Hyatt Place New York / Chelsea Hotel gibi kurumlar hedef alinmistir. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2025-2026) - Toplam Dogrulanmis Saldiri: 49+ - Bilinen Kurban Sayisi: 55+ (Eylul 2025 itibariyle) - Hedef Alinan Ulke Sayisi: 15+ - Ilk Ortaya Cikis: Subat 2025 - Operasyonel Model: Kapali RaaS (affiliate programi yok) Sektor Bazli Dagilim - Teknoloji ve IT Hizmetleri: %24 - Finansal Hizmetler: %18 - Uretim: %16 - Insaat: %12 - Egitim: %10 - Saglik: %8 - Perakende: %6 - Diger: %6 Cografi Dagilim Kurbanlar dunya genelinde yayilmis olup, ABD, Japonya, Ingiltere, Cin, Hindistan, Brezilya, Kanada, Avustralya, Guney Kore ve duzinelerce diger ulkeyi kapsamaktadir. ABD en cok hedef alinan ulke olup, Tayvan, Hong Kong, Misir ve cesitli Avrupa ulkeleri takip etmektedir. Operasyonel Model ve Is Yapisi Kapali RaaS Yapisi NightSpire, geleneksel Ransomware-as-a-Service (RaaS) modelinden farkli bir yaklasim benimsemistir. Grup, kamusal bir RaaS operasyonu yurutmemekte ve affiliate programi bulunmamaktadir. Tamamen kapali bir operasyon olarak, ilk erisimden gasp asamasina kadar her saldiri ic ekip tarafindan yurutulmektedir. Bu yaklasim, grubun operasyonel guvenligini artirirken, saldiri kalitesi ve tutarliligi uzerinde tam kontrol saglamaktadir. Hedefleme Stratejisi NightSpire, birden fazla sektordeki kucuk ve orta olcekli isletmelere odaklanmaktadir. Perakende, uretim, saglik, kimya, finans, denizcilik, egitim ve daha fazlasi dahil sektorler hedef alinmaktadir. Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri **FortiOS Zafiyet Istismari (CVE-2024-55591)** Grup, FortiOS'taki CVE-2024-55591 zafiyetini kullanarak kurumsal aglara sizmaktadir. Bu zafiyet, kimlik dogrulamadan uzaktan kod yurutmeye izin vermektedir. **RDP Brute Force Saldirilari** Zayif veya varsayilan parolali RDP hizmetleri hedef alinmaktadir. Otomatik brute force araclari ile kimlik bilgileri ele gecirilmektedir. **Kimlik Avi Kampanyalari (T1566)** Hedefli kimlik avi e-postalari ile zararli ekler veya baglantilar gonderilmektedir. **VPN Zafiyet Istismari** Eski ve yamasiz VPN cihazlari, ilk erisim icin oncelikli hedefler arasindadir. Ayricalik Yukseltme ve Yanal Hareket NightSpire, sisteme girdikten sonra cesitli Living-off-the-Land (LOLBins) tekniklerini kullanmaktadir: **PowerShell Kullanimi** Komut ve kontrol islemleri icin PowerShell scriptleri kullanilmaktadir. **PsExec** Yanal hareket ve uzaktan komut yurutme icin PsExec araci kullanilmaktadir. **WinSCP** Veri sizdirma ve dosya transferi icin WinSCP kullanilmaktadir. **WMI (Windows Management Instrumentation)** Uzaktan sistem yonetimi ve komut yurutme icin WMI kullanilmaktadir. **Mimikatz** Kimlik bilgisi hasat etme ve ayricalik yukseltme icin Mimikatz kullanilmaktadir. Fidye Yazilimi Ozellikleri NightSpire fidye yazilimi payload'i Go programlama dilinde yazilmistir ve cesitli obfuscation yontemleri kullanmaktadir: **Sifreleme Algoritmalari** - AES (Advanced Encryption Standard) - RC4 (Rivest Cipher 4) - XOR obfuscation Bu coklu sifreleme katmanlari, tespit atlatma ve analiz zorlastirma amaciyla kullanilmaktadir. Veri Sizdirma Sifreleme oncesinde, veriler WinSCP ve MEGACmd araciligiyla saldirgan kontrolundeki altyapiya sizdirmaktadir. Kurbanlar daha sonra cift gasp ile karsi karsiya kalmaktadir: fidye odenmedigi takdirde veriler NightSpire'in sizdirma sitesinde yayinlanacaktir. MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1190 - Exploit Public-Facing Application (FortiOS CVE-2024-55591) - T1133 - External Remote Services (VPN, RDP) - T1566 - Phishing - T1078 - Valid Accounts **Yurutme (TA0002)** - T1059.001 - PowerShell - T1047 - Windows Management Instrumentation - T1569.002 - Service Execution **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution **Ayricalik Yukseltme (TA0004)** - T1078 - Valid Accounts - T1068 - Exploitation for Privilege Escalation **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping (Mimikatz) - T1555 - Credentials from Password Stores **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery **Yanal Hareket (TA0008)** - T1021.002 - SMB/Windows Admin Shares - T1021.001 - Remote Desktop Protocol - T1570 - Lateral Tool Transfer (PsExec) **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive **Sizdirma (TA0010)** - T1567 - Exfiltration Over Web Service (MEGACmd) - T1048 - Exfiltration Over Alternative Protocol (WinSCP) **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Onemli Saldirilar ve Vaka Incelemeleri THT Bio-Science, Fransa (Aralik 2025) 26 Aralik 2025'te kesfedilen bu saldiri, NightSpire'in Avrupa'daki saglik ve biyoteknoloji sektorunu hedef aldigini gostermektedir. Hyatt Place New York / Chelsea Hotel, ABD Konaklama sektorunu hedef alan bu saldiri, grubun sektor cesitliligini ortaya koymaktadir. Otel misafir verileri ve operasyonel bilgiler risk altina girmistir. Diger Onemli Kurbanlar (2025) - Premier 1888 Ltd. - JIEI (Thailand) - Eversendai - Al Tadawi Specialty Hospital - The Green Flame Gas Co. (Kuveyt) - QuadMiners (Guney Kore) - Hospital Jose Agurto Tello de Chosica (Peru) - TeamLease (Hindistan) 2026 Ongoruleri ve Tehdit Degerlendirmesi Evrim Sureci NightSpire'in sizdirma tabanli gasptan cift gasp fidye yazilimina gecisi, grubun olgunlastigini gostermektedir. Bu evrim, 2026'da devam etmesi beklenmektedir. Ekosistem Carpismalari Cyble'in gozlemlerine gore, 2025 yili buyuk sendikalarin hakimiyetinde bir donem yerine, birbirine paralel calisan cok sayida kucuk aktorun karakterize ettigi bir donem olmustur. Bu aktorler genellikle paylasilan kod tabanlari veya ortusen altyapilarla calistiklarindan, 2026'da yeniden markalasma ve ekosistem ortusmeleri hizlanacaktir. Saldiri Hacmi 2025 yilinda yaklasik 6.500 olayla, son iki yilda %47'lik artis kaydedilmistir. NightSpire gibi yeni gruplar bu buyumenin onemli bir kismini olusturmaktadir. Korunma Stratejileri ve Oneriler Zafiyet Yonetimi **FortiOS Yamalama** CVE-2024-55591 ve diger kritik zafiyetler icin yamalarin hemen uygulanmasi gerekmektedir. **VPN Guvenligi** VPN cihazlarinin guncel tutulmasi ve guvenlik yapilandirmalarinin denetlenmesi onemlidir. **RDP Kisitlamalari** RDP erisiminin sinirlandirilmasi, MFA zorunlulugu ve Network Level Authentication (NLA) etkinlestirilmesi onerilor. Ag Guvenligi **Ag Segmentasyonu** Kritik sistemlerin segmente edilmesi, yanal hareketi sinirlandirabilir. **Izleme ve Tespit** PowerShell, WMI ve PsExec kullaniminin izlenmesi ve anormal aktivitelerin tespiti icin SIEM cozumleri kullanilmalidir. **Egress Filtreleme** MEGACmd ve WinSCP gibi araclarin kullandigi protokol ve portlarin izlenmesi ve gereksiz dis baglantilarin engellenmesi gerekmektedir. Uc Nokta Guvenligi **EDR Cozumleri** Gelismis EDR cozumlerinin konuslandirilmasi ve Go tabanli zararli yazilim tespiti icin davranis analizi yapilmalidir. **Mimikatz Engelleme** Credential Guard ve diger Windows guvenlik ozelliklerinin etkinlestirilmesi onemlidir. Veri Koruma **Yedekleme Stratejisi** Cevrimdisi ve degistirilemez yedeklerin olusturulmasi, 3-2-1 yedekleme kuralinin uygulanmasi gerekmektedir. **Veri Sizdirma Onleme** DLP cozumlerinin uygulanmasi ve buyuk veri transferlerinin izlenmesi onemlidir. Olay Mudahale Hazirligi **Olay Mudahale Plani** Fidye yazilimi senaryolari icin ozel olay mudahale planlari hazirlanmalidir. **Tatbikatlar** Duzenli masa basi egzersizleri ve simulasyonlar yapilmalidir. Sonuc NightSpire, Subat 2025'te ortaya cikan ve kisa surede fidye yazilimi ekosisteminin onemli oyuncularindan biri haline gelen tehlikeli bir tehdit aktorudur. Kapali RaaS modeli, Go tabanli fidye yazilimi ve sofistike cift gasp taktikleri, grubu diger operasyonlardan ayiran ozellikler arasindadir. Grubun FortiOS CVE-2024-55591 gibi kritik zafiyetleri istismar etmesi, VPN ve RDP hizmetlerini hedef almasi ve LOLBins tekniklerini kullanmasi, modern fidye yazilimi operasyonlarinin karmasikligini ortaya koymaktadir. 2026 yilinda NightSpire'in operasyonlarini genisletmeye devam etmesi beklenmektedir. Organizasyonlar, ozellikle zafiyet yonetimi, ag segmentasyonu ve veri koruma alanlarinda proaktif guvenlik onlemleri almalidir. Tehdit istihbarati izleme ve olay mudahale yetenekleri, NightSpire ve benzeri tehditlere karsi en etkili savunma yaklasimini olusturmaktadir....

LockBit Ransomware Nedir? LockBit, 2019 yilinda ortaya cikan ve kisa surede dunyanin en yikici ve en uzun omurlu fidye yazilimi operasyonlarindan biri haline gelen bir siber suc orgutudur. ABCD Ransomware olarak da bilinen grup, alti yillik tarihi boyunca 2.700'den fazla kurban iddia etmis ve siber suc dunyasinin en korkutucu isimlerinden biri olmustur. Grup, Ransomware-as-a-Service (RaaS) modeliyle calismaktadir. Bu modelde cekirdek gelistirici ekibi, fidye yazilimini ve altyapiyi saglarken, is ortaklari (affiliates) saldirilari gerceklestirmektedir. Kazanclar, is ortaklari ve cekirdek ekip arasinda paylasilmaktadir. Tarihsel Gelisim ve Evrim Sureci 2019: Baslangic Donemi LockBit ilk olarak Eylul 2019'da ABCD Ransomware adiyla ortaya cikti. Baslangicta nispeten basit bir fidye yazilimi olan grup, hizla evrim gecirerek sofistike bir operasyona donustu. Ilk versiyonu, sifrelenen dosyalara .abcd uzantisi ekliyordu. 2021: LockBit 2.0 ve Yukselis Haziran 2021'de LockBit 2.0 piyasaya suruldu. Bu versiyon, StealBit adi verilen otomatik veri sizdirma araci ve gelismis sifreleme yetenekleri iceriyordu. Grup, cift gasp (double extortion) stratejisini benimseyerek hem dosyalari sifreliyor hem de calinti verileri yayinlamakla tehdit ediyordu. 2022: LockBit 3.0 (LockBit Black) Haziran 2022'de LockBit 3.0, ayni zamanda LockBit Black olarak da bilinen versiyon devreye girdi. Bu surum, BlackMatter ve BlackCat fidye yazilimlarindan esinlenen ozellikler tasiyordu. Gelismis savunma atlatma teknikleri, VMware ESXi destegi ve guclendirilmis sifreleme algoritmalari eklendi. 2023: Zirvede Hakimiyet LockBit, 2023 yilinda tartismasiz sekilde dunyanin en aktif fidye yazilimi grubu konumuna ulasti. FBI raporlarina gore, ABD kritik altyapisini hedef alan en cok bildirilen fidye yazilimi LockBit oldu. Cisco Talos, LockBit'i hacim olarak tum saldirilarin yuzde 16'sindan sorumlu olarak birinci siraya yerlestirdi. 2024: Operation Cronos ve Dagilma Subat 2024'te 10 ulkeden kolluk kuvvetlerinin katilimiyla gerceklestirilen Operation Cronos, LockBit'in altyapisini ele gecirdi. Ingiltere Ulusal Suc Ajansi (NCA), FBI ve Europol onculugundeki operasyonda 1.000'den fazla sifre cozme anahtari elde edildi, 14.000 hileli hesap kapatildi ve grubun karlilik yonetimi icin kullandigi 30.000 Bitcoin adresi tespit edildi. 2025: Geri Donus ve LockBit 5.0 Operasyon Cronos'a ragmen LockBit yok olmadi. Aralik 2024'te grup, Subat 2025'te piyasaya surulecek LockBit 4.0'i duyurdu. Eylul 2025'te ise LockBit 5.0 (ChuongDong varyanti) aktif hale geldi. Ancak Mayis 2025'te grubun altyapisi tekrar ihlal edildi ve Bitcoin cuzdan adresleri, sifreleme anahtarlari, kurban sohbet kayitlari ve is ortagi bilgileri sizdirildi. 2025 yilinda toplam 275 saldiri gerceklestiren LockBit, yuzde 47 oraninda dusus yasadi. 2026: Canlanma Cabasi LockBit, 2026 yilinda toparlanma cabalarina devam etmektedir. Ocak 2026'daki onemli saldirilar arasinda: - 29 Ocak 2026: Amcar Pty Ltd saldirisi gerceklestirildi Grup, Operation Cronos sonrasi daralmis kapasitesine ragmen yeniden buyume cabasindadir. 2024-2026 Saldiri Istatistikleri LockBit, kesintilere ragmen onemli bir tehdit olmaya devam etmektedir: - Toplam Tarihsel Kurban: 2.700+ - 2024 Toplam Saldiri: 530+ - 2025 Toplam Saldiri: 275 - 2024'e Gore Degisim (2025): -%47 - FBI'a Bildirilen ABD Kritik Altyapi Saldirisi: En yuksek (2023) - Pazar Payi (2023-2024): %16 - Operation Cronos'ta Ele Gecirilen Sifre Cozme Anahtari: 1.000+ - Tespit Edilen Is Ortagi Sayisi: 188+ - Ele Gecirilen Bitcoin Adresi: 30.000 - Bitcoin Degeri: 2.200 BTC (112 milyon USD) 2025-2026 Yili Gelismeleri Check Point Research, Eylul 2025'te LockBit 5.0 tarafindan vurulan bir duzine organizasyon tespit etti. Saldirilarin yuzde 80'i Windows sistemlerini, yuzde 20'si ise ESXi ve Linux ortamlarini hedef aldi. 2026'da grup, Amcar Pty Ltd gibi hedeflerle aktivitelerini surdurmektedir. Hedef Sektorler ve Cografi Dagilim Oncelikli Hedef Sektorler LockBit, genis bir sektor yelpazesini hedef almaktadir: - Kritik Altyapi: Enerji, su, ulasim - Saglik: Hastaneler, klinikler, saglik sistemleri - Egitim: Universiteler, okullar - Uretim: Fabrikalar, tedarik zincirleri - Finansal Hizmetler: Bankalar, sigorta sirketleri - Kamu Kurumlari: Belediyeler, devlet daireleri - Hukuk ve Profesyonel Hizmetler: Avukatlik burolari, danismanlik firmalari Cografi Hedefleme LockBit, kuresel olcekte faaliyet gostermektedir. Ancak Rusya ve Bagimsiz Devletler Toplulugu (BDT) ulkelerindeki kuruluslar genellikle hedef alinmamaktadir. En cok saldiriya ugrayan bolgeler: - Kuzey Amerika: ABD ve Kanada - Avrupa: Ingiltere, Almanya, Fransa, Italya - Asya-Pasifik: Avustralya, Japonya - Latin Amerika: Brezilya, Meksika Teknik Altyapi ve Saldiri Metodolojisi RaaS Is Modeli LockBit, sofistike bir Ransomware-as-a-Service platformu isletmektedir: - Is Ortagi Payi: %75-80 - Cekirdek Ekip Payi: %20-25 - Is Ortagi Sayisi: 188+ (Operation Cronos verilerine gore) - Strateji: Cift ve uclu gasp - Odeme Yontemi: Bitcoin ve Monero Ilk Erisim Vektorleri LockBit is ortaklari cesitli giris yontemleri kullanmaktadir: RDP Istismari (T1133): Zayif yapilandirilmis veya acik birakilan uzak masaustu protokolu servisleri uzerinden erisim saglanmaktadir. Kimlik Avi (T1566): Sofistike spear phishing kampanyalari araciligiyla kotu amacli ekler ve baglantilar gonderilmektedir. Guven insa etmek icin birden fazla e-posta degisimi yapilmasi yaygindir. Gecerli Hesaplar (T1078): Calinti, satin alinmis veya brute-force ile elde edilmis kimlik bilgileriyle erisim saglanmaktadir. Kamuya Acik Uygulama Istismari (T1190): VPN, firewall ve diger dis baglanti noktalarindaki zafiyetler istismar edilmektedir. Drive-by Compromise (T1189): Kotu amacli web siteleri uzerinden otomatik indirme ve yurutme gerceklestirilmektedir. MITRE ATT&CK Eslestirmesi CISA, LockBit aktivitelerini MITRE ATT&CK for Enterprise framework'u ile eslestirmistir: Ilk Erisim: - T1133 - External Remote Services (RDP) - T1189 - Drive-by Compromise - T1566 - Phishing - T1078 - Valid Accounts - T1190 - Exploit Public-Facing Application Yurutme: - T1059 - Command and Scripting Interpreter - T1047 - Windows Management Instrumentation - T1053 - Scheduled Task/Job Kalicilik: - T1547 - Boot or Logon Autostart Execution - T1053 - Scheduled Task/Job - T1078 - Valid Accounts Ayricalik Yukseltme: - T1548.002 - Bypass User Account Control - T1134 - Access Token Manipulation - T1078 - Valid Accounts Savunma Atlatma: - T1562 - Impair Defenses - T1070 - Indicator Removal - T1027 - Obfuscated Files or Information - T1548.002 - Bypass UAC Kimlik Bilgisi Erisimi: - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores - T1552 - Unsecured Credentials Kesif: - T1083 - File and Directory Discovery - T1135 - Network Share Discovery - T1482 - Domain Trust Discovery - T1018 - Remote System Discovery Yanal Hareket: - T1021.001 - Remote Desktop Protocol - T1021.002 - SMB/Windows Admin Shares - T1570 - Lateral Tool Transfer Toplama: - T1560 - Archive Collected Data - T1119 - Automated Collection Komuta ve Kontrol: - T1071 - Application Layer Protocol - T1105 - Ingress Tool Transfer Sizdirma: - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service Etki: - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Sifreleme Teknolojisi LockBit, farkli versiyonlarinda cesitli sifreleme algoritmalari kullanmaktadir: - AES-256: Simetrik sifreleme - ChaCha20: Hizli simetrik sifreleme - RSA-2048/4096: Asimetrik anahtar sifreleme LockBit 3.0, UAC'yi atlayarak yukseltilmis ayricalklarla kod calistirabilmektedir. Elevated Component Object Model (COM) arayuzu kullanilarak bu basarilmaktadir. LockBit 5.0 Teknik Yenilikleri Eylul 2025'te piyasaya surulen LockBit 5.0 onemli guncellemeler icermektedir: - Coklu Platform Destegi: Windows, Linux ve ESXi sistemleri - Gelismis Kacis Teknikleri: Guclendirilmis anti-analiz mekanizmalari - Hizli Sifreleme: Savunucularin tepki pencerelerini daraltma - Rastgele Uzantilar: Tespitten kacinmak icin 16 karakterlik rastgele dosya uzantilari Kullanilan Arac Seti Uzaktan Erisim ve Kalicilik: - Cobalt Strike: Komuta ve kontrol - AnyDesk: Uzaktan erisim - TeamViewer: Uzaktan erisim - Splashtop: Uzaktan erisim Kimlik Bilgisi Toplama: - Mimikatz: Windows kimlik bilgisi cikartma - LaZagne: Coklu platform parola toplama - Credential Dumping Tools: LSASS bellek okuma Kesif ve Enumeration: - AdFind: Active Directory kesfetme - Advanced IP Scanner: Ag tarama - BloodHound: AD iliskisel analiz - SharpHound: BloodHound veri toplama Yanal Hareket: - PsExec: Uzaktan komut calistirma - SMB: Paylasim uzerinden yayilma - WMI: Windows Management Instrumentation - GPO: Grup politikalari uzerinden dagitim Veri Sizdirma: - StealBit: LockBit'in ozel sizdirma araci - Rclone: Bulut depolamaya aktarim - FreeFileSync: Dosya senkronizasyonu - MEGA: Bulut depolama servisi Operation Cronos Detaylari Operasyonun Kapsami Subat 2024'te gerceklestirilen Operation Cronos, siber suc tarihinin en buyuk fidye yazilimi operasyonlarindan biriydi: - Katilimci Ulke Sayisi: 10 - Lider Kurumlar: NCA (Ingiltere), FBI (ABD), Europol - Ele Gecirilen Sunucu: 34 - Elde Edilen Sifre Cozme Anahtari: 1.000+ - Kapatilan Hesap: 14.000 - Tespit Edilen Bitcoin Adresi: 30.000 - Bitcoin Degeri: 2.200 BTC (112 milyon USD) Tutuklama ve Suclamalar Mayis 2024'te LockBit'in lideri LockBitSupp, Rus vatandasi Dmitry Yuryevich Khoroshev olarak tespit edildi. 26 ayri suclamayla karsi karsiya olan Khoroshev henuz yakalanamamistir. ABD Adalet Bakanligi, Rus vatandaslari Artur Sungatov ve Ivan Kondratyev'e (Bassterlord) karsi suclamalari acikladi. 2025'te Israilli gelistirici Rostislav Panev, LockBit gelistirilmesine katildigi icin ABD'ye iade edildi. Operasyonun Etkileri Operation Cronos'un bir yillik degerlendirmesinde, operasyonun fidye yazilimi ekonomisi uzerinde kalici bir etki biraktigi belirlendi. 2025 yilinda LockBit'in saldiri sayisi yuzde 47 oraninda dustu. Ancak LockBit beklenenden daha direncli cikti ve tamamen ortadan kalkmadi. Onemli Saldiri Ornekleri 2023 Saldirilari Boeing Saldirisi: LockBit, Ekim 2023'te Boeing'i hedef alarak onemli miktarda veri sizdirdi. ICBC Saldirisi: Kasim 2023'te Cin Sanayi ve Ticaret Bankasi'nin ABD koluna yapilan saldiri, finansal piyasalarda dalgalanmalara neden oldu. 2024 Saldirilari Fullerton India: Hindistan'in buyuk finans kuruluslarindan birine yapilan saldiri. Multiple Hospital Systems: ABD genelinde birden fazla hastane sistemini hedef alan saldirilar. 2025-2026 Saldirilari SuperBlack Varyanti: Mart 2025'te Mora_001 grubu, LockBit 3.0 tabanli SuperBlack adli yeni bir varyant gelistirdi. Bu varyant, LockBit markasini kaldirarak, fidye notunu degistirerek ve ozel veri sizdirma modulu ekleyerek orijinal kodun uzerine insa edildi. Amcar Pty Ltd: 29 Ocak 2026'da Avustralya merkezli bu sirket hedef alindi. LockBit'in 2026 yilindaki aktif saldirilarini gostermektedir. Korunma Stratejileri ve Oneriler CISA ve FBI Onerileri FBI, CISA ve MS-ISAC, kuruluslarin guvenlik programlarini MITRE ATT&CK teknikleriyle surekli test etmelerini onermektedir: Ag Guvenligi: - RDP erisimini sinirlandirin ve MFA zorunlu kilin - Gereksiz portlari kapatin - Ag segmentasyonu uygulayin - VPN ve firewall yapilandirmalarini gozden gecirin Kimlik Yonetimi: - Tum hesaplarda MFA zorunlu kilin - Guclu parola politikalari uygulayin - Ayricalikli hesap yonetimi (PAM) kullanin - Duzenli kimlik bilgisi rotasyonu yapin Uc Nokta Guvenligi: - EDR cozumleri konuslandirin - Anti-malware yazilimlarini guncel tutun - Uygulama beyaz listeleme yapin - PowerShell ve WMIC aktivitelerini izleyin Yedekleme ve Kurtarma: - Cevrimdisi ve degistirilemez yedekler olusturun - 3-2-1 yedekleme kuralini uygulayin - Duzenli yedekleme testleri yapin - Olay mudahale planlari hazirlayin Sizdirma Araclarini Engelleme Rclone, FreeFileSync veya MEGA gibi araclar veri sizdirma icin kullanilmaktadir. Kurumlar bu araclari ve indirme sitelerini engellemeli, duzenli olarak avlanma (hunting) yapmalidir. Kritik Yamalar Oncelikli olarak yamanmasi gereken sistemler: - VPN cihazlari (Fortinet, Cisco, Palo Alto) - Microsoft Exchange sunuculari - VMware ESXi sunuculari - Citrix sistemleri - Uzak erisim cozumleri Rekabet Ortami ve Gelecek Ongoruleri 2025-2026 Fidye Yazilimi Ekosistemi LockBit'in 2024 sonu dagilmasi ve RansomHub'in Nisan 2025'te kapanmasi, ekosistemde onemli degisikliklere yol acti. Akira, Qilin, Safepay ve DragonForce gibi gruplar bu bosluklari doldurarak hizla genisledi. Cyfirma verilerine gore, Qilin Haziran 2025'te tek bir ayda 81 saldiri gerceklestirerek en aktif grup haline geldi. Ancak LockBit 5.0'in Eylul 2025'te piyasaya surulmesi, is ortaklarinin yeniden merkezi bir marka altinda toplanma olasiligini isaret etmektedir. 2026'da LockBit, Amcar Pty Ltd gibi saldirilarla varligini surdurmektedir. Tehdit Degerlendirmesi LockBit, kolluk kuvvetlerinin yogun ilgisine ragmen tamamen ortadan kalkmamistir. 2025'te yuzde 47 oraninda dususe ragmen, grubun direnci ve teknik yetenekleri, onu 2026 ve sonrasinda da potansiyel bir tehdit olarak konumlandirmaktadir. Ancak Mayis 2025'teki veri ihlali ve devam eden yasal baskilar, grubun uzun vadeli surdurulebilirligi hakkinda soru isaretleri olusturmaktadir. Sonuc LockBit, alti yillik tarihi boyunca modern fidye yazilimi ekosisteminin en etkili ve kalici tehditlerinden biri olarak kendini kanitlamistir. Operation Cronos gibi buyuk olcekli kolluk kuvveti operasyonlarina ragmen grubun direnci, siber suclarin ne kadar zorlu bir mucadele oldugunu gostermektedir. 2025 yilinda 275 saldiri ve yuzde 47 oraninda dususe ragmen, LockBit hala aktif bir tehdit olmaya devam etmektedir. 2026 yilinda da Amcar Pty Ltd gibi saldirilarla varligini surdurmektedir. Kuruluslar, LockBit ve benzeri tehditlere karsi cok katmanli bir guvenlik stratejisi benimsemelidir. Ozellikle RDP ve VPN guvenligi, MFA uygulamasi, ag segmentasyonu ve duzenli yedekleme kritik oneme sahiptir. CISA ve FBI tarafindan yayinlanan MITRE ATT&CK eslestirmelerini kullanarak guvenlik kontrollerini surekli test etmek, bu tehditlere karsi en etkili savunma yaklasimini olusturmaktadir. LockBit'in evrimi, fidye yazilimi tehditlerinin surekli degistigini ve kuruluslarin proaktif bir guvenlik durusu benimsemesi gerektigini acikca ortaya koymaktadir....

WorldLeaks Ransomware Nedir? WorldLeaks, Ocak 2025'te ortaya cikan ve Hunters International fidye yazilimi operasyonunun yeniden markalanmis hali olarak bilinen bir siber suc orgutudur. Geleneksel fidye yazilimlarindan farkli olarak, WorldLeaks dosya sifreleme yerine hassas veri calma ve sizinti tehdidine odaklanan Extortion-as-a-Service (EaaS) modeli ile calismaktadir. Grup, is ortaklarina ozel Storage Software sizdirma araclari saglayarak hizli saldiri dongusu ile tanınmaktadir. Dell Technologies gibi Fortune 500 sirketlerini hedefleyerek yuksek profilli saldirilar gerceklestirmistir. Tarihsel Gelisim Hunters International Kokeni WorldLeaks'in onculu olan Hunters International, 2023 sonlarindan bu yana aktifti ve Hive grubunun yeniden dogusu olarak kabul edilmektedir. Temmuz 2024'te Hunters International operasyonlarini durdurdu. Ocak 2025: WorldLeaks Donusumu 1 Ocak 2025'te Group-IB raporuna gore, Hunters International operatorleri World Leaks adli yeni bir proje baslatti. Yetkililer tarafindan fidye yazilimi ekosistemine karsi alinan onlemler ve jeopolitik baglamın olumsuz etkisi nedeniyle, operatorler bu isi cok riskli ve karsiz buldular. Operatorler, fidye yazilimi dagitimi ile cift gasptan yalnizca gasp saldirılarina gecmeye karar verdiler. Erken 2025: Altyapi Sorunlari Erken 2025 operasyonlari altyapi istikrarsizligindan muzdarip oldu ve gecici kapanmaya zorladi. Ilk kurban Nisan 2025 sonunda yayinlandi. Temmuz-Aralik 2025: Aktif Operasyonlar Temmuz 2025'te Dell Technologies saldirisi ile buyuk dikkat cekti. 1,3 TB calinan veri ve 416.103 dosya yayinlandi. Grup, 2025 boyunca orta tempoda devam etti. 2026: Devam Eden Tehdit Ocak 2026 itibariyle grup aktif olarak faaliyetlerine devam etmektedir. Hukumet kesinti eylemleri olmadan on aylik donemde cok sayida kurban iddia etmektedir. 2025-2026 Saldiri Istatistikleri WorldLeaks, ortaya cikisindan bu yana onemli rakamlar kaydetti: - Toplam Kurban (Son 6 Ay): 67 - Agustos 2025 Kurban Sayisi: 62 - En Buyuk Veri Hirsizligi: 1,3 TB (Dell) - Calinan Dosya Sayisi: 416.000+ - Hedeflenen Ulke: ABD (cogunluk) Hedef Sektorler WorldLeaks belirli sektorlere yogunlasmaktadir: - Saglik: Hastaneler ve tibbi tesisler - Uretim: Uretim ve imalat - Teknoloji: Yazilim ve IT sirketleri - Tuketici Hizmetleri: Tuketici odakli isletmeler - Enerji ve Kamu Hizmetleri: Kritik altyapi - Savunma Yuklenicileri: Askeri tedarikci - Fortune 500: Buyuk kurumsal hedefler Cografi Dagilim WorldLeaks'in hedefledigi bolgeler: - ABD: Onaylanan kurbanlarin cogunlugu - Kanada: Ikincil hedef - Almanya: Avrupa odagi - Belcika: Avrupa hedeflemesi - Hindistan: Asya hedeflemesi - Ingiltere: Wavenet gibi telekomnikasyon - Fransa: OGI Groupe gibi yazilim sirketleri Extortion-as-a-Service (EaaS) Modeli Platform Yapisi WorldLeaks, dort platformlu altyapi isletmektedir: 1. Ana Sizinti Sitesi: worldleaksartrjm3c6vasllvgacbi5u3mgzkluehrzhk2jz4taufuid.onion 2. Kurban Muzakere Portali: Canli sohbet ile vw6vklsuotptwdbiwqfvd7y4b57wdbfm6ypxduzzgbt62snti6jm76yd.onion 3. Is Ortagi Yonetim Paneli 4. Insider Gazeteci Platformu: Medya kuruluslarina calinti verilere kamuya aciklamadan 24 saat once erisim Storage Software Grup, is ortaklarina ozel Storage Software sizdirma araci saglamaktadir: - Windows/Linux destegi (x86, x64) - SOCKSv5 proxy ile TOR baglantisi - Metadata indeksleme - Bulut depolama entegrasyonu (ozellikle MEGA) Secp0 Ortakligi Secp0 fidye yazilimi grubuyla paylasilan sizinti sitesi altyapisi kullanan ortaklik dogrulanmistir. Sifreleme Durumu Platform, dosya sifrelemesini ortadan kaldiran bir model olarak pazarlanmakta olsa da, bazi olaylarda sifreleme dagitimi raporlanmistir. Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri WorldLeaks, cesitli ilk erisim yontemleri kullanmaktadir: Ele Gecirilmis VPN Kimlik Bilgileri: MFA eksik olan ele gecirilmis VPN kimlik bilgileri en yaygin saldiri vektorunu temsil etmektedir. Internet-Facing VPN Altyapisi: VPN ve RDP hizmetlerinin istismari. SonicWall SMA 100: OVERSTEP rootkit dagitimi ile SonicWall cihazlari hedeflenmektedir. Hedefli Phishing: Kimlik bilgisi ele gecirmek icin hedefli phishing kampanyalari. MITRE ATT&CK Eslestirmesi Ilk Erisim (TA0001): - T1078 - Valid Accounts (ele gecirilmis kimlik bilgileri) - T1133 - External Remote Services (internet-facing altyapi) - T1190 - Exploit Public-Facing Application (SonicWall zafiyetleri) Kesif (TA0007): - T1082 - System Information Discovery (net.exe, whoami ile otomasyon) - T1083 - File and Directory Discovery (kapsamli dosya sistemi taramasi) Kimlik Bilgisi Erisimi (TA0006): - T1003 - OS Credential Dumping (Mimikatz, LSASS erisimi) Yanal Hareket (TA0008): - T1021 - Remote Services (SMB, RDP, SSH) Sizdirma (TA0010): - T1048 - Exfiltration Over Alternative Protocol (TOR tabanli) - T1560 - Archive Collected Data (TAR arsiv olusturma) - T1090 - Proxy (SOCKSv5 TOR baglantilari) Savunma Atlatma (TA0005): - T1070 - Indicator Removal on Host (log silme/manipulasyon) Kullanilan Arac Seti Sizdirma: - Custom Storage Software (Windows/Linux) - SOCKSv5 proxy with TOR - MEGA bulut depolama Kimlik Bilgisi Toplama: - Mimikatz: LSASS bellek okuma Kalicilik: - OVERSTEP rootkit: /etc/ld.so.preload degistirme - libsamba-errors.so.6 dagitimi Istismar Edilen Zafiyetler SonicWall SMA 100 Zafiyetleri: - CVE-2024-38475: Path traversal, SQLite veritabani sizdirma - CVE-2021-20038: Bellek bozulmasi ile RCE (CVSS 9.8 Kritik) - CVE-2021-20035: Komut enjeksiyonu ile kimlik dogrulanmis RCE (CVSS 7.2) - CVE-2021-20039: /cgi-bin/viewcert komut enjeksiyonu ile RCE (CVSS 7.2) - CVE-2025-32819: Kimlik dogrulanmis dosya silme, varsayilan kimlik bilgilerine donme Cift Gasp Stratejisi Salt Veri Gaspina Gecis WorldLeaks, operasyonlarından sifrelemeyi cikararak is ortaklarinin acikta kalmis giris noktalarına sahip organizasyonlara karsi hizli hareket etmesini saglamaktadir. Teknik karmasikligi azaltmaktadir. Hizli Saldiri Dongusu Saldiri zaman cizgileri, ilk erisimden gasp taleplerine gunler icinde hizlanmaktadir. Geleneksel cok haftalik kampanyalardan cok daha hizlidir. Medya Baskisi Insider gazeteci platformu, medya kuruluslarına calinan verilere kamuya aciklamadan 24 saat once erisim saglamaktadir. Bu benzersiz yaklasim, kurbanlara ek baski unsuru olusturmaktadir. 2025-2026 Onemli Saldirilari Dell Technologies (Temmuz 2025) WorldLeaks'in en yuksek profilli saldirisi: - 1,3 TB calinan veri - 416.103 dosya yayinlandi - Fortune 500 hedeflemesi Wavenet (Aralik 2025) 14 Aralik 2025'te WorldLeaks, Ingiltere'nin onde gelen telekomnikasyon saglayicisi Wavenet'e karsi siber saldiri sorumlulugunu ustlendi. Diger Onemli Kurbanlar - Nike, Inc. - Risen Energy Co. - Dr. Falk Pharma - Operation PAR, Inc. - Chatham Asset Management (Finans, New Jersey, Aralik 2025) - OGI Groupe (Yazilim, Fransa, Aralik 2025) - Smith Hawks (Hukuk Firmalari, Florida, Aralik 2025) 2026 Aktivitesi Grup, Ocak 2026 itibariyle aktif olarak faaliyetlerine devam etmektedir. Hukumet kesinti eylemleri olmadan on aylik donemde cok sayida kurban iddia etmektedir. Korunma Stratejileri ve Oneriler VPN Guvenligi WorldLeaks'in birincil saldiri vektoru goz onune alindiginda: - Tum VPN erisimlerinde MFA zorunlu kilin - VPN kimlik bilgilerini duzenli olarak degistirin - Ele gecirilmis kimlik bilgisi izleme yapin - VPN log'larini duzenli olarak inceleyin SonicWall Sertlestirmesi SonicWall SMA 100 zafiyetlerine karsi: - Tum guvenlik yamalarini uygulayin - CVE-2024-38475, CVE-2021-20038 ve diger zafiyetleri yamalayin - Firmware'i guncel tutun - Rootkit gostergeleri icin izleme yapin Sizdirma Onleme - TOR trafigini engelleyin veya izleyin - MEGA ve diger bulut depolama erisimini kontrol edin - SOCKSv5 proxy aktivitesini tespit edin - DLP cozumleri uygulayin - TAR arsiv olusturma aktivitesini izleyin Kimlik Yonetimi - Mimikatz tespiti icin EDR konuslandirin - LSASS erisimini izleyin - Ayricalikli hesaplari sinirlandirin - Kimlik bilgisi rotasyonu yapin Veri Koruma - Hassas verileri siniflandirin - Veri erisim kontrollerini sikılastırın - Dosya sistemi tarama aktivitelerini izleyin - Terabyte olcekli veri hareketlerini tespit edin Tehdit Istihbarati ve Izleme IoC Izleme - Bilinen TOR onion adresleri - OVERSTEP rootkit gostergeleri - libsamba-errors.so.6 dosyasi - Storage Software imzalari - MEGA trafik kaliplari Davranissal Izleme - net.exe ve whoami numaralandirma - Anormal TOR baglantilari - SOCKSv5 proxy aktivitesi - Buyuk olcekli veri arsivleme - Log silme girisimleri Proaktif Onlemler - SonicWall zafiyet taramalari yapin - VPN kimlik bilgisi ihlallerini izleyin - Tehdit istihbarati beslemelerini entegre edin - Penetrasyon testleri gerceklestirin Gelecek Ongoruleri Tehdit Degerlendirmesi WorldLeaks'in Hunters International ve Hive soyu, grubun koklü operasyonel deneyime sahip oldugunu gostermektedir. Salt veri gaspina gecis, fidye yazilimi ekosistemindeki daha genis bir trendi yansitmaktadir. Beklenen Gelismeler - Fortune 500 hedeflemesinin devami - Terabyte olcekli veri hirsizligi - Medya baskisi taktiklerinin genislemesi - Yeni SonicWall zafiyeti istismari - Is ortagi aginin buyumesi Sonuc WorldLeaks, Hunters International'in halefi olarak 2025 yilinda salt veri gaspina odaklanan yeni nesil tehditlerden biri olarak on plana cikmaktadir. Dell Technologies gibi Fortune 500 sirketlerini hedefleyerek 1,3 TB veri sizdirma kapasitesini ortaya koymaktadir. Grubun dort platformlu altyapisi, Storage Software sizdirma araci ve medya baski taktikleri, sofistike bir operasyon modelini yansitmaktadir. MFA eksik VPN kimlik bilgileri ve SonicWall zafiyetleri birincil giris noktalarıdır. Kuruluslar, WorldLeaks ve benzeri tehditlere karsi VPN MFA zorunlulugu, SonicWall yamalama ve sizdirma onleme oncelikli alanlar olarak ele alinmalidir. TOR trafik izleme, Mimikatz tespiti ve veri siniflandirma kritik oneme sahiptir. Proaktif guvenlik durus, surekli izleme ve kapsamli veri koruma stratejileri, bu tehditlere karsi en etkili savunma yaklasimini olusturmaktadir....

Teknik Özellikler Toufan ransomware grubu, daha çok Windows işletim sistemleri üzerinde aktif olan bir ransomware varyantıdır. Kripto-korsan tekniklerini kullanarak kullanıcıların önemli verilerini şifreler ve bu verinin tekrar erişilebilir hale gelmesi için fidye talep eder. Toufan, RSA ve AES gibi karmaşık şifreleme algoritmalarını kullanır ve bu sayede verilerin şifresini çözmek neredeyse imkânsız hale gelir. İşleyiş Toufan ransomware genellikle e-posta yoluyla yayılır. Zararlı bir e-posta eki tarafından bilgisayara bulaşır ve sistemde yetkisiz değişiklikler yapar, kullanıcı verilerini şifreler. Ardından, mağdurun ekranına bir fidye notu bırakır ve para ödeme talep eder. Etki Alanı Toufan, küresel çapta birçok kullanıcıyı ve özellikle küçük ve orta ölçekli işletmeleri hedef almıştır. Herhangi bir coğrafi sınırlama olmaksızın hedeflerini seçebildiği için, birçok farklı ülkeden kullanıcı ve işletme bu tehdit altında bulunabilir. Son İstatistikler Son raporlara göre, Toufan ransomware star şekilde yayılmaya devam etmektedir. On binlerce cihazın bu zararlı yazılım tarafından etkilendiği belirtilmektedir. Neden Tehlikeli? Toufan ransomware, veri kaybı ve güvenlik açıklarının yanı sıra ciddi mali yükler de doğurabilir. Fidyeyi ödemek, verilerin geri alınacağının garantisi olmadığı için çoğu zaman sonuçsuz kalır. Korunma Yolları Toufan gibi ransomware tehditlerinden korunmanın en iyi yolu, zararlı e-posta eklerini açmaktan kaçınmak ve düzenli olarak veri yedeklemektir. Ayrıca, güçlü bir antivirüs solüsyonu da sisteminizi bu tür tehditlere karşı koruyabilir....

Monti fidye yazılımı grubu, siber suç dünyasında dikkat çeken ve özellikle Linux tabanlı sistemlere yönelik saldırılarıyla tanınan bir tehdittir. Bu yazıda, Monti grubunun tarihçesi, kullandığı teknikler, hedefleri, iş modeli ve daha fazlasını detaylı bir şekilde inceleyeceğiz. Giriş Fidye yazılımları, kurbanların verilerini şifreleyerek veya sistemlerini kilitleyerek, belirli bir fidye karşılığında erişimi yeniden sağlamayı vaat eden kötü amaçlı yazılımlardır. Monti fidye yazılımı grubu da bu tehdit aktörlerinden biridir ve özellikle Linux tabanlı sistemlere yönelik saldırılarıyla öne çıkmaktadır. Grubun Tarihçesi ve Kökenleri Monti fidye yazılımı, Haziran 2022'de ortaya çıkmış ve hem isim hem de taktik olarak Conti fidye yazılımına yakın benzerliği nedeniyle dikkatleri üzerine çekmiştir. Conti'nin kaynak kodunun sızdırılmasının ardından, Monti'nin bu kodları kullanarak kendi fidye yazılımını geliştirdiği düşünülmektedir. Teknik Özellikler ve Kaçınma Taktikleri Şifreleme Algoritması: Monti'nin yeni sürümleri, dosyaları şifrelemek için AES-256-CTR algoritmasını kullanmaktadır. Bu güçlü şifreleme yöntemi, verilerin çözülmesini son derece zorlaştırır. Dosya Boyutuna Göre Şifreleme: Monti, dosya boyutuna bağlı olarak farklı şifreleme stratejileri uygular. 1,048 MB'den küçük dosyaların tamamı şifrelenirken, daha büyük dosyaların yalnızca belirli bölümleri eşit parçalara bölünerek şifrelenir. Bu yöntem, şifreleme sürecini hızlandırırken, dosyaların kullanılmaz hale gelmesini sağlar. Komut Satırı Parametreleri: Yeni sürümlerde, şifreleyicinin davranışını kontrol etmek için kullanılan bazı komut satırı argümanları kaldırılmış ve yerine yenileri eklenmiştir. Özellikle, belirli sanal makineleri atlamak için kullanılan --whitelist parametresi dikkat çekicidir. Tespit Edilmekten Kaçınma: Monti, tespit edilmemek için kod yapısında değişiklikler yaparak, güvenlik yazılımlarının ve analiz araçlarının işini zorlaştırmaktadır. Özellikle, önceki sürümlerle olan benzerlik oranının düşürülmesi, statik analizlerin etkinliğini azaltmaktadır Hedefler ve Operasyon Alanı Monti grubu, özellikle hükümet ve hukuk sektörlerindeki kuruluşları hedef almaktadır. Coğrafi olarak ise, Avrupa ve Amerika'daki ülkelerde faaliyet göstermektedir. Grubun hedef seçiminde, kritik altyapılara sahip ve fidye ödeme kapasitesi yüksek kuruluşlara öncelik verdiği gözlemlenmektedir. İş Modeli ve Finansal Yapı Monti'nin iş modeli hakkında detaylı bilgiler sınırlı olmakla birlikte, fidye yazılımı hizmet modeli (RaaS) kullanarak operasyonlarını yürüttüğü düşünülmektedir. Bu modelde, fidye yazılımı geliştiricileri, yazılımlarını diğer suç ortaklarına kiralayarak elde edilen fidyeden pay alırlar. Bu sayede, grup hem gelirini artırmakta hem de izini sürmeyi zorlaştırmaktadır. Kurbanlara Yaklaşım ve İletişim Monti grubu, kurbanlarıyla genellikle anonim iletişim kanalları üzerinden temas kurar. Fidye notlarında, ödeme talimatları ve süre sınırlamaları belirtilir. Ayrıca, ödeme yapılmadığı takdirde verilerin sızdırılacağı veya tamamen silineceği tehdidinde bulunurlar. Grup, kurbanların verilerini geri alabileceklerini kanıtlamak için bazen ücretsiz şifre çözme hizmeti de sunmaktadır. Grubun Teknik Analizi Monti fidye yazılımı, dosyaları şifrelemek için AES-256-CTR şifreleme algoritması kullanır. Ayrıca, sistemdeki yedekleme ve kurtarma mekanizmalarını devre dışı bırakarak kurtarma çabalarını engellemeye çalışır. Kötü amaçlı yazılımın analizi, kodunun sık sık değiştirildiğini ve tespit edilmekten kaçınmak için çeşitli obfuscation tekniklerinin kullanıldığını göstermektedir. Yasal ve Güvenlik Perspektifi Monti grubunun faaliyetleri, uluslararası hukuk ve siber güvenlik otoriteleri tarafından yakından izlenmektedir. Ancak, grubun anonim yapısı ve faaliyetlerini farklı yargı bölgelerinde yürütmesi, yasal takibi zorlaştırmaktadır. Bu nedenle, kuruluşların kendi güvenlik önlemlerini artırmaları büyük önem taşımaktadır. Toplumsal ve Ekonomik Etkiler Monti grubunun saldırıları, hedef aldığı kuruluşlarda operasyonel aksamalara, finansal kayıplara ve itibar zedelenmesine yol açmaktadır. Ayrıca, özellikle hükümet ve hukuk sektörlerindeki saldırılar, toplumun geniş kesimlerini olumsuz etkileyebilmektedir. Grubun Medya ve Toplumdaki Yansıması Monti grubu, medya tarafından genellikle "Conti'nin ardılı" olarak tanımlanmaktadır. Saldırıları, kamuoyunda siber güvenlik farkındalığının artmasına katkı sağlamış ve kuruluşları güvenlik yatırımlarını artırmaya yönlendirmiştir. Gelecek Öngörüleri Monti grubunun gelecekte de faaliyetlerini sürdürmesi ve tekniklerini daha da geliştirmesi muhtemeldir. Bu nedenle, kuruluşların proaktif güvenlik önlemleri alması, personelini eğitmesi ve siber tehdit istihbaratını yakından takip etmesi önem arz etmektedir. Sonuç Monti fidye yazılımı grubu, siber tehdit ortamında önemli bir aktör olarak varlığını sürdürmektedir. Karmaşık teknikleri ve hedef odaklı saldırılarıyla, kuruluşlar için ciddi bir tehdit oluşturmaktadır. Bu nedenle, siber güvenlik önlemlerinin sürekli olarak güncellenmesi ve farkındalığın artırılması, bu tür tehditlere karşı en etkili savunma olacaktır....

Space Bears Ransomware Nedir? Space Bears, Nisan 2024'te ortaya cikan ve kendine ozgu "kurumsal" imaji ile dikkat ceken bir fidye yazilimi ve veri gasp grubudur. Moskova, Rusya merkezli oldugu dusunulen grup, Phobos ransomware-as-a-service grubuyla iliskili olup, cesitli yuksek profilli siber saldirilarin sorumlulugunuu ustlenmistir. Diger fidye yazilimi cetelerinden farkli olarak, Space Bears profesyonel bir kurumsal imaj sergilemektedir. Sizdirma web sitesinde, hacker cetesinden ziyade bir sirketle dogal olarak iliskilendirilecek stok gorseller kullanilmaktadir. 2024-2026 doneminde 29'un uzerinde saldiri gerceklestiren grup, veri hirsizligi ve gasp operasyonlarinda aktif rol oynamaktadir. Phobos Iliskisi ve Operasyonel Model Analistler, grubu bazen sifreleme uygulayan ancak genellikle hassas dosyalari elde etmeye, kurban aglarindan cikarmaya ve yayini bastirmak icin odeme talep etmeye odaklanan bir veri hirsizligi ve gasp operasyonu olarak tanimlamaktadir. Space Bears, kurban organizasyonlardan hassas verileri calir, bilgisayar sistemlerini sifreler ve sifrele cozum anahtari icin fidye talep eder veya verilerin dark web'de yayinlanacagi tehdidinde bulunur. Tarihsel Gelisim ve Evrim Nisan 2024: Ortaya Cikis Space Bears, Nisan 2024'te ilk kez radar ekranina girdi. Grup, baslangictan itibaren profesyonel kurumsal gorunumuyle dikkat cekti ve diger fidye yazilimi operasyonlarindan farklilasti. 2024 Ortasi - Sonu: Genisleme Grup, 2024 yilinin ikinci yarisinda operasyonlarini genisletmeye basaldi. Cesitli sektorlerdeki sirketler hedef alindi ve sizdirma sitesinde kurban sayisi artti. Ocak 2025: Atos Iddialari 3 Ocak 2025'te Space Bears, Fransiz IT devi Atos Group'un veritabanini ele gecirdigini iddia etti. Ancak Atos, iddialarin asılsız oldugunu acikladi ve Atos tarafindan yonetilen hicbir altyapinin ihlal edilmedigini, kaynak koda erisilmedigini ve hicbir Atos IP'si veya ozel verisinin ifsa edilmedigini belirtti. Atos, Atos ile baglantisi olmayan harici ucuncu taraf altyapisinin grup tarafindan ele gecirildigini kaydetti. Bu altyapi, Atos sirket adini belirten veriler iceriyordu ancak Atos tarafindan yonetilmiyor veya guvence altina alinmıyordu. Ocak 2025: Christian Community Aid Space Bears fidye yazilimi grubu, topluluk hayir kurumu Christian Community Aid'i (CCA) darknet sizdirma sitesinde kurban olarak listeledi. Aralik 2025: Comcast/Quasar Inc. Ihlali Space Bears fidye yazilimi grubu, Georgia merkezli bir telekomünikasyon muhendisligi yuklenicisi olan Quasar Inc.'deki bir ihlali istismar ederek dahili Comcast materyalleri elde ettigini iddia etmektedir. Iddialar, grubun dark web sizdirma sitesinde yayinlandi. Ayni sizdirma sitesi, Quasar'i ayri bir gonderide bagimsiz bir kurban olarak da listelemektedir. Quasar Inc., 4 Aralik 2025 tarihli ayri bir gonderide Space Bears sizdirma sitesinde gorundi. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2024-2026) - Toplam Dogrulanmis Saldiri: 29+ - Ilk Ortaya Cikis: Nisan 2024 - Iliskili Grup: Phobos RaaS - Hedef Platformlar: Windows, Linux - Operasyonel Odak: Veri hirsizligi ve gasp Sektor Bazli Dagilim - Teknoloji/IT Hizmetleri: %28 - Uretim: %20 - Finans: %15 - Saglik: %12 - Perakende: %10 - Kar Amaci Gutmeyen: %8 - Diger: %7 Cografi Dagilim - Kuzey Amerika: %45 - Avrupa: %30 - Asya-Pasifik: %15 - Diger: %10 Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri Space Bears, kurban aglarina erisim saglamak icin cesitli yontemler kullanmaktadir: **Remote Desktop Protocol (RDP) Zafiyetleri** Zayif yapilandirilmis veya korunmamis RDP hizmetleri hedef alinmaktadir. **Kimlik Avi E-postalari** Hedefli kimlik avi kampanyalari ile ilk erisim elde edilmektedir. **Yazilim Tedarik Zinciri** Quasar Inc./Comcast orneginde goruldugu gibi, tedarik zinciri iliskileri uzerinden hedef organizasyonlara erisim saglanmaktadir. Cift Gasp Taktigi Space Bears, standart cift gasp modelini uygulamaktadir: 1. Hassas verilerin sizdirmasi 2. Sistemlerin sifrelenmesi (bazen) 3. Fidye talep edilmesi 4. Odeme yapilmazsa verilerin dark web'de yayinlanmasi tehdidi Hedef Ortamlar Space Bears oncelikle Windows ve Linux ortamlarini hedef almaktadir. Grup, asagidaki zafiyetleri istismar etmektedir: - Remote Desktop Protocol (RDP) - Kimlik avi e-postalari - Yazilim tedarik zincirleri MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1133 - External Remote Services (RDP) - T1566 - Phishing - T1199 - Trusted Relationship (tedarik zinciri) - T1078 - Valid Accounts **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1047 - Windows Management Instrumentation **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution - T1078 - Valid Accounts **Ayricalik Yukseltme (TA0004)** - T1068 - Exploitation for Privilege Escalation - T1078 - Valid Accounts **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery **Yanal Hareket (TA0008)** - T1021.001 - Remote Desktop Protocol - T1021.002 - SMB/Windows Admin Shares - T1570 - Lateral Tool Transfer **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Benzersiz Ozellikler Kurumsal Imaj Space Bears, sizdirma web sitesinde sergiledigi "kurumsal" imajla belirli bir un kazanmistir. Diger fidye yazilimi cetelerinden farkli olarak, Space Bears bir hacker cetesinden ziyade bir sirketle dogal olarak iliskilendirilecek stok gorseller kullanarak kendini profesyonel bir sekilde sunmaktadir. Veri Broker Odagi Analistler, grubu birincil olarak Veri Broker olarak faaliyet gosteren bir fidye yazilimi grubu olarak tanimlamaktadir. Sifreleme bazen uygulanırken, odak noktası genellikle veri hirsizligi ve gasp uzerindedir. Tedarik Zinciri Istismari Quasar Inc./Comcast ornegi, grubun tedarik zinciri iliskilerini istismar etme yeteneiginii gostermektedir. Bir yukleniciyi hedef alarak, daha buyuk organizasyonlarin verilerine erisim saglanmistir. Onemli Saldirilar ve Vaka Incelemeleri Atos Iddialari (Ocak 2025) Space Bears, 3 Ocak 2025'te Atos Group'u ihlal ettigini iddia etti. Ancak: - Atos iddialari reddetti - Atos altyapisi veya kaynak kodu ihlal edilmedi - Harici, baglantisiz ucuncu taraf altyapisi ele gecirildi - Ele gecirilen altyapi Atos adi gecen veriler iceriyordu Bu vaka, Space Bears'in bazen asılsız veya abartili iddialar yapabilecegini gostermektedir. Christian Community Aid (Ocak 2025) Topluluk hayir kurumu CCA, grubun sizdirma sitesinde listelendi. Kar amaci gutmeyen organizasyonların da hedef alindigini gosteren bu saldiri, grubun hedef secimindeki genislik ornegi olarak dikkat cekmektedir. Quasar Inc. / Comcast (Aralik 2025) Tedarik zinciri saldirisi ornegi: - Quasar Inc. (telekomuunikasyon yuklenicisi) ihlal edildi - Comcast dahili materyalleri elde edildigi iddia edildi - Quasar ayri bir kurban olarak da listelendi - Tedarik zinciri iliskilerinin risk oldugunu gostermektedir Phobos Ransomware Iliskisi Phobos Ozellikleri Space Bears, Phobos RaaS grubuyla iliskilidir. Phobos: - 2018'den beri aktif RaaS operasyonu - Genellikle kucuk ve orta olcekli isletmeleri hedefler - RDP istismari ile ilk erisim - Crysis/Dharma fidye yazilimi ailesinden turemistir Iliskinin Anlami Phobos iliskisi, Space Bears'in kurulu bir fidye yazilimi altyapisini kullandigini gostermektedir. Bu, grubun teknik yeteneklerini ve operasyonel olgunlugunu artirmaktadir. Korunma Stratejileri ve Oneriler RDP Guvenligi Space Bears'in RDP istismarini goz onune alarak: - RDP'yi internete dogrudan acik tutmayin - RDP erisimi icin VPN zorunlu kilin - MFA uygulayIn - Network Level Authentication (NLA) etkinlestirin - RDP loglarini izleyin - Guclu parola politikalari uygulayin Tedarik Zinciri Guvenligi Quasar/Comcast ornegi goz onune alindiginda: - Ucuncu taraf risk degerlendirmesi yapin - Yuuklenici erisimini sinirlandirin ve izleyin - Tedarikci guvenlik gereksinimlerini sozlesmelerde belirleyin - Tedarik zinciri ihlali senaryolari icin olay mudahale planlari hazirllayin Veri Koruma **Veri Siniflandirma** Hassas verilerin siniflandirilmasi ve uygun koruma seviyelerinin belirlenmesi. **DLP Cozumleri** Veri sizdirmayi tespit etmek ve onlemek icin DLP uygulayin. **Sifreleme** Hassas verilerin hem aktarim sirasinda hem de duragan halde sifrelenmesi. Kimlik Avi Savunmasi - E-posta filtreleme ve sandbox cozumleri - Calislan farkindalik egitimleri - Simulasyon testleri - Raporlama mekanizmalari Ag Guvenligi **Segmentasyon** Kritik sistemlerin ve verilerin segmente edilmesi. **Izleme** Anormal trafik ve yanal hareket icin NDR/NTA cozumleri. **Erisim Kontrolu** En az ayricalik ilkesi ve sifir guven yaklasimi. Yedekleme Stratejisi - Cevrimdisi ve degistirilemez yedekler - 3-2-1 yedekleme kurali - Duzenli yedekleme testleri - Kurtarma planlari ve tatbikatlar Olay Mudahale - Fidye yazilimi senaryolari icin ozel olay mudahale planlari - Tedarik zinciri ihlali senaryolari - Forensik yetenek gelistirme - Kriz iletisim planlari Gelecek Ongoruleri Devam Eden Tehdit Space Bears'in Phobos iliskisi ve kurulu operasyonel modeli, grubun 2026'da da aktif olacagini gostermektedir. Tedarik Zinciri Odagi Quasar/Comcast saldirisi, tedarik zinciri istismariniin grubun stratejisinin onemli bir parcasi olabilecegini gostermektedir. Veri Broker Rolunuun Artisi Grubun veri hirsizligi ve gasp odagi, sifreleme yerine veri satisi ve gaspa yonelme trendini yansitmaktadir. Sonuc Space Bears, Nisan 2024'te ortaya cikan ve benzersiz kurumsal imaji ile dikkat ceken bir fidye yazilimi ve veri gasp grubudur. Phobos RaaS iliskisi, tedarik zinciri istismar yetenekleri ve veri broker odagi, grubu fidye yazilimi ekosisteminde onemli bir oyuncu haline getirmektedir. Aralik 2025'teki Quasar/Comcast saldirisi, tedarik zinciri iliskilerinin nasil istismar edilebilecegini gosteren onemli bir ornektir. Organizasyonlar, ozellikle RDP guvenligi, tedarik zinciri risk yonetimi ve veri koruma alanlarinda kapsamli onlemler almalidir. Grubun bazen asılsız iddialar yapabilecegi (Atos ornegi) akilda tutulmalidır. Ancak bu durum, tehdidi hafife almak icin bir neden degildir. Space Bears, aktif ve tehlikeli bir tehdit aktoru olarak izlenmeye devam etmelidir. Proaktif guvenlik durus, tedarik zinciri risk yonetimi ve guclu olay mudahale yetenekleri, Space Bears ve benzeri tehditlere karsi en etkili savunma yaklasimini olusturmaktadir....

Giriş Arcusmedia Ransomware grup, bilgisayar sistemlerini hedef alan ve kullanıcıların verilerini şifreleyerek fidye talep eden bir siber tehditti. Tek kullanıcılardan büyük kuruluşlara kadar birçok farklı hedefe saldırılar düzenlemiştir. Tarihçe Arcusmedia Ransomware ilk olarak 2019 yılında ortaya çıktı ve o zamandan bu yana birçok farklı versiyonu geliştirildi. Teknik Özellikler Arcusmedia Ransomware, özellikle Windows işletim sistemi üzerinde etkilidir. Şifreleme algoritması olarak genellikle AES-256'yı kullanır. İşleyiş Ransomware, genellikle phishing e-postaları veya sahte yazılım güncellemeleri yoluyla bulaşır. Kurbanın sisteminde yerleştikten sonra verileri şifreler ve fidye talebini içeren bir mesaj görüntüler. Etki Alanı Arcusmedia özellikle Kuzey Amerika ve Avrupa'daki kullanıcıları hedef alıyor, ancak küresel bir tehdit oluşturuyor. Son İstatistikler Son raporlara göre, Arcusmedia'nın neden olduğu saldırılar 2020 yılında %20 artış gösterdi. Neden Tehlikeli Arcusmedia'nın şifreleme yeteneği ve karmaşık yapısal özellikleri, onu çok tehlikeli bir tehdit yapmaktadır. Veri kaybı ve önemli maliyetlere neden olabilir. Genel Hedefleri Arcusmedia genellikle büyük kurumsal ağlar ve devlet kurumlarını hedef alır. Saldırı Taktikleri Phishing e-postaları, sahte yazılım güncelleştirmeleri ve zayıf ağ güvenliği Arcusmedia'nın yayılma taktiklerindendir. Önemli Olaylar 2020 yılında Arcusmedia, dünya genelindeki birçok hastane ve sağlık kuruluşunu hedef alan büyük bir saldırı kampanyası yürüttü. Korunma Yolları Güncel antivirüs yazılımı kullanma, güvenilir olmayan e-posta eklerini açmamak ve düzenli veri yedeklemek Arcusmedia'ya karşı koruma sağlar....

Interlock Ransomware Nedir? Interlock, Eylul 2024'un sonlarinda ortaya cikan ve Kuzey Amerika ile Avrupa'daki cesitli isletmeler, kritik altyapi ve diger organizasyonlari hedef alan tehlikeli bir fidye yazilimi operasyonudur. Geleneksel Ransomware-as-a-Service (RaaS) modelinden ayrilan Interlock, affiliate'ler veya kamusal reklamlar olmadan calisarak tamamen ic operasyonlarla saldirilarini yurutmektedir. Temmuz 2025'te CISA ve FBI, Interlock'un zararli yazilimini guncelleyerek tespite karsi daha direncli hale getirdigi konusunda ortak uyari yayinlamistir. Grup, 2025 yilinda hastaneleri, sehir hukumetlerini ve bolgesel isletmeleri kesintiye ugratarak bir yildan kisa surede bilinmeyen bir tehditten ust duzey bir gruba evrilmistir. Tarihsel Gelisim ve Evrim Eylul 2024: Ortaya Cikis Interlock fidye yazilimi varyanti ilk olarak Eylul 2024'un sonlarinda gozlemlendi. Grup, baslangictan itibaren hem Windows hem de Linux isletim sistemlerini hedef alan sifreleyiciler gelistirdi. 2025: Hizli Yukselis Interlock, 2025 yilinda dramatik bir sekilde buyudu. Su ana kadar sizdirma sitesinde en az 58 bilinen kurban listelenmistir. Grubun sosyal muhendislik teknikleri ve cift gasp taktikleri, onu en tehlikeli tehdit gruplarindan biri haline getirmistir. Temmuz 2025: CISA/FBI Ortak Uyarisi 22 Temmuz 2025'te CISA ve FBI, diger federal kurumlarla birlikte Interlock'un son zamanlarda zararli yazilimini guncelleyerek tespite karsi daha direncli hale getirdigi konusunda ortak uyari yayinladi. Uyari, FBI'in hem Windows hem de Linux isletim sistemleri icin tasarlanmis Interlock sifreleyicileriyle karsilastigini belirtti. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2024-2026) - Toplam Bilinen Kurban: 58+ - En Yuksek Etkili Saldiri: DaVita (1,5 TB veri, 200.000+ hasta) - Saldiri Hacmi Artisi (2025): %179 - Ortalama Sistem Icinde Kalma Suresi: 17 gun - Hedef Platformlar: Windows, Linux Sektor Bazli Dagilim - Saglik: %28 - Kamu Sektoru: %22 - Egitim: %18 - Uretim: %15 - Finans: %10 - Diger: %7 2025 Onemli Saldirilari DaVita Saldirisi (Nisan 2025) Interlock'un bugune kadarki en yuksek etkili saldirisi olan DaVita ihlali: - 1,5 terabyte veri calindi - Bobrek diyaliz hizmeti saglayicisinin 200.000'den fazla hastasi etkilendi - Saglik sektorundeki kritik riskleri ortaya koydu - Operasyonel kesintiler haftalarca surdu Kettering Health Saldirisi (Mayis 2025) Interlock fidye yazilimi grubu, 14 tip merkezi ve duzinelerce klinikten sorumlu Kettering Health sistemini hedef aldi: - Ilk Erisim: 9 Nisan 2025 - Tespit: 20 Mayis 2025 - Sistem Icinde Kalma Suresi: 41 gun - Sizdirilan Veri: 941 GB - Kritik sistemler cevrimdisi kaldi - Hassas veriler sizdirildiktan sonra fidye yazilimi dosyalari sifreledi St. Paul, Minnesota Sehri Saldirisi (Temmuz 2025) Temmuz 2025'te St. Paul, Minnesota sehri, temel belediye sistemlerini devre disi birakan bir fidye yazilimi saldirisinin ardindan olaganustu hal ilan etti: - Paylasilan ag surucusu ele gecirildi - Faturalama, acil durum koordinasyonu ve vatandas hizmetlerinden sorumlu sistemler sifrelendi - 3.500 sehir calisaninin kisisel verileri potansiyel risk altina girdi - 11 Agustos 2025'te Interlock saldirinin sorumluluugunu ustlendi Universite Saldirilari (Mayis 2025) Interlock Fidye Yazilimi Cetesi, Mayis 2025'te universitelere yeni bir NodeSnake RAT konuslandirdi. Bu saldirilar, egitim sektorunun artan risk altinda oldugunu gostermektedir. Teknik Altyapi ve Saldiri Metodolojisi ClickFix Sosyal Muhendislik Teknigi Interlock, hedeflerin ele gecirilmis web sitelerine yonlendirilip "insan olduklarini kanitlamalari" istendigi ClickFix tekniğini siklikla kullanmaktadir. Kurbanlar, cihazlarinin RAT (Remote Access Trojan) gibi zararli yazilim indirmesine neden olan tusşlara basmalari icin kandirmaktadir. FileFix Sosyal Muhendislik 2025 yilinda Interlock, ayni sonucu elde etmek icin Windows Dosya Gezgini'nin adres cubuguunu kotuye kullanan FileFix sosyal muhendisligi ile bu yaklasimi genisletti. NodeSnake RAT Mayis 2025'te universitelere konuslandirilan yeni uzaktan erisim trojani. Kalicilik, veri toplama ve komuta-kontrol iletisimi icin kullanilmaktadir. Saldiri Zaman Cizelgesi Saldirganlarin aktivite zaman cizelgesi, ilk ele gecirme asamasindan fidye yazilimi sifreleyici binary'sinin konuslandirilmasina kadar, kurbanin ortaminda ortalama 17 gunluk bir bekleme suresi oldugunu gostermektedir. MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing (ClickFix, FileFix) - T1189 - Drive-by Compromise - T1078 - Valid Accounts - T1190 - Exploit Public-Facing Application **Yurutme (TA0002)** - T1059.001 - PowerShell - T1059.007 - JavaScript - T1204.002 - Malicious File - T1047 - Windows Management Instrumentation **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution - T1078 - Valid Accounts **Ayricalik Yukseltme (TA0004)** - T1068 - Exploitation for Privilege Escalation - T1078 - Valid Accounts - T1134 - Access Token Manipulation **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal - T1218 - Signed Binary Proxy Execution **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores - T1558 - Steal or Forge Kerberos Tickets **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery - T1069 - Permission Groups Discovery **Yanal Hareket (TA0008)** - T1021.001 - Remote Desktop Protocol - T1021.002 - SMB/Windows Admin Shares - T1570 - Lateral Tool Transfer **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop - T1529 - System Shutdown/Reboot Operasyonel Model Kapali Operasyon Interlock, geleneksel RaaS modelinden saparak affiliate'ler veya kamusal reklamlar olmadan calismaktadir. Her saldiri, ilk erisimden gasp asamasina kadar ic ekip tarafindan yurutulmektedir. Cift Gasp Stratejisi Grup, standart cift gasp modelini uygulamaktadir: 1. Hassas verilerin sizdirmasi 2. Sistemlerin sifrelenmesi 3. Odeme yapilmazsa verilerin yayinlanmasi tehdidi Sizdirma Sitesi Interlock, profesyonel bir sizdirma sitesi isletmektedir. Kurbanlar listelenekte ve fidye odenmezse veriler yayinlanmaktadir. Platform Destegi Windows Windows sifreleyicisi, kurumsal ortamlari hedef almakta ve cesitli savunma atlatma teknikleri kullanmaktadir. Linux Linux sifreleyicisi, sunucu ortamlarini ve kritik uygulamalari hedef almaktadir. CISA/FBI uyarisinda her iki platform icin sifreleyicilerin var oldugu dogrulanmistir. 2025-2026 Tehdit Degerlendirmesi Saldiri Artisi 2025 yilinda fidye yazilimi saldirilari %179 artmis olup, ozellikle aktif ceteler yamasiz zafiyetleri hedef almis ve yapay zekaya yonelmistir. Devam Eden Tehdit Interlock ortadan kalkmayacak ve kullandigi taktikler, diger fidye yazilimi gruplari benzer yontemleri benimsedikce daha yaygin hale gelecektir. Hizli Evrim Interlock fidye yazilimi, bir yildan kisa surede bilinmeyen bir tehditten ust duzey bir gruba evrilmistir. 2025 yilinda hastaneleri, sehir hukumetlerini ve bolgesel isletmeleri kesintiye ugratarak, bunun nis bir kampanyadan cok otesi oldugunu gostermistir. Korunma Stratejileri ve Oneriler Sosyal Muhendislik Savunmasi **ClickFix/FileFix Farkindaligi** Calisanlari, web sitelerinin tus kombinasyonlari girmelerini isteyen "insan dogrulama" taktikleri konusunda egitin. **Tarayici Guvenligi** Tarayici guvenlik politikalarini sertlestirin ve zararli site engellemesi yapin. **E-posta Filtreleme** Gelismis e-posta filtreleme ve sandbox cozumleri kullanin. Uc Nokta Guvenligi **EDR Cozumleri** Gelismis EDR cozumleri konuslandirin ve NodeSnake RAT tespiti icin davranis analizi yapin. **Uygulama Kontrolu** Onaylanmamis uygulamalarin calismasini engelleyin. **PowerShell Kisitlama** PowerShell kullanimini izleyin ve sinirlandirin. Ag Guvenligi **Segmentasyon** Kritik sistemleri ve hasta verilerini segmente edin. **Yanal Hareket Tespiti** SMB ve RDP trafigini izleyin ve anormal yanal hareketi tespit edin. **Izleme** 17 gunluk ortalama bekleme suresi goz onune alindiginda, uzun sureli izleme ve tehdit avciliga kritik oneme sahiptir. Saglik Sektoru Ozel Onlemleri **Hasta Veri Koruma** HIPAA uyumlulugu ve hasta verilerinin ozel korunmasi saglanmalidir. **Operasyonel Sureklilik** Sistem kesintilerinde hasta bakiminin devam etmesi icin yedek planlar hazirlanmalidir. **Olay Mudahale** Saglik sektorune ozel olay mudahale planlari gelistirilmelidir. Kamu Sektoru Ozel Onlemleri **Kritik Sistem Koruma** Faturalama, acil durum ve vatandas hizmetleri sistemlerinin ozel korunmasi saglanmalidir. **Calislan Veri Guvenligi** Calislan kisisel verilerinin korunmasi icin ek onlemler alinmalidir. **Kriz Iletisimi** Kamu iletisimi ve olaganustu hal prosedurlleri hazirlanmalidir. Veri Koruma **Yedekleme Stratejisi** Cevrimdisi ve degistirilemez yedeklerin olusturulmasi gerekmektedir. **Veri Siniflandirma** Hassas verilerin siniflandirilmasi ve uygun koruma saglanmalidir. **DLP** Veri sizdirmayi tespit etmek ve onlemek icin DLP cozumleri kullanilmalidir. Sonuc Interlock, Eylul 2024'te ortaya cikan ve bir yildan kisa surede fidye yazilimi ekosisteminin en tehlikeli oyuncularindan biri haline gelen sofistike bir tehdit aktorudur. ClickFix ve FileFix sosyal muhendislik teknikleri, NodeSnake RAT ve cift platform destegi, grubun teknik yeteneklerini ortaya koymaktadir. DaVita, Kettering Health ve St. Paul sehri saldirilari, grubun saglik ve kamu sektorlerine yonelik ciddi tehdidini gostermektedir. 1,5 TB veri ve 200.000'den fazla hasta etkileyen DaVita saldirisi, grubun ne kadar yikici olabilecegini ortaya koymaktadir. Temmuz 2025'teki CISA/FBI ortak uyarisi, Interlock'un federal duzeyde izlenen ciddi bir tehdit oldugunu dogrulamaktadir. Organizasyonlar, ozellikle sosyal muhendislik savunmasi, uc nokta guvenligi ve veri koruma alanlarinda kapsamli onlemler almalidir. Proaktif tehdit istihbarati, guclu yedekleme stratejileri ve olay mudahale yetenekleri, Interlock ve benzeri tehditlere karsi en etkili savunma yaklasimini olusturmaktadir....

Nova Ransomware Nedir? Nova, Mart 2025'te RALord olarak ortaya cikan ve Nisan 2025'te yeniden markalanan bir Ransomware-as-a-Service (RaaS) operasyonudur. Kisa surede fidye yazilimi pazarinda guclu bir oyuncu haline gelen grup, cift gasp stratejisi ve agresif gasp taktikleriyle dikkat cekmektedir. Grup, odeme sonrasi fidye iki katina cikarmak gibi ongörulemez gasp uygulamalariyla bilnmektedir. 2026 basina kadar bes kitada 86'dan fazla kurbana ulasarak hizli bir yukselis kaydetti. Tarihsel Gelisim Mart 2025: RALord Olarak Ortaya Cikis Nova, baslangicta Mart 2025'te RALord olarak faaliyet gostermeye basladi. Geleneksel RaaS is ortagi is modeli izlenerek, is ortaklari fidye odemelerinin yaklasik %85'ini alirken operatorler kalan kismi aldi. Nisan 2025: Nova Yeniden Markalamasi Nisan 2025'te grup Nova olarak yeniden markalandi. Bu gecis, operasyonel stratejilerde ve hedefleme kaliplarinda degisiklikler getirdi. 2025-2026: Hizli Buyume Bir yildan kisa surede Nova is ortaklari, saglik, uretim, egitim ve kritik hizmetler dahil olmak uzere dunya genelinde duzinelerce organizasyonu ihlal etti. 2025-2026 Saldiri Istatistikleri Nova, kisa surede etkileyici rakamlar kaydetti: - Toplam Kurban (Son 6 Ay): 56 - Toplam Kurban (2026 basina kadar): 86+ - Hedeflenen Kita Sayisi: 5 - Is Ortagi Payi: %85 - Operator Payi: %15 Hedef Sektorler Nova belirli sektorlere yogunlasmaktadir: - Saglik: Hastaneler ve tibbi tesisler - Uretim: Imalat sektoru - Egitim: Okullar ve universiteler - Kritik Hizmetler: Temel altyapi - Medya ve Eglence: Kurusel medya sirketleri - Gida Uretimi: Tarim ve gida isleme Cografi Dagilim Nova'nin hedefledigi bolgeler bes kitaya yayilmaktadir: - Avrupa: Fransa (Epi du Rouergue) - Orta Dogu: BAE (Dubai Air Wing) - Latin Amerika: Cisneros Group - Kuzey Amerika: Cesitli hedefler - Asya: Bolgese hedefler RaaS Operasyon Modeli Is Ortakligi Yapisi Nova, geleneksel RaaS is ortagi modelini izlemektedir: - Is Ortagi Payi: %85 - Operator Payi: %15 Bu gelir paylasimi modeli, deneyimli siber suclulari cekmek icin rekabetci bir oran sunmaktadir. Saldiri Yaklasimi Nova'nin faaliyetleri, buyuk olcekli kampanyalardan ziyade odakli, firsatci saldirilara tercihi gostermektedir. Grup, sistem sifreleme ile veri hirsizligini birlestirerek gasp taleplerini guclendirmek icin veri ifsa tehdidini kullanmaktadir. Ongörulemez Gasp Nova'nin benzersiz ozelliklerinden biri, ilk fidye odemesinden sonra fidyeyi beklenmedik sekilde iki katina cikarmasi olmustur. Bu durum, grubun gasp uygulamalarinin ongorulelemezligini yansitmaktadir. Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri Guvenlik arastirmacilari, Nova'nin kullandigi taktiklerin tipik fidye yazilimi saldirganlarinin kullandiklarına benzedigini belirtmektedir: - Phishing Saldirilari: Kötü niyetli e-postalar - Acik Hizmet Istismari: Internete acik servislerin hedeflenmesi - Calinti Kimlik Bilgileri: Ele gecirilmis hesaplarin kullanımı MITRE ATT&CK Eslestirmesi Ilk Erisim (TA0001): - T1566 - Phishing - T1078 - Valid Accounts (calinti kimlik bilgileri) - T1190 - Exploit Public-Facing Application Savunma Atlatma (TA0005): - T1562 - Impair Defenses (guvenlik cozumlerini devre disi birakma) Etki (TA0040): - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery (yedekleri devre disi birakma) - T1657 - Financial Theft Sizdirma (TA0010): - T1567 - Exfiltration Over Web Service Saldiri Playbook Nova'nin saldiri zinciri tanidir ancak yikici: 1. Calinti kimlik bilgileri veya acik hizmetler uzerinden giris 2. Yedekleri devre disi birakma 3. Guvenlik cozumlerini devre disi birakma 4. Hizli yanal hareket 5. Veri hirsizligi 6. Sifreleme 7. Gasp talebi Cift Gasp Stratejisi Saldiri Akisi Nova, gelismis cift gasp yaklasimini uygulamaktadir: 1. Phishing veya acik hizmet istismari ile ilk erisim 2. Yedekleme sistemlerini devre disi birakma 3. Guvenlik cozumlerini devre disi birakma 4. Hizli yanal hareket ve ag genelinde yayilma 5. Hassas verilerin sizdirilmasi 6. Dosyalarin sifrelenmesi 7. Fidye talebi 8. Odeme sonrasi potansiyel fidye artisi 9. Odeme yapilmazsa veri ifsa tehdidi Iki Katina Cikarma Taktigi Nova'nin en dikkat cekici ozelligi, ilk fidye odemesinden sonra fidyeyi beklenmedik sekilde iki katina cikarmasi olmustur. Bu durum, kurbanlar icin ek belirsizlik ve risk olusturmaktadir. 2026 Onemli Saldirilari Epi du Rouergue (Ocak 2026) 6 Ocak 2026'da Nova, Fransa merkezli gida uretim sirketi Epi du Rouergue'u ihlal etti. Cisneros Group (Ocak 2026) 11 Ocak 2026'da kuresel medya ve eglence holdingsi Cisneros Group saldiriya ugradi. Dubai Air Wing (Ocak 2026) 13 Ocak 2026'da Nova, Dubai Air Wing sistemlerini ihlal ettigini ve dahili verileri caldigini iddia etti. 2025 Fidye Yazilimi Baglami Cift Gasp Trendi Deepstrike'a gore, 2025 fidye yazilimi saldirilarinin %76'si sifreleme oncesi veri sizdirma icermektedir. Bu durum cift gaspi mumkun kilmaktadir - kurbanlar yedeklerden geri yuklese bile, saldirganlar calinan verileri yayinlamakla tehdit etmektedir. MITRE ATT&CK Cercevesi MITRE ATT&CK Framework Surum 18 (Ekim 2025), 70'den fazla fidye yazilimi ailesini ve tekniklerini belgelemektedir. Organizasyonlar, bilinen fidye yazilimi davranislarina karsi tespit kapsamini dogrulamak ve yetenek boslukalarini belirlemek icin ATT&CK'i kullanabilmektedir. Korunma Stratejileri ve Oneriler Yedekleme Korumasi Nova'nin yedekleri devre disi birakma taktigi goz onune alindiginda: - Cevrimdisi ve degistirilemez yedekler olusturun - 3-2-1 yedekleme kuralini uygulayin - Yedekleme erisimini sinirlandirin - Yedekleme sistemlerini izleyin Guvenlik Cozumleri Korumasi - EDR tamper protection etkinlestirin - Guvenlik cozumlerini izleyin - Devre disi birakma girisimlerini tespit edin - Coklu guvenlik katmanlari uygulayin Kimlik Yonetimi - Calinti kimlik bilgisi izleme yapin - MFA zorunlu kilin - Ayricalikli hesaplari sinirlandirin - Kimlik bilgisi rotasyonu yapin Phishing Koruması - Calisan farkindalik egitimi saglayın - E-posta filtreleme uygulayin - Phishing simulasyonlari yapin - Sandbox analizi kullanin Yanal Hareket Onleme - Ag segmentasyonu uygulayin - Zero trust mimarisi benimseyin - Yanal hareket izleme yapin - Ayricalikli erisimi sinirlandirin Tehdit Istihbarati ve Izleme IoC Izleme - Bilinen Nova/RALord altyapisi - Fidye notu imzalari - Sifreleme rutini gostergeleri - C2 iletisim kaliplari Davranissal Izleme - Yedekleme sistemi devre disi birakma girisimleri - Guvenlik cozumu sonlandirma girisimleri - Hizli yanal hareket aktivitesi - Buyuk olcekli veri sizdirma Proaktif Onlemler - Tehdit istihbarati beslemelerini entegre edin - Acik hizmet zafiyet taramalari yapin - Penetrasyon testleri gerceklestirin - Incident response planlarini guncelleyin Gelecek Ongoruleri Tehdit Degerlendirmesi Nova'nin RALord'dan hizli donusumu ve bes kitada 86+ kurban, grubun 2026'da da onemli bir tehdit olmaya devam edecegini gostermektedir. Ongörulemez gasp taktikleri ek risk olusturmaktadir. Beklenen Gelismeler - Fidye iki katina cikarma taktiginin devami - Kritik hizmetler hedeflemesinin genislemesi - Yeni cografi bolgelere yayilma - Is ortagi aginin buyumesi - Gasp taktiklerinin gelistirilmesi Sonuc Nova, Mart 2025'te RALord olarak ortaya cikan ve kisa surede fidye yazilimi ekosisteminin onemli oyuncularindan biri haline gelen bir tehdit aktorudur. 2026 basina kadar bes kitada 86+ kurban, grubun kuresel erisimini ortaya koymaktadir. Grubun fidye iki katina cikarma taktigi, gasp uygulamalarinin ongörulelemezligini gostermektedir. Cift gasp stratejisi ve yedek/guvenlik cozumu devre disi birakma yetenekleri, kurbanlari zor durumda birakmaktadir. Kuruluslar, Nova ve benzeri tehditlere karsi yedekleme korumasi, guvenlik cozumu tamper protection ve kimlik yonetimi oncelikli alanlar olarak ele alinmalidir. Yanal hareket onleme ve phishing korumasi kritik oneme sahiptir. Proaktif guvenlik durus, surekli izleme ve kapsamli yedekleme stratejileri, bu tehditlere karsi en etkili savunma yaklasimini olusturmaktadir....

Abyss Locker Ransomware Nedir? Abyss Locker (Abyss fidye yazilimi olarak da bilinir), 2023 yilinda ortaya cikan ve kurbanlari fidye yazilimiyla sakatlamak icin tasarlanmis hizli ve kararli izinsiz girislerde uzmanlasan nispeten yeni bir tehdit grubudur. Grup, 2024 boyunca aktif kalmis ve siber saldirilarini 2025'e kadar hizla tirmandirmistir. Grup, ozellikle VMware ESXi sunuculari ve kurumsal aglari hedef alan sofistike taktikler kullanmaktadir. VPN cihazlarindaki ve SSH istismarlarindaki zafiyetleri kullanarak sistemleri sifrelemeden once verileri sizdirmakta ve cift gasp taktikleri uygulamaktadir. En son saldirilar kritik ag cihazlarina odaklanmakta ve onlari 2025'te onemli bir siber guvenlik tehdidi haline getirmektedir. Tarihsel Gelisim ve Evrim 2023: Ortaya Cikis Ilk Abyss Locker ornegi, Temmuz 2023'te kamuya acik bir dosya tarama hizmetine sunulmus olsa da, fidye yaziliminin ilk varyanti daha eskiye dayanabilir cunku HelloKitty fidye yazilimi kaynak koduna dayanmaktadir. 2024: Aktif Operasyonlar Grup, 2024 yilinda aktif kalmis ve guvenlik firmasi Sygnia tarafindan sorusturulan birden fazla olaya neden olmustur. Bu donemde grup, teknik yeteneklerini gelistirdi ve hedef yelpazesini genisletti. 2025: Hizli Tirmanma Grup, 2023'te ortaya cikmis ve siber saldirilarini 2024 boyunca ve 2025'e kadar hizla tirmandirmistir. Grup, kurumsal aglara sizmak, hassas verileri sizdirmak ve sistemleri sifrelemek icin sofistike taktikler kullanmakta ve oncelikli olarak VMware ESXi sunuculari dahil kritik ag cihazlarini hedef almaktadir. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2023-2026) - Toplam Dogrulanmis Saldiri: 4+ (2024-2026) - Ilk Ortaya Cikis: 2023 - Teknik Temel: HelloKitty kaynak kodu - Hedef Platformlar: Windows, ESXi, VPN cihazlari, NAS - Birincil Odak: VMware ESXi sunuculari Hedef Sektorler Abyss Locker fidye yazilimi kampanyalari, asagidaki sektorleri hedef almistir: - Finans - Uretim - Bilgi Teknolojisi - Saglik Grubun web sitesinden yapilan gonderilere dayanarak, birincil hedefleme ABD'dedir ve tip, uretim ve teknoloji sektorleri en sik saldiriya ugramaktadir. Dosya Uzantilari - Windows ana bilgisayarlarindaki dosyalar: '.Abyss' uzantisi - ESXi ortamlarindaki dosyalar: '.crypt' uzantisi Teknik Altyapi ve Saldiri Metodolojisi HelloKitty Mirasi Ilk Abyss Locker ornegi Temmuz 2023'te kamuya acik bir dosya tarama hizmetine sunulmus olsa da, fidye yaziliminin ilk varyanti daha eskiye dayanabilir cunku HelloKitty fidye yazilimi kaynak koduna dayanmaktadir. Kritik Ag Cihazi Hedeflemesi Abyss Locker'in arkasindaki tehdit aktorleri, aktivitelerini ag icinde tunellemek icin kritik ag cihazlarina zararli yazilim konuslandirma taktiklerini surekli olarak kullanmaktadir. Bu sunlari icermektedir: - VPN cihazlari - Aga bagli depolama (NAS) - ESXi sunuculari Ilk Erisim Vektorleri **VPN Zafiyet Istismari (T1190)** Abyss Locker, yamasiz VPN cihazlarindaki zafiyetleri istismar ederek saldirilarini baslatmaktadir. **SSH Brute Force (T1110)** Iliskili tehdit aktorleri, acik sunuculara giris saglamak icin zayif SSH yapilandirmalarini (SSH brute force saldirilari) hedef almaktadir. Saldiri Platformlari Abyss Locker, birden fazla platformda hedefli izinsiz girisler yurutmustur: - Windows - ESXi - VPN cihazlari - Aga bagli depolama (NAS) cihazlari Cift Gasp Modeli Grup, standart cift gasp modelini kullanmaktadir: 1. Hedef aga ilk erisim (VPN zafiyetleri, SSH) 2. Yanal hareket ve kesif 3. Hassas verilerin sizdirmasi 4. Sistemlerin sifrelenmesi 5. Fidye talebi 6. Odeme yapilmazsa verilerin yayinlanmasi tehdidi Fidye Notu ve Kurtarma Engelleme Saldirganlar, 'WhatHappened.txt' baslikli bir fidye notu birakir ve veri kurtarmayi onlemek icin volume shadow copy'leri silmeye calisir. MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1190 - Exploit Public-Facing Application (VPN zafiyetleri) - T1110 - Brute Force (SSH) - T1133 - External Remote Services - T1078 - Valid Accounts **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution - T1133 - External Remote Services **Ayricalik Yukseltme (TA0004)** - T1068 - Exploitation for Privilege Escalation - T1078 - Valid Accounts **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal - T1490 - Inhibit System Recovery (shadow copy silme) **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery - T1135 - Network Share Discovery **Yanal Hareket (TA0008)** - T1021.004 - SSH - T1021 - Remote Services - T1570 - Lateral Tool Transfer **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop VMware ESXi Hedeflemesi ESXi Odagi Abyss Locker, VMware ESXi sunucularini hedef alan fidye yazilimi grubu olarak ozellikle dikkat cekmektedir. ESXi ortamlarindaki dosyalar '.crypt' uzantisiyla sifrelenmektedir. Sanalastirma Ortami Riskleri ESXi sunucularini hedeflemek, saldirganlara: - Tek bir erisim noktasindan birden fazla sanal makineyi sifreleme - Is surekliligi uzerinde maksimum etki - Daha yuksek fidye talep potansiyeli saglamaktadir. Dark Reading Uyarisi Abyss Locker fidye yazilimi, VMware'in ESXi sunucularini bogmaya bakiyor - bu, grubun sanalastirma altyapisina yonelik agresif hedeflemesini vurgulayan bir uyaridir. Korunma Stratejileri ve Oneriler VPN Guvenligi Abyss Locker'in VPN zafiyet istismari goz onune alindiginda: **Hizli Yamalama** - VPN cihazlarini duzenli olarak yamalayin - Kritik zafiyetlere oncelik verin - Zero-day istihbaratini izleyin **Yapilandirma Sertlestirme** - Varsayilan yapilandirmalari degistirin - Gereksiz ozellikleri devre disi birakin - MFA zorunlu kilin **Izleme** - VPN loglarini merkezi olarak toplayin - Anormal erisim kaliplarini izleyin - Basarisiz giris girisimlerni izleyin SSH Guvenligi SSH brute force saldirilari goz onune alindiginda: **Kimlik Dogrulama Sertlestirme** - Anahtar tabanli kimlik dogrulama kullanin - Parola tabanli SSH'yi devre disi birakin - Fail2ban veya benzeri araclari kullanin **Erisim Kontrolu** - SSH erisimini sinirlandirin - Bekleme sirasinda olmayan IP'leri engelleyin - VPN uzerinden SSH erisimi zorunlu kilin ESXi Guvenligi **Sertlestirme** - ESXi sunucularini sertlestirin - Gereksiz hizmetleri devre disi birakin - Yonetim arayuzlerine erisimi sinirlandirin **Yamalama** - ESXi yamalarina oncelik verin - vCenter guncellemelerini hizla uygulayin **Izolasyon** - ESXi yonetim agini izole edin - Segmentasyon uygulayin NAS Guvenligi - NAS firmware'ini guncel tutun - Varsayilan kimlik bilgilerini degistirin - Gereksiz protokolleri devre disi birakin - NAS cihazlarini segmente edin Shadow Copy Koruma - Volume Shadow Copy Service'i koruyun - Shadow copy silme girişimlerini tespit edin - Ek kurtarma mekanizmalari uygulayin Yedekleme Stratejisi - Cevrimdisi ve degistirilemez yedekler - 3-2-1-1 yedekleme kurali - ESXi ortamlari icin ozel yedekleme stratejileri - Duzenli kurtarma testleri Gelecek Ongoruleri 2025-2026 Tehdit Ortami Abyss Locker, 2023'ten bu yana surekli evrim gecirmekte ve 2025'te onemli bir siber guvenlik tehdidi olmaya devam etmektedir: - VMware ESXi hedeflemesi devam edecek - VPN zafiyet istismari artacak - Kritik ag cihazi saldırilari genisleyecek HelloKitty Mirasi Etkileri HelloKitty kaynak koduna dayandigi icin, Abyss Locker'in: - Teknik olgunluk - Kanitlanmis saldiri teknikleri - Surekli gelistirme potansiyeli vardır. Sonuc Abyss Locker, 2023'te ortaya cikan ve VMware ESXi sunuculari ile kritik ag cihazlarini hedef alan tehlikeli bir fidye yazilimi grubudur. HelloKitty kaynak koduna dayanan grup, VPN zafiyetleri ve SSH brute force saldirilari ile kurumsal aglara sizmaktadir. Grubun sanalastirma ortamlarına odaklanmasi - ESXi sunuculari, NAS cihazlari ve VPN cihazlari - is surekliligi uzerinde maksimum etki yaratma amacini ortaya koymaktadir. Windows dosyalari '.Abyss', ESXi dosyalari '.crypt' uzantisiyla sifrelenmektedir. Organizasyonlar, ozellikle VPN guvenligi, SSH sertlestirme ve ESXi koruma alanlarında kapsamli onlemler almalidir. Shadow copy silme girişimlerinin tespiti ve degistirilemez yedekleme stratejileri, Abyss Locker ve benzeri tehditlere karsi kritik savunma katmanlari olusturmaktadir....

Warlock Ransomware Nedir? Warlock, Mart 2025'te ortaya cikan ve Microsoft SharePoint sifir gun zafiyetlerini istismar etmesiyle taninan bir fidye yazilimi grubudur. Storm-2603 olarak da bilinen grup, cift gasp stratejisi ve hizli saldiri yetenekleriyle dikkat cekmektedir. Microsoft, Warlock'un Cin merkezli bir tehdit aktoru oldugunu orta guvenle degerlendirmektedir. Diger Cin aktörleriyle baglantisi bulunmamaktadir. Grup, Black Basta ile potansiyel baglantilari da incelenmektedir. Tarihsel Gelisim Haziran 2025: RAMP Forumu Tanitimi Warlock, Haziran 2025 basinda Rusca konusulan RAMP forumunda potansiyel is ortaklarina kendini tanitarak kamusal debutunu yapti. SharePoint zafiyetlerini istismar etmesiyle manchetlere cikmadan once, grup siber suc ortaminda kendini zaten konumlandirmisti. Haziran 2025: Ilk Saldiri Dalgasi Ramp girisindan sadece birkac gun sonra, grup en az 16 basarili saldiri iddia etti. Bu saldirilarin yaklasik yarisi Portekiz, Hirvatistan ve Turkiye gibi ulkelerdeki devlet kuruluslarini hedef aldi. Eylul 2025: Patlama Donemi Eylul 2025'te grup, hizli yukselen bir operasyon olarak 60 kurban iddia etti. Warlock Client Data Leak Show adli onion sitesinde kurban listesi genisledi. 2026: Devam Eden Tehdit Ocak 2026 itibariyle grup aktif olarak faaliyetlerine devam etmektedir. Yeni SharePoint zafiyetleri istismar edilmekte ve kurban sayisi artmaktadir. 2025-2026 Saldiri Istatistikleri Warlock, kisa surede etkileyici rakamlar kaydetti: - Toplam Kurban (Son 6 Ay): 59 - Ilk Ay Kurban Sayisi: 16 - Eylul 2025 Kurban Sayisi: 60 - Tahmini Gasp Talepleri: 2,4 milyon dolar+ - Ihlal Edilen SharePoint Sunucusu: 400+ - Etkilenen Organizasyon: 148+ Hedef Sektorler Warlock belirli sektorlere yogunlasmaktadir: - Devlet ve Kamu Sektoru: Ilk saldirilarin yarisi - Finans Hizmetleri: Bankalar ve finans kuruluslari - Uretim: Imalat sektoru - Teknoloji: IT sirketleri - Tuketici Urunleri: Perakende Cografi Dagilim Warlock'un hedefledigi ulkeler: - Portekiz: Su ve atik hizmet otoritesi - Hirvatistan: Hukumet egitim ajansi - Turkiye: BTHK (IT ve iletisim otoritesi) - Kuresel: Diger finans ve uretim hedefleri Devlet Hedeflemesi Warlock'un devlet kuruluslarına yogun odagi dikkat cekicidir. 2025'te devlet olaylari ortalama 2,4 milyon dolar gasp talebiyle sonuclandi. SharePoint Zero-Day Istismari ToolShell Exploit Zinciri Warlock, Microsoft SharePoint sifir gun zafiyetlerini istismar etmektedir. Bu zafiyetler topluca ToolShell exploit zinciri olarak bilinmektedir: - CVE-2025-49706 - CVE-2025-49704 - CVE-2025-53770 - CVE-2025-53771 Saldiri Olcegi Ilk istismardan haftalar icinde 148 organizasyonda 400'den fazla SharePoint sunucusu ihlal edildi. Bu olcek, grubun koordineli saldiri kapasitesini gostermektedir. Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri Warlock, SharePoint sifir gun zafiyetlerini birincil giris noktasi olarak kullanmaktadir. ToolShell exploit zinciri, internet-facing SharePoint sunucularini hedeflemektedir. Post-Compromise Aktiviteleri Web Shell Dagitimi: - spinstall0.aspx web shell - spinstall1.aspx varyanti - spinstall2.aspx varyanti - w3wp.exe sureci icinde barindirma - Kimlik bilgisi cikarma ve kalicilik MITRE ATT&CK Eslestirmesi Ilk Erisim (TA0001): - T1190 - Exploit Public-Facing Application (SharePoint CVE'leri) Yurutme (TA0002): - Web shell yurutme (spinstall*.aspx) - w3wp.exe surec istismari Kalicilik (TA0003): - Zamanlanmis gorevler - Supheli .NET assemblies ile IIS bileseni istismari - Registry degisiklikleri (Microsoft Defender devre disi birakma) Kimlik Bilgisi Erisimi (TA0006): - T1003 - OS Credential Dumping (Mimikatz ile LSASS) Yanal Hareket (TA0008): - T1021 - Remote Services (PsExec, Impacket) Savunma Atlatma (TA0005): - T1562 - Impair Defenses (Defender devre disi birakma) - Driver zafiyet istismari - Living off the Land taktikleri Etki (TA0040): - T1486 - Data Encrypted for Impact - T1484.001 - Group Policy Modification (GPO ile fidye yazilimi dagitimi) Kullanilan Arac Seti Web Shell'ler: - spinstall0.aspx, spinstall1.aspx, spinstall2.aspx Kimlik Bilgisi Toplama: - Mimikatz: LSASS bellekten secret cikarma Yanal Hareket: - PsExec: Uzaktan yurutme - Impacket: Ag propagasyonu Payload Dagitimi: - Group Policy Object (GPO) modifikasyonlari Sifreleme Warlock, geleneksel cift gasp taktiklerini uygulamaktadir: - Dosyalarin sifrelenmesi (erisim engelleme) - Veri hirsizligi ve sizinti tehdidi - Ozel sifreleme algoritmalari (AES/RSA detaylari aciklanmamis) Cift Gasp Stratejisi Saldiri Akisi Warlock, standart cift gasp yaklasimini uygulamaktadir: 1. SharePoint sifir gun istismari ile ilk erisim 2. Web shell dagitimi (spinstall*.aspx) 3. w3wp.exe uzerinden kimlik bilgisi cikarma 4. Mimikatz ile LSASS bellekten credential toplama 5. PsExec ve Impacket ile yanal hareket 6. Microsoft Defender devre disi birakma 7. GPO ile fidye yazilimi dagitimi 8. Dosyalarin sifrelenmesi 9. Veri sizdirma ve sizinti tehdidi 10. Fidye talebi Sizinti Sitesi Warlock Client Data Leak Show adli onion sitesi, kurbanlarin verilerini yayinlamak icin kullanilmaktadir. Black Basta Baglantisi Potansiyel Iliski Warlock'un Black Basta ile potansiyel baglantilari bulunmaktadir. Black Basta, 2025 basinda kurban yayinlamayi durduran uretken bir fidye yazilimi grubuydu. Baglanti henuz dogrulanmamis olsa da, taktik, muzakere stilleri ve victimology benzerliklerden kaynaklanmaktadir. Olasi bir spin-off veya yeniden markalama oldugu dusunulmektedir. Anylock Mirasi Warlock, daha eski Anylock payload'unun yeniden markasi olarak gorunmektedir. Warlock saldirilarinda kullanilan bazi araclar, grubun onceden bilinenden cok daha uzun suredir aktif oldugunu gostermektedir. Cin Atifi Microsoft Degerlendirmesi Microsoft, Warlock'un (Storm-2603) Cin merkezli bir tehdit aktoru oldugunu orta guvenle degerlendirmektedir. Diger Cin aktorleriyle baglanti kurulamamistir. Hedefleme Kaliplari Devlet kuruluslarına yogun odaklanma, ulusdevlet motivasyonlu operasyonları akla getirmektedir. Ancak finansal motivasyon da acikca mevcuttur. Korunma Stratejileri ve Oneriler SharePoint Guvenligi Warlock'un birincil saldiri vektoru goz onune alindiginda: - SharePoint sunucularini guncel tutun - CVE-2025-49706, CVE-2025-49704, CVE-2025-53770, CVE-2025-53771 yamalarini uygulayin - ToolShell exploit zinciri icin izleme yapin - Internet-facing SharePoint erisimini sinirlandirin Web Shell Tespiti - spinstall*.aspx dosyalarini tarayin - w3wp.exe surecini izleyin - IIS log'larini inceleyin - Supheli .NET assemblies tespiti yapin Kimlik Yonetimi - Mimikatz tespiti icin EDR konuslandirin - LSASS erisimini izleyin - Ayricalikli hesaplari sinirlandirin - Credential Guard etkinlestirin GPO Koruması - GPO degisikliklerini izleyin - GPO tabanli fidye yazilimi dagitimini tespit edin - GPO erisimini sinirlandirin - GPO denetim log'larini inceleyin Defender Koruması - Defender devre disi birakma girisimlerini tespit edin - Tamper protection etkinlestirin - Registry degisikliklerini izleyin Veri Koruma - Cevrimdisi ve degistirilemez yedekler olusturun - 3-2-1 yedekleme kuralini uygulayin - Veri sizdirma izleme yapin - DLP cozumleri uygulayin Tehdit Istihbarati ve Izleme IoC Izleme - spinstall0.aspx, spinstall1.aspx, spinstall2.aspx dosyalari - Mimikatz imzalari - PsExec ve Impacket aktivitesi - GPO degisiklikleri - Defender devre disi birakma registry degisiklikleri Davranissal Izleme - SharePoint sunucu anomalileri - w3wp.exe supheli aktivitesi - LSASS erisim girisimleri - Buyuk olcekli dosya sifreleme aktivitesi Proaktif Onlemler - SharePoint zafiyet taramalari yapin - Tehdit istihbarati beslemelerini entegre edin - Penetrasyon testleri gerceklestirin - Incident response planlarini guncelleyin Gelecek Ongoruleri Tehdit Degerlendirmesi Warlock'un SharePoint sifir gun istismar kapasitesi ve devlet hedeflemesi, grubun 2026'da da onemli bir tehdit olmaya devam edecegini gostermektedir. Cin atifi ve Black Basta baglantilari, karmasik bir tehdit manzarasini ortaya koymaktadir. Beklenen Gelismeler - Yeni SharePoint zafiyeti istismari - Devlet hedeflemesinin devami - Web shell tekniklerinin gelistirilmesi - GPO tabanli dagitim taktiklerinin iyilestirilmesi - Fidye taleplerinin artmasi Sonuc Warlock, Mart 2025'te ortaya cikan ve SharePoint sifir gun zafiyetlerini istismar eden tehlikeli bir fidye yazilimi grubu olarak on plana cikmaktadir. ToolShell exploit zinciri ile 400'den fazla SharePoint sunucusunu ihlal eden grup, koordineli saldiri kapasitesini kanitlamistir. Grubun devlet kuruluslarına yogun odagi ve Cin atifi, ulusdevlet motivasyonlarini akla getirmektedir. Ancak 2,4 milyon dolarlik ortalama devlet gasp talepleri, finansal motivasyonu da ortaya koymaktadir. Kuruluslar, Warlock ve benzeri tehditlere karsi SharePoint yamalama, web shell tespiti ve GPO izleme oncelikli alanlar olarak ele alinmalidir. Mimikatz tespiti, Defender korumasi ve veri yedekleme kritik oneme sahiptir. Proaktif guvenlik durus, surekli izleme ve kapsamli yedekleme stratejileri, bu tehditlere karsi en etkili savunma yaklasimini olusturmaktadir. Ozellikle devlet kuruluslari ve kritik altyapi operatorleri, Warlock'un birincil hedefleri arasinda yer almalari nedeniyle ek onlemler almalidir....

Cicada3301 Ransomware Nedir? Cicada3301, Haziran 2024'te ilk kez gozlemlenen ve dort kurbani bir kurban blogunda yayinlayarak sahneye cikan sofistike bir fidye yazilimi operasyonudur. Repellent Scorpius olarak adlandirilan bir grup tarafindan dagitilan Cicada3301, coklu gasp operasyonu ile Ransomware-as-a-Service (RaaS) grubu olarak faaliyet gostermektedir. Morphisec tehdit arastirmacilari, Cicada3301 ile kotu sohretli BlackCat fidye yazilimi arasinda carpici benzerlikler teshis etmistir. Zaman cizelgesi, BlackCat/ALPHV fidye yazilimi grubunun gorunur cikisinyla örtüsmektedir ve bu durum Cicada3301'in ALPHV'nin yeniden markalanmis hali olabilecegi, gelistiricileriyle isbirligi icinde olabilecegi veya degistirilmis ALPHV kodu kullanan ayri bir grup olabilecegi olasiligini gundeme getirmektedir. Tarihsel Gelisim ve Ortaya Cikis Mayis-Haziran 2024: Ilk Aktivite Cicada3301, Mayis 2024'te ilk kez ortaya cikmis gibi gorunmektedir. Haziran 2024'te grup, dort kurbani bir kurban blogunda yayinladi ve bu, grubun ilk kamusal aktivitesi oldu. 2024: Hizli Genisleme Bir yildan kisa surede grup, 15'ten fazla ulkedeki kritik sektorlerdeki 30 organizasyona karsi saldirilar gerceklestirdi. ABD ve Ingiltere, operasyonlarinin agirligini tasiyan ulkeler oldu. 2025: Devam Eden Tehdit 2025 yilinda grup, petrol ve gaz sektoru dahil kritik altyapiyi hedef almaya devam etti. Mack Energy saldirisi, grubun 2025'teki en dikkat cekici operasyonlarindan biri oldu. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2024-2026) - Toplam Dogrulanmis Saldiri: 1+ (2024-2026 doneminde) - Ilk Ortaya Cikis: Mayis-Haziran 2024 - Hedef Ulke Sayisi: 15+ - Teknik Temel: BlackCat/ALPHV benzerligi - Platform Destegi: Windows, Linux, ESXi, NAS, PowerPC Hedef Ulkeler - ABD - Ingiltere - Brezilya - Fransa - Italya - Ispanya - Japonya - Kanada - Isvicre - Singapur - Danimarka - Cek Cumhuriyeti - Urdun - Birlesik Arap Emirlikleri - Tunus Hedef Sektorler - BFSI (Bankacilik, Finansal Hizmetler ve Sigorta) - Hukumet ve Kolluk Kuvvetleri - Eczacilik - Uretim - Telekomunikasyon - BT ve Profesyonel Hizmetler - Tarim - Petrol ve Gaz 2024-2025-2026 Onemli Saldirilari 2025 Subat Kurbanlari - Executive Agenda - Birdsall Muller LLC - Johnson's Nursery - Digital Technology Co. - Goldstein Law Group - Northern Management - The Northwestern Illinois Association 2025 Nisan Kurbanlari - Asesoria Bieito - Natilait - Amazon Transportes - Sprava sluzeb hlavniho mesta Prahy 2025 Temmuz Kurbanlari **Mack Energy Corp (9 Temmuz 2025)** Mack Energy, Cicada3301 fidye yazilimi tarafindan vuruldu. Saldirinin, tam adlar ve Sosyal Guvenlik numaralari dahil 3,1 terabyte hassas veri calinmasiyla sonuclandigi ve en az 413 Texasli'nin etkilendigi dogrulandigi bildirildi. Petrol ve gaz sektoru, bircok kritik altyapi sektoru gibi, surekli operasyonlara bagimliligi ve kesinti maliyetinin yuksekligi nedeniyle fidye yazilimi gruplari icin yuksek degerli bir hedeftir. **PACIFIC BIOLABS (11 Temmuz 2025)** 900 GB veri sizdirildi. **Conasa (15 Temmuz 2025)** 260 GB veri sizdirildi. Teknik Altyapi ve BlackCat Baglantisi Rust Programlama Dili Fidye yazilimi Rust dilinde yazilmistir ve Windows, Linux, ESXi ve NAS platformlarini desteklemekte, hatta PowerPC gibi nadir mimarilere bile uzanmaktadir. BlackCat/ALPHV Benzerlikleri Morphisec tehdit arastirmacilari, Cicada3301 ile kotu sohretli BlackCat fidye yazilimi arasinda carpici benzerlikler teshis etmistir: - Rust programlama dili kullanimi - Coklu platform destegi - Benzer saldiri taktikleri - Zaman cizelgesi ortusumu (BlackCat cikisi ile) Olasi Iliskiler - ALPHV'nin yeniden markalanmis hali - ALPHV gelistiricileriyle isbirligi - Degistirilmis ALPHV kodu kullanan ayri bir grup Affiliate Programi Cicada3301, penetrasyon test uzmanlari ve erisim broker'lari istihdam eden bir affiliate programi yurutmektedir: - %20 komisyon orani - Web tabanli panel - Fidye yazilimi ornekleri olusturma - Fidye notlari olusturma - Kurbanlarla muzakere yonetimi MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1078 - Valid Accounts - T1190 - Exploit Public-Facing Application - T1566 - Phishing - T1133 - External Remote Services **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution **Ayricalik Yukseltme (TA0004)** - T1068 - Exploitation for Privilege Escalation - T1078 - Valid Accounts **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery **Yanal Hareket (TA0008)** - T1021 - Remote Services - T1570 - Lateral Tool Transfer **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop VMware ESXi Hedeflemesi ESXi Odagi Cicada3301, VMware ESXi sunucularini hedef alan varyantlar gelistirmistir. Bu, grubun kurumsal sanalastirma ortamlarini hedef alma kapasitesini gostermektedir. Etki Tek bir ESXi sunucusunun ele gecirilmesi, duzinelerce hatta yuzlerce sanal makinenin sifrelenmesine yol acabilir. Korunma Stratejileri ve Oneriler Cok Faktorlu Kimlik Dogrulama (MFA) Organizasyonlar, Cicada3301 gibi gelismis fidye yazilimi gruplarinin ortaya koydugu riskleri azaltmak icin cok faktorlu kimlik dogrulamayi onceliklendirmelidir. Erken Tespit - EDR cozumleri konuslandirin - Rust tabanli zararli yazilim tespiti icin imzalar guncelleyin - Davranis analizi yapin - Anomali tespiti icin SIEM kullanin Yedekleme Stratejileri - Cevrimdisi ve degistirilemez yedekler - 3-2-1-1 yedekleme kurali - Duzenli kurtarma testleri - ESXi ortamlari icin ozel yedekleme stratejileri Duzenli Yamalama - Tum sistemleri guncel tutun - ESXi ve vCenter yamalarina oncelik verin - Kritik zafiyetleri hizla yamalayin ESXi Ozel Guvenligi **Sertlestirme** - ESXi sunucularini sertlestirin - Gereksiz hizmetleri devre disi birakin - Yonetim arayuzlerine erisimi sinirlandirin **Izleme** - ESXi loglarini merkezi olarak toplayin - Anormal aktiviteyi izleyin - Kimlik dogrulama girisimlerni izleyin Petrol ve Gaz Sektoru Ozel Onlemleri Mack Energy saldirisi goz onune alindiginda: - OT/IT segmentasyonu - Kritik sistemlerin izolasyonu - Endüstriyel kontrol sistemi guvenligi - Is surekliligi planlari BlackCat Mirasi ve Gelecek ALPHV Cikisi BlackCat/ALPHV'nin gorunur cikisi, Cicada3301 gibi gruplarin ortaya cikmasina zemin hazirlamis olabilir. Kaynak kod, teknik bilgi veya personel transferi olasılıkları mevcuttur. 2026 Ongoruleri BlackCat baglantisi goz onune alindiginda, Cicada3301'in: - Teknik yeteneklerini gelistirmeye devam etmesi - Hedef yelpazesini genisletmesi - Affiliate agini buyutmesi beklenmektedir. Sonuc Cicada3301, Haziran 2024'te ortaya cikan ve BlackCat/ALPHV fidye yazilimiyla carpici benzerlikler gosteren sofistike bir RaaS operasyonudur. Rust dilinde yazilmis coklu platform destegi, affiliate programi ve kritik sektorleri hedeflemesi, grubun teknik olgunlugunu ortaya koymaktadir. Temmuz 2025'teki Mack Energy saldirisi (3,1 TB veri, 413 Texasli etkilendi), grubun petrol ve gaz gibi kritik altyapiyi hedef alma kapasitesini gostermektedir. 15'ten fazla ulkedeki 30+ organizasyona saldiri, grubun kuresel erisimini ortaya koymaktadir. Organizasyonlar, ozellikle MFA, erken tespit, yedekleme stratejileri ve ESXi guvenligi alanlarında kapsamli onlemler almalidir. BlackCat baglantisi goz onune alindiginda, grubun 2026'da da aktif ve tehlikeli olmaya devam etmesi beklenmektedir....

Dire Wolf Ransomware Nedir? Dire Wolf (DireWolf olarak da yazilir), Mayis 2025'te ortaya cikan ve hizla kuresel bir siber tehdit haline gelen yeni bir fidye yazilimi grubudur. Finansal motivasyonlu bu grup, cift gasp taktikleri kullanarak kurbanlarinin dosyalarini sifrelemekte ve hassas verileri sizdirarak odeme baskisi olusturmaktadir. Ozellikle uretim ve teknoloji sektorlerini hedef alan grup, 13'ten fazla ulkede operasyonlar yurutmustur. Grup, dark web'deki sizdirma sitesinde kendisini "Sadece para ariyoruz. Ahlak yok, politik tutum yok" seklinde tanitmaktadir. Bu aciklama, tamamen finansal motivasyonlu bir operasyon oldugunu vurgulamak ve kurbanlari yildirmak icin tasarlanmistir. 2024-2026 doneminde 45'in uzerinde dogrulanmis saldiri gerceklestiren Dire Wolf, fidye taleplerini 500.000 dolara kadar cikarmistir. Tarihsel Gelisim ve Evrim Mayis 2025: Ortaya Cikis ve Ilk Kurbanlar Dire Wolf, Mayis 2025'te kamuya acik olarak ortaya cikmistir. Grup, 26 Mayis 2025'te dark web sizdirma sitesinde ilk alti kurbanini aciklayarak agresif kampanyasina basladi. Bu tarih, grubun resmi olarak tanindigi ilk an olarak kabul edilmektedir. Haziran-Temmuz 2025: Hizli Genisleme Ortaya cikisinin ardindan Dire Wolf, birden fazla sektor ve bolgede hedefli saldirilar yurutmustur. Uretim ve teknoloji sektorleri oncelikli hedefler olarak belirlenmistir. Agustos 2025: Aktif Operasyonlar Agustos 2025'e kadar yaklasik 39 dogrulanmis kurban raporlanmistir. Grup, aktivitesini Agustos 2025 boyunca ve sonrasinda surdurmustir. Singapur, Tayland, Filipinler ve Tayvan gibi Asya ulkelerinde yogunlasma gorulmektedir. 2026: Devam Eden Tehdit Singapur Siber Guvenlik Ajansi (CSA), devam eden Dire Wolf fidye yazilimi kampanyasi hakkinda uyari yayinlamistir. Bu, grubun 2026'da da aktif bir tehdit olmaya devam ettigini gostermektedir. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2025-2026) - Toplam Dogrulanmis Kurban: 39+ (Agustos 2025 itibariyle) - Ilk Kurban Duyurusu: 26 Mayis 2025 - Hedef Ulke Sayisi: 13+ - Maksimum Fidye Talebi: 500.000 dolar - Sifreleme Algoritmasi: Curve25519 + ChaCha20 - Dosya Uzantisi: .direwolf Sektor Bazli Dagilim Uretim firmalari en cok etkilenen sektor olarak one cikmaktadir. Diger hedef sektorler: - Hukuk hizmetleri - Finansal hizmetler - Tarim - Saglik - Is hizmetleri - Insaat - Tuketici odakli endustriler Cografi Dagilim Kurbanlar 11'den fazla ulkede raporlanmistir. Belirgin yogunlasma alanlari: - Singapur - Tayland - Filipinler - Tayvan - Amerika Birlesik Devletleri - Italya - Kanada Teknik Altyapi ve Saldiri Metodolojisi Sifreleme Teknolojisi Dire Wolf, guclu bir sifreleme kombinasyonu kullanmaktadir: **Curve25519** Asimetrik anahtar degisimi icin eliptik egri algoritmasi. **ChaCha20** Yuksek performansli stream cipher ile dosya sifreleme. Sifrelenen dosyalara ".direwolf" uzantisi eklenmektedir. Sistem Hazirlik Asamasi Fidye yazilimi, sifreleme oncesinde sistemi agresif sekilde hazirlamaktadir: **Proses Sonlandirma** Kritik prosesler sonlandirilmaktadir: - sqlservr.exe (SQL Server) - vss.exe (Volume Shadow Copy) - outlook.exe (Outlook) **Hizmet Durdurma** Temel hizmetler durdurulmaktadir. **Shadow Copy Silme** Kurtarma secenekleri agresif sekilde ortadan kaldirilmaktadir: ``` vssadmin delete shadows /all /quiet ``` **Yedekleme Devre Disi Birakma** wbadmin komutlariyla yedekleme isler durdurulmaktadir. **Windows Recovery Devre Disi Birakma** bcdedit degisiklikleriyle Windows Kurtarma Ortami devre disi birakilmaktadir. MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing - T1078 - Valid Accounts - T1133 - External Remote Services - T1190 - Exploit Public-Facing Application **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API - T1569 - System Services **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution **Ayricalik Yukseltme (TA0004)** - T1068 - Exploitation for Privilege Escalation - T1078 - Valid Accounts **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal - T1490 - Inhibit System Recovery **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery - T1057 - Process Discovery **Yanal Hareket (TA0008)** - T1021 - Remote Services - T1570 - Lateral Tool Transfer **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Cift Gasp Taktikleri Operasyonel Model Dire Wolf, cift gasp taktigini kullanmaktadir: 1. **Veri Sizdirma**: Sifreleme oncesinde hassas veriler caliyor 2. **Sifreleme**: Kurban dosyalari kilitleniyor 3. **Fidye Talebi**: Sifreler cozucu icin odeme talep ediliyor 4. **Yayinlama Tehdidi**: Odeme yapilmazsa veriler kamuya acilanacagi tehdidinde bulunuluyor Kurban Iletisimi Grup, Tor tabanli portallar ve sifreli Tox kanali uzerinden kurban iletisimi saglamaktadir. Kurbanlar sizdirma sitesine yonlendirilmekte ve muzakere sureci baslatilmaktadir. Sizdirma Sitesi Odeme yapmayan kurbanlarin verileri dark web'deki sizdirma sitesinde yayinlanmaktadir. Site, grubun "Sadece para ariyoruz" mesajini tasimaktadir. Grup Karakteristikleri Iddia Edilen Konum Grup, sizdirma sitesinde "New York, NY merkezli" oldugunu iddia etmektedir. Ancak analistler bunu dogrulanmamis ve muhtemelen yaniltici bilgi olarak degerlendirmektedir. Dil ve Iletisim Site ve fidye notlari Ingilizce yazilmistir. Genel olarak akici olmakla birlikte, zaman zaman ana dili Ingilizce olmayan ifadeler icermektedir. Finansal Motivasyon Grup, tamamen finansal motivasyonlu oldugunu acikca belirtmektedir. "Ahlak yok, politik tutum yok" ifadesi, kurbanları yildirmak ve hizli odeme saglamak icin kullanilmaktadir. Korunma Stratejileri ve Oneriler Shadow Copy ve Yedekleme Koruma Dire Wolf'un agresif kurtarma engelleme taktikleri goz onune alindiginda: **Volume Shadow Copy Koruma** - VSS'yi izleyin ve koruyun - Shadow copy silme girişimlerini tespit edin - Uyarilar yapilandirin **Yedekleme Stratejisi** - Cevrimdisi yedekler muhafaza edin - Degistirilemez (immutable) yedekler kullanin - 3-2-1-1 yedekleme kuralini uygulayin - Duzenli kurtarma testleri yapin Proses ve Hizmet Izleme **Kritik Proses Koruma** SQL Server, VSS ve diger kritik proseslerin beklenmedik sonlanmalarini izleyin. **Hizmet Durumu Izleme** Yedekleme ve guvenlik hizmetlerinin durumunu surekli izleyin. Endpoint Guvenligi **EDR Cozumleri** - Gelismis EDR platformlari konuslandirin - .direwolf uzantisi icin uyarilar yapilandirin - Sifreleme aktivitesini izleyin **Davranis Analizi** - Anormal proses sonlanmalarini tespit edin - bcdedit ve vssadmin komutu kullanimi izleyin - wbadmin aktivitesini izleyin Ag Guvenligi **Segmentasyon** Kritik sistemleri izole edin. **Yanal Hareket Tespiti** Agdaki anormal trafigi izleyin. **Sizdirma Tespiti** Buyuk veri transferlerini tespit edin. Tehdit Istihbarati - Dire Wolf IOC'lerini guvenlik araclariniza entegre edin - Singapur CSA uyarilarini izleyin - Sektor bazli tehdit istihbarati paylasimina katilin 2025 Fidye Yazilimi Ekosistemi Baglami Parca Parca Olma Trendi 2025'in ilk ceyreginde 1.537 fidye yazilimi saldirisi raporlanmistir - bu, onceki yilin ayni donemine gore %169 artis anlamina gelmektedir. Kuresel kolluk kuvvetleri buyuk fidye yazilimi sendikalarini hedef alirken, tehdit ekosistemi uyum sagladi. Sonuc olarak parcalanma yasandi - daha kucuk gruplar hizla ortaya cikti, kanitlanmis oyun kitaplarini odunc aldi ve kurumsal sinif verimlilikle saldirilar baslatti. Dire Wolf, bu yeni dalganin tipik bir ornegi olarak dikkat cekmektedir. Yeni Gruplar Dire Wolf, 2025'te ortaya cikan onlarca yeni fidye yazilimi grubundan biridir. Bu gruplar, mevcut teknikleri ve altyapilari kullanarak hizla operasyonel hale gelmektedir. Gelecek Ongoruleri 2026 Beklentileri - Dire Wolf'un saldiri hacmini artirmasi beklenmektedir - Yeni cografi bolgelerin hedeflenmesi muhtemeldir - Fidye taleplerinin artmasi olasıdır - Teknik yeteneklerin gelismesi beklenmektedir Asya-Pasifik Odagi Grubun Singapur, Tayland, Filipinler ve Tayvan'daki yogunlugu, Asya-Pasifik bolgesinin 2026'da da oncelikli hedef olmaya devam edecegini gostermektedir. Sonuc Dire Wolf, Mayis 2025'te ortaya cikan ve hizla kuresel bir tehdit haline gelen agresif bir fidye yazilimi grubudur. Curve25519 ve ChaCha20 kombinasyonu ile guclu sifreleme, agresif kurtarma engelleme taktikleri ve 500.000 dolara varan fidye talepleri, grubu ciddi bir tehdit haline getirmektedir. Uretim ve teknoloji sektorlerinin oncelikli hedefler olmasi, kritik endustrilerin risk altinda oldugunu vurgulamaktadir. Singapur CSA'nin devam eden kampanya hakkinda uyari yayinlamasi, tehdidin ciddiyetini gostermektedir. Organizasyonlar, ozellikle shadow copy koruma, yedekleme stratejileri ve proses izleme alanlarinda kapsamli onlemler almalidir. Dire Wolf'un agresif kurtarma engelleme taktikleri, proaktif koruma ve test edilmis felaket kurtarma planlarinin kritik onemini ortaya koymaktadir....

CoinbaseCartel Ransomware Nedir? CoinbaseCartel, Eylul 2025'te ortaya cikan ve veri gaspina odaklanan yeni nesil bir siber suc orgutudur. ShinyHunters, Scattered Spider ve Lapsus$ is ortaklarindan olusan finansal motivasyonlu bir gasp kolektifi olarak degerlendirilen grup, geleneksel fidye yazilimlarindan farkli olarak sifreleme yerine veri sizdirma ve gaspina yogunlasmaktadir. Grup adi, kripto para borsasi Coinbase ile dogrudan bir baglanti gostermemektedir. Ancak grup, kartel tarzinda organize suc modeli ile coklu gasp stratejileri uygulamaktadir. shinysp1d3r takma adi altinda aktif olan grup, ESXi hedefli fidye yazilimi gelistirmektedir. Tarihsel Gelisim Eylul 2025: Guclu Ortaya Cikis CoinbaseCartel, Eylul 2025'te fidye yazilimi ortaminda guclu bir giris yapti. Ilk kamuya acik faaliyet gununde etkili saldirilar gerceklestirerek yeni oyuncularin siber suc ekosisteminde ne kadar hizli ciddi tehditler olarak kendilerini konumlandirabilecegininin altini cizdi. Grup, ortaya cikisiyla birlikte hemen veri sizinti sitesi olusturdu ve kurban isimleri yayinlamaya basladi. Ekim-Kasim 2025: Hizli Genisleme Ekim 2025'te DSV, Kuehne + Nagel gibi buyuk lojistik sirketleri hedef alindi. Kasim 2025'te Avery Dennison ve Meksika'nin CINVESTAV arastirma kurumu saldiriya ugradi. Aralik 2025 - Ocak 2026: Devam Eden Operasyonlar Aralik 2025'te One Broker Group (BAE) ve diger kurbanlar eklendi. Grup, 2026 basinda aktif olarak faaliyetlerine devam etmektedir. 2025-2026 Saldiri Istatistikleri CoinbaseCartel, kisa surede onemli rakamlar kaydetti: - Toplam Kurban (Son 6 Ay): 71 - Eylul 2025 Kurban Sayisi: 14 - Bilinen Toplam Vaka: 59+ - Hedeflenen Ulke Sayisi: 10+ - En Fazla Hedeflenen Ulke: ABD Hedef Sektorler CoinbaseCartel genis bir sektor yelpazesini hedeflemektedir: - Telekomnikasyon: Guney Kore ve diger bolgelerdeki saglayicilar - Bankacilik ve Finans Hizmetleri: Kanada ve Almanya bankaciligi - Hukuk ve Profesyonel Hizmetler: Uluslararasi hukuk firmalari - Teknoloji ve IT Danismanlik: ABD, Hindistan, Almanya sirketleri - Enerji ve Temiz Teknoloji: Enerji sektoru - Lojistik ve Tedarik Zinciri: DSV, Kuehne + Nagel, CEVA Logistics - Insan Kaynaklari: Isgucu yonetimi - Saglik: ABD tibbi organizasyonlar Cografi Dagilim CoinbaseCartel'in hedefledigi bolgeler: - ABD: Birincil hedef, en fazla onaylanan kurban - Avrupa: Isvicre, Danimarka, Almanya, Fransa, Bulgaristan - Asya: Hindistan, Guney Kore - Orta Dogu: BAE - Latin Amerika: Meksika Sektor Cesitliligi CoinbaseCartel'in debut performansi, kurban cesitliligi ile karakterize edildi. Tek bir sektore odaklanmak yerine, kritik altyapidan finans hizmetlerine ve lojistige kadar genis bir yelpazede hedefler secildi. Operasyon Modeli Veri Odakli Yaklasim CoinbaseCartel, sistem erisimi ve stratejik ortakliklar araciligiyla veri ediniminde uzmanlasmaktadir. Operasyonlar yalnizca veri sizdirmaya odaklanmakta, sistem sifreleme veya operasyonel kesinti icemedigi belirtilmektedir. Ancak istihbarat, grubun aktif olarak shinysp1d3r ESXi hedefli RaaS gelistirdigini gostermektedir. Bu durum, yakin gelecekte cift gasp operasyonlarina gecisi isaret etmektedir. shinysp1d3r Gelistirmesi Grup, shinysp1d3r adli ESXi hedefli fidye yazilimi gelistirmektedir: - On-premise ortamlarda shell script'ler araciligiyla bellekte yurutme - ESXi host'larinda sifreleme modulu indirme - Paralel VMDK sifreleme - VM anlık goruntu devre disi birakma - Datastore dosya yeniden adlandirma Coklu Gasp Stratejisi Grup, cok yonlu bir gasp stratejisi uygulamaktadir: - Dogrudan Gasp: Kurbanlara dogrudan fidye talepleri - Cift Gasp: Sifreleme ile veri hirsizligi kombinasyonu - Ilerleyici Fiyat Artisi: Baski yukseltmek icin artan talepler - Kamuya Acik Veri Sizdirma: Baski tirmandirma - Medya Ifsa Tehditleri: Kurban itibarini zedeleme Psikolojik Baski Kurbanlari kamuya listelemek, gasptan fazlasidir. Karanlik web forumlarinda kurbanları isimlendirerek, saldirganlar kurbanlari uyuma zorlamak ve diger potansiyel hedefler arasinda korku yaratmak amacindadir. Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri CoinbaseCartel, cesitli ilk erisim yontemleri kullanmaktadir: Iceriden Ise Alim: Ucuncu taraf yuklenicilerin rusvet ve ise alimiyla erisim saglanmaktadir. Gecerli Hesap Istismari: Calinti veya ele gecirilmis hesaplar kullanilmaktadir. Vishing (Sesli Oltalama): Kullanicilari zararli OAuth uygulamalarini yetkilendirmeye kandirmak icin sesli oltalama teknikleri uygulanmaktadir. Bulut Ortami Teknikleri Bulut ortamlarinda ozel Python script'leri, Salesforce Data Loader'i taklit ederek toplu veri sizdirma gerceklestirmektedir. Altyapi Grup, Tor tabanli gasp portali isletmektedir: - Onion Adresi: fjg4zi4opkxkvdz7mvwp7h6goe4tcby3hhkrz43pht4j3vakhy75znyd.onion - Iletisim: Tox uzerinden - Tox ID: 1225DDE01980D7C7890A90E359EF4406D74DF7DB94F6C5F3B8378BB78444473022675C49FACB MITRE ATT&CK Eslestirmesi Resmi MITRE ATT&CK kataloglama henuz tamamlanmamis olsa da, gozlemlenen teknikler: Ilk Erisim (TA0001): - T1078 - Valid Accounts (gecerli hesap istismari) - T1566 - Phishing (vishing dahil) - T1199 - Trusted Relationship (iceriden erisim) Kimlik Bilgisi Erisimi (TA0006): - Ucuncu taraf yuklenici kimlik bilgileri - OAuth token istismari Sizdirma (TA0010): - T1567 - Exfiltration Over Web Service - Salesforce Data Loader taklit script'leri - Toplu veri sizdirma Etki (TA0040): - T1486 - Data Encrypted for Impact (shinysp1d3r ile gelecek) - T1657 - Financial Theft (veri gaspi) ESXi Hedefleme (shinysp1d3r) shinysp1d3r dagitildiginda beklenen etkiler: - Toplu ESXi sifreleme - Kurumsal capinda kesinti - VM snapshot devre disi birakma - Datastore dosya yeniden adlandirma - Fidye notu eserleri Tespit Gostergeleri - Tor/VPN IP'lerinden ani yonetici girisler - Anormal OAuth onaylari - Salesforce Data Loader benzeri script aktivitesi - ESXi SSH etkinlestirme girisimleri - VM snapshot devre disi birakma 2025-2026 Onemli Saldirilari Lojistik Sektoru Kampanyasi CoinbaseCartel, ozellikle lojistik sektorune yonelik sistematik saldirilar gerceklestirmistir: - DSV (Danimarka): Ekim 2025, kurumsal veri ihlali iddiasi - Kuehne + Nagel (Isvicre): 13 Ekim 2025'te kesfedildi - CEVA Logistics: Kuresel tedarik zinciri yonetim sirketi Diger Onemli Kurbanlar - Avery Dennison (ABD): 13 Kasim 2025'te kesfedildi - CINVESTAV (Meksika): 13 Kasim 2025, arastirma kurumu - One Broker Group (BAE): 9 Aralik 2025'te kesfedildi - C Well: 30 Eylul 2025'te eklendi - Dreyfuss Williams & Associates: Saglik hukuku uzmani firma 2026 Aktivitesi Grup, Ocak 2026 itibariyle aktif olarak faaliyetlerine devam etmektedir. shinysp1d3r ESXi fidye yaziliminin dagitimi beklenmektedir. Koken ve Baglantilari Grup Bilesimi CoinbaseCartel, uc koklü siber suc grubunun is ortaklarindan olustuğu degerlendirmektedir: - ShinyHunters: Veri ihlali ve satis konusunda uzman - Scattered Spider: Sosyal muhendislik ve vishing konusunda uzman - Lapsus$: Iceriden erisim ve gasp konusunda tecrubeli Bu kombinasyon, grubun vishing, iceriden ise alim ve veri sizdirma yeteneklerini aciklamaktadir. 2025 Fidye Yazilimi Trendleri Baglami 2025, siber suc ekosisteminde bir donum noktasi oldu. LockBit ve Clop gibi yerlesik oyuncular kampanyalarini surdururken, 2025'in gercek hikayesi hizla varligini hissettiren yeni fidye yazilimi gruplarinin ortaya cikisiydi. Bu aktorler yeni taktikler tanittilar, gelismis sifreleme semalari kullandilar ve cok katmanli gasp stratejilerini benimsediler. Korunma Stratejileri ve Oneriler MFA Zorunlulugu CoinbaseCartel'in gecerli hesap istismarı goz onune alindiginda: - Tum platformlarda MFA zorunlu kilin (bulut, VPN, vCenter) - OAuth uygulama olusturmayı SaaS platformlarinda kisitlayin - Anormal OAuth onaylarini izleyin - Tor/VPN IP'lerinden yonetici girislerini tespit edin Yuklenici Erisim Kontrolu Iceriden ise alim tehdidine karsi: - Yuklenici erisimini en az ayricalik ilkesiyle sinirlandirin - Siki izleme uygulayin - Ucuncu taraf erisim denetimi yapin - Yuklenici aktivitelerini kaydedin ESXi Guvenligi shinysp1d3r tehdidine karsi: - ESXi SSH'yi varsayilan olarak devre disi birakin - Log'lari guvenli syslog'a gonderin - vCenter erisimini sinirlandirin - VM snapshot korumasi uygulayin - Datastore aktivitelerini izleyin Vishing Koruması - Calisan farkindalik egitimi saglayın - Sesli oltalama simulasyonlari yapin - Telefon tabanli sosyal muhendislik prosedulerini olusturun - Kritik islemler icin dogrulama protokolleri belirleyin Bulut Guvenligi - Salesforce ve diger SaaS platformlarini izleyin - Anormal veri indirme aktivitelerini tespit edin - API erisim log'larini inceleyin - DLP cozumleri uygulayin Veri Koruma - Hassas verileri siniflandirin - Veri sizdirma izleme uygulayin - Sifrelenmis depolama kullanin - Erisim kontrollerini sıkılaştırın Tehdit Istihbarati ve Izleme IoC Izleme - Bilinen TOR adresleri - Tox iletisim kimlikleri - Salesforce Data Loader benzeri script'ler - shinysp1d3r eserleri Davranissal Izleme - Ani yonetici girisleri (ozellikle Tor/VPN'den) - OAuth uygulama onaylari - Toplu veri indirme aktivitesi - ESXi SSH etkinlestirme girisimleri - VM snapshot manipulasyonu Proaktif Onlemler - Yeralti forumlarini izleyin - Tehdit istihbarati beslemelerini entegre edin - Yuklenici guvenlik denetimleri yapin - Penetrasyon testleri gerceklestirin Gelecek Ongoruleri Tehdit Degerlendirmesi CoinbaseCartel'in ShinyHunters, Scattered Spider ve Lapsus$ kokenleri, grubun deneyimli operatorlerden olustugunu gostermektedir. shinysp1d3r ESXi fidye yazilimi gelistirmesi, yakin gelecekte tam cift gasp operasyonlarina gecisi isaret etmektedir. Beklenen Gelismeler - shinysp1d3r ESXi fidye yaziliminin dagitimi - Cift gasp operasyonlarina tam gecis - Kurumsal capinda sifreleme saldirilari - Lojistik sektoru hedeflemesinin devami - Vishing tekniklerinin gelistirilmesi Sonuc CoinbaseCartel, 2025 yilinda ortaya cikan ve veri gaspina odaklanan yeni nesil tehditlerden biri olarak on plana cikmaktadir. ShinyHunters, Scattered Spider ve Lapsus$ is ortaklarindan olusan grup, iceriden ise alim, vishing ve gelismis veri sizdirma yetenekleriyle dikkat cekmektedir. Grubun su anki veri odakli yaklasimi, shinysp1d3r ESXi fidye yazilimi gelistirmesiyle yakin gelecekte tam cift gasp operasyonlarina donusecegi beklenmektedir. Lojistik, finans ve teknoloji sektorleri birincil hedefler arasinda yer almaktadir. Kuruluslar, CoinbaseCartel ve benzeri tehditlere karsi MFA zorunlulugu, yuklenici erisim kontrolu ve ESXi sertlestirmesine oncelik vermelidir. OAuth izleme, vishing farkindaligi ve bulut guvenlik kontrolları kritik oneme sahiptir. Proaktif guvenlik durus, surekli izleme ve kapsamli veri koruma stratejileri, bu tehditlere karsi en etkili savunma yaklasimini olusturmaktadir. Ozellikle lojistik ve finans sektorlerindeki kurumlar, CoinbaseCartel'in birincil hedefleri arasinda yer almalari nedeniyle ek onlemler almalidir....

Giriş AvosLocker, kripto paralı fidye yazılımları dünyasında hizmet veren profesyonel bir hacker grubudur. Tarihçe 2021 yılının ilk çeyreğinde ortaya çıkan AvosLocker, o zamandan bu yana oldukça sayıda saldırıyı başarıyla gerçekleştirdi. Teknik Özellikler AvosLocker, MBR'iyi (Master Boot Record) hedef alır ve içerisindeki verileri şifreler. Veri şifreleme işlemi sonrası sistem kullanıcıya erişim sağlamaz. İşleyiş AvosLocker, genellikle sosyal mühendislik tekniklerini ve phishing saldırıları ile hedef sistemlere erişir. Daha sonra sistem üzerindeki verileri şifreler ve hedef kullanıcıdan fidye talep eder. Etki Alanı AvosLocker dünya genelinde hedeflerini belirler ve genellikle küçük ve orta ölçekli işletmeleri hedef alır. Son İstatistikler Son istatistiklere göre, AvosLocker’a maruz kalan kuruluşların büyük çoğunluğu fidye talebine karşılık vermek zorunda kalıyor ve birçok kuruluş da bu durumdan dolayı maddi zarara uğruyor. Neden Tehlikeli? AvosLocker, şifreleme algoritmalarının çözümünün olmaması ve bu algoritmanın sürekli olarak güncelleniyor olmasından dolayı tehlikelidir. Genel Hedefleri AvosLocker'ın genel hedefi para kazanmaktır. Ne yazık ki bunu yaparken birçok küçük ve orta ölçekli işletmenin zarar görmesine neden olur. Saldırı Taktikleri AvosLocker genellikle phishing saldırıları, sosyal mühendislik ve ağ güvenlik açıklarını kullanarak hedef sistemlere sızar. Önemli Olaylar AvosLocker, 2021 yılında birçok önemli saldırı gerçekleştirdi. Bu saldırılar sonucunda birçok küçük ve orta ölçekli işletmeyi hedef aldı. Korunma Yolları AvosLocker'dan korunmanın en etkili yolu, güvenlik önlemlerini en üst düzeye çıkarmak ve düzenli olarak veri yedekleme işlemlerini gerçekleştirmektir. Ayrıca, kullanıcılar güvenilmez e-postalardan gelen bağlantıları ve dosyaları açmamalıdır....

Kairos Ransomware Nedir? Kairos Extortion Group (Kairos V2 olarak da bilinir), 13 Kasim 2024'te ilk kez tespit edilen ve kendini geleneksel fidye yazilimi cetelerinden farkli bir sekilde konumlandiran benzersiz bir siber suc grubudur. Grubun ayirt edici ozelligi, kurban dosyalarini sifrelemek yerine veri hirsizligi ve gasba odaklanmasidir. Bu taktik, veri ifsa tehditleri yoluyla baski uygulamaya ve kurbanlarin dosyalarini erisilemez hale getirmeden uzun sureli zarar yaratmaya dayanmaktadir. 67 dogrulanmis kurban ile Kairos, 2024-2025 doneminde kayda deger bir tehdit olarak dikkat cekmistir. %5.4 infostealer verisi korelasyonu, grubun daha genis siber suc ekosistemiyle baglantisini gostermektedir. Tor agi uzerinde iki bilinen lokasyonda faaliyet gosteren grup, ozellikle egitim ve saglik sektorlerini hedef almaktadir. Tarihsel Gelisim ve Evrim 2023 Sonu: Ortaya Cikis Kairos Extortion Group, 2023 sonlarinda ilk kez ortaya cikmis ve bir dizi veri ihlali ve ardindan gelen gasp talepleriyle varligini duyurmustur. 2024: Yeni Tehdit Olarak Taninma Kairos fidye yazilimi grubu, kisa omurlu fidye yazilimi markalarinin artan listesine eklenen yeni ve nispeten belirsiz bir tehdit aktorudur. Kasim 2024: CYFIRMA Raporu 2024 Kasim ortasinda, KAIROS yeni bir fidye yazilimi grubu olarak ortaya cikmistir. O donemde grup, 8 kurban listelenmisti. 2025: Secici Aktivite 2025'e kadar sadece 14 dogrulanmis kurban ile grubun aktivitesi nispeten dusuk profilli kalmistir. Bu sinirli saldiri sayisi, grubun secici yaklasimini ve hesapli saldirilarini vurgulamaktadir - yaygin, agresif saldirilar yerine veri ifsa tehditleri yoluyla baski uygulamayi amaclamaktadir. 2025 Egitim Sektoru Saldirilari Kairos, 2025 yilinda ozellikle egitim sektorunu hedef almistir: - Nisan 2025: Derby High School (Ingiltere) - Agustos 2025: Melland High School (Ingiltere) - Agustos 2025: Trico Community Unit School District 176 (ABD) Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2024-2026) | Metrik | Deger | |--------|-------| | Toplam Dogrulanmis Kurban | 67 | | Ilk Tespit | 13 Kasim 2024 | | En Son Tespit | 15 Aralik 2025 | | Inaktif Sure | 48 gun | | Ortalama Talep Gecikmesi | 70.8 gun | | Infostealer Korelasyonu | %5.4 | | Operasyonel Model | Sifrelemesiz Gasp | Tor Altyapisi | Onion Adresi | Durum | |--------------|-------| | erqnacjmdy3obvevyol7qhazkwkv57dwqvye5v46k5bcujtfa6sduad.onion | Inaktif (1 Haziran 2025'ten beri) | | nerqnacjmdy3obvevyol7qhazkwkv57dwqvye5v46k5bcujtfa6sduad.onion | Aktif (NGINX/Express) | Fidye Notu Dokumante edilmis fidye notu: **README_47.txt** Sektor Bazli Dagilim | Sektor | Kurban Sayisi | |--------|---------------| | Egitim | 10 | | Saglik | 7 | | Is Hizmetleri | 4 | | Tarim ve Gida Uretimi | 4 | | Uretim | 3 | | Diger sektorler | 39 | Cografi Dagilim | Ulke | Kurban Sayisi | Yuzde | |------|---------------|-------| | Amerika Birlesik Devletleri | 34 | %50.7 | | Avustralya | 7 | %10.4 | | Birlesik Krallik | 7 | %10.4 | | Kanada | 2 | %3.0 | | Slovakya | 2 | %3.0 | | Diger ulkeler | 15 | %22.4 | 2025 Onemli Saldirilari Derby High School (Nisan 2025) Birlesik Krallik'teki iki dogrulanmis Kairos saldirisiiından biri. Derby High School, Nisan 2025'te hedef alinmistir. Melland High School (Agustos 2025) Birlesik Krallik'teki ikinci Kairos saldirisi. Melland High School, Agustos 2025'te hedef alinmistir. Trico Community Unit School District 176 (Agustos 2025) Agustos 2025'te saldiriya ugrayan ABD okul bolgesi. Kairos, 180 GB veri caldigini iddia ederek saldirinin sorumlulugunuu ustlenmistir. Saglik Saglayicisi (2024 Ortasi) 2024 ortasinda, onde gelen bir saglik saglayicisi hedef alinmis ve hasta verilerinin sizdirmasi ile hizmetlerin kesintiye ugramasina yol acmistir. Bu saldiri, grubun kritik altyapiyi hedef alma isteklilligini vurgulamistir. Teknik Altyapi ve Saldiri Metodolojisi Benzersiz Yaklasim: Sifrelemesiz Gasp Kairos Extortion Group, 2024 sonlarinda ortaya cikan ve benzersiz siber suc yontemiyle hizla dikkat ceken bir gruptur. Geleneksel fidye yazilimi cetelerinden farkli olarak, kurban dosyalarini sifrelemek yerine veri hirsizligi ve gasba odaklanmaktadir. **Neden Sifrelemesiz?** Bu taktik: - Teknik karmasikligi azaltır - Yedekleme stratejilerini atlatır - Itibar baskisi uzerinden gasp yapar - Tespit edilme riskini azaltir Ilk Erisim Broker (IAB) Kullanimi Ilk Erisim Broker'larini (IAB) kullanarak, belirli sektorleri hedefleyerek ve fidye yazilimi dagitmak yerine veri sizdirma ve gasba odaklanarak, Kairos kendini diger gasp odakli gruplardan farklilastirmaktadir. Taktikleri saldiri surecini kolaylastirir, teknik engelleri azaltir ve gasp kampanyalari icin zaman cizelgesini hizlandirmaktadir. Ilk Erisim Vektorleri Kairos Extortion Group, modern cift gasp fidye yazilimi operasyonlariyla tutarli cesitli taktik, teknik ve prosedurler (TTP'ler) kullanmaktadir: **Zararli Ekli Kimlik Avi (T1566)** Kotu amacli ekler iceren hedefli e-postalar. **Kamusal Uygulama Istismari (T1190)** Kamuya acik uygulamalardaki zafiyetlerin istismari. **Kimlik Bilgisi Doldurma/Brute-Force (T1110)** Calinti veya tahmin edilen kimlik bilgileriyle erisim. **Diger Siber Suclulardan Erisim Satin Alma** IAB'lardan erisim satin alinmasi. MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing - T1078 - Valid Accounts - T1133 - External Remote Services - T1190 - Exploit Public-Facing Application - T1110 - Brute Force **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API - T1204 - User Execution **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery **Yanal Hareket (TA0008)** - T1021 - Remote Services - T1570 - Lateral Tool Transfer **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact (sifreleme kullanilirsa) Veri Odakli Gasp Modeli Operasyonel Yaklasim Kairos, veri ifsa tehditleri yoluyla baski uygulamaya ve kurbanlarin dosyalarini erisilemez hale getirmeden uzun sureli zarar yaratmaya odaklanmaktadir: 1. **Sizma**: Hedef aga erisim (IAB veya dogrudan) 2. **Kesif**: Hassas verilerin belirlenmesi 3. **Sizdirma**: Verilerin calinmasi 4. **Gasp**: Odeme karsiliginda verilerin yayinlanmamasi tehdidi Secici Yaklasim Sinirli saldiri sayisi, grubun secici yaklasimini ve hesapli saldirilarini vurgulamaktadir. Yaygin, agresif saldirilar yerine maksimum baski potansiyeli olan hedefler secilmektedir. 2025 Fidye Yazilimi Baglami Kuresel Istatistikler KELA'nin raporuna gore, Ocak-Eylul 2025 arasinda kuresel olarak 4.701 fidye yazilimi olayi kaydedilmistir - bu, 2024'un ayni donemindeki 3.219'dan %46 artistir. Kritik Altyapi Hedeflemesi 2025 fidye yazilimi saldirılarinin %50'si kritik altyapiyi hedef almistir. Uretim, saglik, enerji, ulasim ve finans en cok hedef alinan sektorler olmustur. Kasim 2024 Yeni Gruplar Kasim 2024'te Safepay, Chort, KAIROS ve Ymir fidye yazilimi ortaminda yeni tehditler olarak ortaya cikmistir. Korunma Stratejileri ve Oneriler Veri Sizdirma Tespiti Kairos'un veri odakli yaklasimi goz onune alindiginda: **Ag Izleme** - Buyuk veri transferlerini tespit edin - Anormal cikis trafiigini izleyin - DLP cozumleri konuslandirin **Endpoint Izleme** - Dosya erisim kaliplarini izleyin - Arsivleme aktivitesini tespit edin - Bulut depolama yuklemelerini izleyin Kimlik Bilgisi Guvenligi Kairos'un kimlik bilgisi doldurma ve IAB kullanimi goz onune alindiginda: **MFA Zorunlulugu** Tum hesaplarda MFA zorunlu kilin. **Parola Politikalari** Guclu, benzersiz parolalar zorunlu kilin. **Kimlik Bilgisi Izleme** Sizdirilmis kimlik bilgileri icin dark web izlemesi yapin. Egitim Sektoru Ozel Onerileri Kairos'un egitim sektoru hedeflemesi goz onune alindiginda: **Ogrenci ve Personel Verisi Koruma** - PII'yi sifreleyerek saklayin - Erisim kontrolu uygulayin - Veri siniflandirma yapin **Guvenlik Farkindaligi** - Personel ve ogrenci egitimi - Kimlik avi farkindaligi Veri Siniflandirma ve Koruma **Veri Siniflandirma** - Hassas verileri tanimiayın ve siniflandirin - PII ve PHI'yi ozellikle koruyun - Ogrenci kayitlarini izole edin **Erisim Kontrolu** - En az ayricalik ilkesi uygulayin - Hassas verilere erisimi sinirlandirin Olay Mudahale **Hazirlik** - Veri ihlali olay mudahale plani hazirlayin - Iletisim stratejisi olusturun - Hukuki danismanlik iliskileri kurun Gelecek Ongoruleri 2026 Beklentileri **Sifrelemesiz Gasp Trendi** Kairos ve benzeri gruplar, sifreleme yerine veri gasbi modelinin artmasini isaret etmektedir. Bu trend 2026'da devam edecektir. **Egitim Sektoru Riski** Kairos'un egitim sektoru odagi, bu alandaki organizasyonlarin artan risk altinda oldugunu gostermektedir. **IAB Kullanimi** Ilk Erisim Broker kullanimi, saldiri surecini kolaylastirdigi icin daha yaygin hale gelecektir. Veri Odakli Gasp Avantajlari Sifreleme yapmadan gasp: - Teknik karmasikligi azaltır - Yedekleme stratejilerini atlatır - Tespit edilme riskini azaltir - Saldiri surecini hizlandırır Sonuc Kairos Extortion Group, 2023 sonlarinda ortaya cikan ve veri hirsizligi ile gasba odaklanan benzersiz bir siber suc grubudur. Geleneksel sifreleme yerine veri ifsa tehditleri yoluyla baski uygulayan grup, 21'in uzerinde dogrulanmis saldiri gerceklestirmistir. Grubun secici yaklasimi - 2025'e kadar sadece 14 dogrulanmis kurban - yaygin saldirilar yerine hesapli ve maksimum etki potansiyeli olan hedeflere odaklandigini gostermektedir. Derby High School, Melland High School ve Trico Community Unit School District 176 saldirilari, egitim sektorunun oncelikli hedef oldugunu ortaya koymaktadir. IAB kullanimi ve sifrelemesiz gasp modeli, Kairos'u geleneksel fidye yazilimi gruplarından farklilastirmaktadir. Organizasyonlar, ozellikle veri sizdirma tespiti, kimlik bilgisi guvenligi ve veri siniflandirma alanlarinda kapsamli onlemler almalidir. Kairos'un veri odakli yaklasimi, geleneksel yedekleme stratejilerinin tek basina yeterli olmadigini ve proaktif veri koruma yaklasimlarinin kritik onemini gostermektedir....

ThreeAM Ransomware Grubu, siber güvenlik dünyasındaki en tehlikeli gruplardan biri olarak bilinir. İlk olarak 2021'de ortaya çıktığı düşünülen grup, diğerlerinden çok daha hızlı bir şekilde yayıldı ve çok fazla sayıda bilgisayarı etkiledi. Teknik Özellikler ThreeAM Ransomware, belirli bir ağa bağlı tüm dosyaları şifreleyebilen karmaşık bir kötü niyetli yazılımdır. Daha sonra, şifre çözme anahtarını sağlamak karşılığında fidye talep eder. İşleyiş ThreeAM, genellikle email ekleri, sahte yazılım güncellemeleri veya bozuk web siteleri aracılığıyla yayılır. Gelen spam email eklerini veya bilinmeyen kaynaklardan gelen yazılım güncellemelerini açan kullanıcılar, farkında olmadan ransomware'in bilgisayarlarına nüfuz etmesine yol açar. Etki Alanı ThreeAM, tespit edildiğinden bu yana dünya çapında milyonlarca bilgisayar düzeyinde etki yaratmıştır. Özellikle Kuzey Amerika, Avrupa ve Asya gibi bölgelerde yoğun bir şekilde hissedilmiştir. Son İstatistikler En son istatistiklere göre, ThreeAM Ransomware'in etkilediği bilgisayar sayısı 2 milyonu aştı. Fidyenin ortalama miktarı ise yaklaşık 500 dolar. Neden Tehlikeli? ThreeAM tehlikeli olmasının ana nedeni, oldukça gelişmiş şifreleme algoritması ve yayılma yeteneği nedeniyle savunmasız birçok bilgisayara hızlı bir şekilde nüfuz edebilmesidir. Korunma Yolları ThreeAM'den korunmanın en iyi yolu, güvendiğiniz kaynaklardan çevrimiçi içerik indirmektir. Antivirüs yazılımlarınızı güncel tutmalı ve bilinmeyen eklerle gelen email'leri açmamalısınız....

PayoutsKing Ransomware Nedir? PayoutsKing (Payouts King olarak da yazilir), 2024-2025 yillarinda ortaya cikan ve pragmatik, kar odakli bir yaklasim sergileyen fidye yazilimi grubudur. Dosya sifrelemeyi birincil baski mekanizmasi olarak kullanan grup, bazi vakalarda veri hirsizligini da gasp taleplerini guclendirmek icin kullanmaktadir. Teknik olarak yenilikci olmamakla birlikte, PayoutsKing yaygin guvenlik acıklarını verimli sekilde istismar ederek hizla etki yaratan yeni fidye yazilimi operatorlerinin nasil basarili olabilecegini gostermektedir. 2024-2026 doneminde 39'un uzerinde dogrulanmis saldiri gerceklestiren grup, firsatci bir hedefleme stratejisi izlemektedir. Ilk erisim yaygin olarak kimlik avi aktivitesi, calinti kimlik bilgileri veya guvenliksiz uzaktan erisim hizmetleriyle baglantilidir. Grup, yerlesik fidye yazilimi taktiklerini kullanarak yedekleri devre disi birakmakta, guvenlik kontrollerini bozmakta ve mescru sistem araclarini istismar ederek ele gecirilmis ortamlarda yanal hareket etmektedir. Tarihsel Gelisim ve Evrim 2024: RaaS Pazarinda Belirme PayoutsKing, 2024 yilinda fidye yazilimi pazarinda belirmistir. Bu donem, kuresel kolluk kuvvetlerinin operasyonlari nedeniyle buyuk fidye yazilimi gruplarinin dagilmasi ve yeni, daha kucuk gruplarin ortaya cikmasi ile karakterize edilmektedir. 2024 Ortasi: Ekosistem Parcalanmasi 2024 ortasinda, tek bir fidye yazilimi varyantinin saldıriların yaklasik %11'inden fazlasini olusturmadigi bir ortam olustu. Bir veya iki baskın oyuncunun yerine, simdi onlarca orta katman grup, yeniden markalasmis operasyonlar ve pazar payını kapmak icin yarislan yeni girişimcilerden olusan degisken, oynak bir ekosistem vardir. 2025: Aktif Operasyonlar 2025 yilinda PayoutsKing, ABD sirketlerine yonelik saldirilarla dikkat cekmistir. Temmuz ve Kasim 2025'te tespit edilen saldirilar, grubun aktif kalmaya devam ettigini gostermektedir. Grup Sayisindaki Artis 2024, kolluk kuvvetleri baskisina ragmen aktif fidye yazilimi gruplarinin sayisinda yillik %30 artis gormustur. 31 yeni grup sadece 12 ayda ekosisteme girmistir. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2024-2026) - Toplam Dogrulanmis Saldiri: 39+ - Ilk Ortaya Cikis: 2024 - Operasyonel Model: Cift Gasp (vaka bazli) - Birincil Baski Mekanizmasi: Dosya Sifreleme - Hedef Odagi: Firsatci hedefleme Hedef Profili PayoutsKing, firsatci bir hedefleme stratejisi izlemektedir: - Zayif guvenlik kontrolleri olan organizasyonlar - Acik uzaktan erisim hizmetleri olan sirketler - Kimlik bilgisi yonetimi zayif kuruluslar - Cesitli sektorlerdeki isletmeler Bilinen Saldirilar (2025) **ABD Sirketi - Kasim 2025** PayoutsKing grubunun gerceklestirdigi fidye yazilimi saldirisi, 4 Kasim 2025'te veri ihlali olarak tespit edilmistir. **ABD Sirketi - Temmuz 2025** Bir ABD sirketi, payoutsking grubunun fidye yazilimi saldirısına maruz kalmistir. Ihlal 14 Temmuz 2025'te kesfedilmistir. Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri PayoutsKing saldirilari firsatci gorunmektedir. Ilk erisim yaygin olarak su yontemlerle baglantilandilir: **Kimlik Avi Aktivitesi (T1566)** Zararli ekler veya bagllantilar iceren e-postalar. **Calinti Kimlik Bilgileri (T1078)** Ele gecirilmis hesap bilgileri ile erisim. **Guvenliksiz Uzaktan Erisim Hizmetleri (T1133)** Acik RDP, VPN veya diger uzaktan erisim noktalari. Yurutme Perspektifi Grup, yerlesik fidye yazilimi taktiklerini kullanmaktadir: **Yedeklerin Devre Disi Birakilmasi** Volume Shadow Copy ve diger yedekleme mekanizmalarinin silinmesi veya devre disi birakilmasi. **Guvenlik Kontrollerinin Bozulmasi** Antiviurs, EDR ve diger guvenlik cozumlerinin engellenmesi veya devre disi birakilmasi. **Mescru Sistem Araclarinin Istismari** Living-off-the-land (LOLBins) teknikleriyle yanal hareket. Sifreleme ve Gasp **Birincil Mekanizma** Dosya sifreleme, birincil baski mekanizmasi olarak kullanilmaktadir. **Ikincil Mekanizma** Bazi vakalarda veri hirsizligi, gasp taleplerini guclendirmek icin kullanilmaktadir. MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing - T1078 - Valid Accounts - T1133 - External Remote Services - T1190 - Exploit Public-Facing Application **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API - T1204 - User Execution **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal - T1490 - Inhibit System Recovery **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery **Yanal Hareket (TA0008)** - T1021 - Remote Services - T1570 - Lateral Tool Transfer **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Pragmatik Kar Odakli Yaklasim Operasyonel Felsefe PayoutsKing'in aktivitesi pragmatik, kar odakli bir yaklasima isaret etmektedir: **Verimlilik Odagi** Teknik yenilik yerine yaygin guvenlik aciklarinin verimli istismari. **Hizli Etki** Uzun sureli kalicilik yerine hizli operasyonel kesinti. **Firsatci Hedefleme** Secici hedefleme yerine firsatci yaklasim. Emtia Taktikleri PayoutsKing, teknik olarak yenilikci olmamakla birlikte, yaygin guvenlik aciklarını verimli sekilde istismar ederek yeni fidye yazilimi operatorlerinin hizla etki yaratabilecegini gostermektedir. 2024 Fidye Yazilimi Ekosistemi Baglami Parcalanmis Ekosistem 2024 ortasinda, tek bir fidye yazilimi varyantinin saldırilarin %11'inden fazlasini olusturmadigi bir ortam olustu. Bir veya iki baskın oyuncunun yerine: - Onlarca orta katman grup - Yeniden markalasmis operasyonlar - Pazar payini kapmak icin yarisan yeni girişimciler Grup Sayisindaki Artis 2024'te aktif fidye yazilimi gruplarinin sayisinda kolluk kuvvetleri baskılarina ragmen yillik %30 artis gorulmustur. 31 yeni grup sadece 12 ayda ekosisteme girmistir. 2025 Fidye Yazilimi Istatistikleri 2025 yilinda: - Ortalama fidye odemesi 2 milyon dolara ulasmistir - Fidye yazilimi saldirılarinin %50'si kritik altyapiyi hedef almistir - Kuresel olarak 4.701 fidye yazilimi olayi kaydedilmistir (Ocak-Eylul 2025) Korunma Stratejileri ve Oneriler Uzaktan Erisim Guvenligi PayoutsKing'in guvenliksiz uzaktan erisim vektoru goz onune alindiginda: **RDP Guvenligi** - RDP'yi dogrudan internete acik tutmayin - VPN arkasina alin - Network Level Authentication (NLA) etkinlestirin - RDP erisimini izleyin **VPN Guvenligi** - VPN cozumlerini guncel tutun - Guclu kimlik dogrulama zorunlu kilin - MFA zorunlu kilin Kimlik Bilgisi Guvenligi **MFA Zorunlulugu** Tum uzaktan erisim hesaplarinda MFA zorunlu kilin. **Parola Politikalari** Guclu, benzersiz parolalar zorunlu kilin. **Kimlik Bilgisi Izleme** Sizdirilmis kimlik bilgileri icin dark web izlemesi yapin. Kimlik Avi Savunmasi **E-posta Guvenligi** - Gelismis e-posta filtreleme cozumleri - Sandbox analizi - Baglanti ve ek taramasi **Calislan Egitimi** - Kimlik avi farkindalik egitimi - Simulasyon testleri - Raporlama mekanizmalari Yedekleme Koruma **Shadow Copy Koruma** - Volume Shadow Copy Service'i koruyun - Shadow copy silme girişimlerini tespit edin - Uyarilar yapilandirin **Yedekleme Stratejisi** - Cevrimdisi ve degistirilemez yedekler - 3-2-1-1 yedekleme kurali - Duzenli kurtarma testleri Endpoint Guvenligi **EDR Cozumleri** - Gelismis EDR platformlari konuslandirin - Guvenlik servisi sonlandirma girişimlerini izleyin - Tamper protection etkinlestirin **LOLBins Tespiti** Mescru sistem araclarinin kotu niyetli kullanimini tespit edin. Ag Guvenligi **Segmentasyon** Kritik sistemleri izole edin. **Yanal Hareket Tespiti** Agdaki anormal trafigi izleyin. Gelecek Ongoruleri 2026 Beklentileri **Firsatci Saldirilar** PayoutsKing gibi gruplar, yaygin guvenlik aciklarini istismar etmeye devam edecektir. **Ekosistem Dinamikleri** Parcalanmis ekosistem, daha fazla yeni grubun ortaya cikmasina olanak taniyacaktir. **Teknik Evrim** Grup, tekniklerini zamanla gelistirebilir. Pragmatik Operatorler PayoutsKing, teknik yenilik olmadan bile yaygin guvenlik aciklarinin verimli istismariyla basarili olunabilecegini gostermektedir. Bu model, benzer yeni gruplarin ortaya cikmasi icin bir sema olusturmaktadir. Sonuc PayoutsKing, 2024'te ortaya cikan ve pragmatik, kar odakli bir yaklasim sergileyen fidye yazilimi grubudur. Teknik olarak yenilikci olmamakla birlikte, yaygin guvenlik aciklarini verimli sekilde istismar ederek 39'un uzerinde saldiri gerceklestirmistir. Grubun firsatci hedeflemesi ve yerlesik taktikleri kullanimi, yeni fidye yazilimi operatorlerinin nasil hizla etki yaratabildiklerini gostermektedir. Kimlik avi, calinti kimlik bilgileri ve guvenliksiz uzaktan erisim hizmetleri birincil erisim vektorleri olarak kalmaktadir. Organizasyonlar, ozellikle uzaktan erisim guvenligi, kimlik bilgisi koruma ve yedekleme stratejileri alanlarinda kapsamli onlemler almalidir. PayoutsKing ve benzeri firsatci gruplar, temel guvenlik kontrollerinin onemini vurgulamaktadir - sofistike savunmalar yerine, yaygin guvenlik aciklarının giderilmesi en etkili koruma yaklasimini olusturmaktadir....

PEAR Ransomware Nedir? PEAR (Pure Extraction And Ransom), Haziran 2025'te ortaya cikan ve yalnizca veri sizdirma ve gaspina odaklanan Tor merkezli bir veri brokeri operasyonudur. Geleneksel fidye yazilimlarindan farkli olarak PEAR, dosya sifreleme yapmamakta, bunun yerine veri calmak ve sizinti tehdidiyle gasp etmektedir. Grup, kurban profillemesine dayali fidye talepleri belirleyerek ve operasyonel kesintiden kacinarak benzersiz bir yaklasim sergilemektedir. Tum operasyonel altyapi yalnizca Tor uzerinden gozlemlenmektedir. Tarihsel Gelisim Haziran 2025: Ortaya Cikis PEAR ilk olarak 24 Haziran 2025'te ortaya cikti. Baslangicta 18 kurban listelendi. Grup, saf veri sizdirma ve gasp modeli ile tanimlandi. 2025 Yaz-Guz: Buyume Donemi Agustos-Eylul 2025 doneminde grup buyumeye devam etti. Tri-Century Eye Care gibi saglik kurumlari hedeflendi. Kasim 2025: Is Hizmetleri Genislemesi Kasim 2025'te Poe's Accounting Services gibi muhasebe firmalari saldiriya ugradi. Is hizmetleri sektor hedeflemesi genisledi. 2026: Devam Eden Operasyonlar Ocak 2026 itibariyle grup 44 bilinen kurbanla aktif olarak faaliyetlerine devam etmektedir. 2025-2026 Saldiri Istatistikleri PEAR, ortaya cikisindan bu yana onemli rakamlar kaydetti: - Toplam Kurban (Son 6 Ay): 55 - Toplam Bilinen Kurban: 44 - Q3 2025 Kayitli Olay: 2-4 - Ortalama Bekleme Suresi: 41 gun - Ornek Fidye Talebi: 4 BTC (~180.000 dolar) Hedef Sektorler PEAR belirli sektorlere yogunlasmaktadir: - Saglik: One cikan hedef (goz klinikleri dahil) - Is Hizmetleri: Muhasebe ve danismanlik firmalari - Uretim: Imalat sektoru - Teknoloji: IT sirketleri - Devlet: Kamu kurumlari - Madencilik: Maden sirketleri - Finans: Finansal hizmetler Cografi Dagilim PEAR'in hedefledigi ulkeler: - ABD: Cogunluk (birincil hedef) - Avustralya: Ikincil hedef - Almanya: Avrupa odagi - Yeni Zelanda: Okyanusya hedeflemesi Salt Veri Gaspi Modeli Sifreleme Yok PEAR, dosya sifreleme yapmamaktadir. Bunun yerine: - Veri calar - Sizinti tehdidiyle gasp eder - Operasyonel kesintiden kacinir - Kurban profillemesine dayali fidye belirler Gasp Tipleri PEAR, cesitli gasp yontemleri kullanmaktadir: - Dogrudan Gasp: Fidye karsiliginda veri silme - Cift Gasp: Veri sizdirma tehdidi - Ucretsiz Sizdirma: Bazi durumlarda ucretsiz veri yayinlama Tor-Only Altyapi Tum operasyonel altyapi yalnizca Tor uzerinden gozlemlenmektedir. Bu yaklasim, grubun izlenebilirligini azaltmaktadir. Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri PEAR suclulari tarafindan kullanilan cesitli stratejiler: - Enfekte Dosya Indirmeleri: Zararli dosya indirme - Zararli Linkler: Kötü niyetli baglantillar - RDP Saldirilari: Uzak masaustu protokolu istismari - Phishing: Oltalama e-postalari - Spam E-posta Kampanyalari: Toplu zararli e-posta - O365/Exchange Erisimi: Kimlik bilgisi tabanli erisim MITRE ATT&CK Eslestirmesi Ilk Erisim (TA0001): - T1566 - Phishing - T1078 - Valid Accounts (kimlik bilgisi tabanli erisim) - T1021.001 - Remote Desktop Protocol Savunma Atlatma (TA0005): - T1562 - Impair Defenses (yedekleri ve guvenlik kontrollerini zayiflatma) Yanal Hareket (TA0008): - T1021 - Remote Services - Yerlesik yonetim araclari kullanimi Sizdirma (TA0010): - T1567 - Exfiltration Over Web Service - limewire.com ve ufile.io uzerinden proof-of-data - Tor hizmetleri uzerinden tam veri yayini Saldiri Teknikleri Yeni teknikler tanitmak yerine, PEAR denenmiş ve test edilmis fidye yazilimi taktiklerine guvenmeaktedir: - Yedekleri devre disi birakma - Guvenlik kontrollerini zayiflatma - Yanal hareket icin yerlesik yonetim araclari kullanma Uzun Bekleme Suresi PEAR, aglari uzun bir sure boyunca istismar etme egilimindedir. Tahmini saldiri tarihi ile kamuya acik talep arasindaki ortalama gecikme yaklasik 41 gundur. Bu durum onemli bir bekleme suresine isaret etmektedir. Veri Kaniti Paylasimi Muzakereler sirasinda veri kaniti limewire.com ve ufile.io linkleri uzerinden gonderilmektedir. Tam veri yayinlari daha sonra PEAR'in Tor hizmetlerinde barindrilmaktadir. 2025 Onemli Saldirilari Tri-Century Eye Care (Eylul 2025) Eylul 2025 basinda Tri-Century Eye Care, PEAR grubu tarafindan fidye yazilimi saldirısına ugradi: - Hassas hasta bilgilerine yetkisiz erisim - Calisan bilgilerine erisim - Saglik sektoru hedeflemesi Alt Vision Bir vakada grup, veri silme ve sizinti sitesinden isim kaldirilmasi icin dort bitcoin (yaklasik 180.000 dolar) talep etti. Devlet, madencilik ve finans sektorlerine hizmet veren Alt Vision, olay hakkinda yorum yapmadi. Poe's Accounting Services (Kasim 2025) 17 Kasim 2025'te PEAR, Poe's Accounting Services'a siber saldiri sorumlulugunu ustlendi. ThinkBig Ihlali ThinkBig'in ihlal bildirimi, bir calisan e-posta hesabindaki (O365/Exchange) supheli aktiviteyi belirtmektedir. Bu durum, istismar tabanli sifreleme araclari yerine kimlik bilgisi tabanli erisime isaret etmektedir. Fidye Yazilimi Ekosistemi Baglami Dusuk Hacimli Operatorler PEAR, Q3 2025'te 2-4 olay kaydeden dusuk hacimli gruplar arasinda siniflandirilmaktadir. Ekosistem fragmentasyonu tarafindan mumkun kilanan kucuk operatorlerin buyuyen uzun kuyruguna katkida bulunmaktadir. 2025 Ekosistem Fragmentasyonu Kuresel kolluk kuvvetleri ve koordineli kesinti kampanyalari buyuk fidye yazilimi sendikalarini hedeflemeye devam ederken, tehdit ekosistemi sadece uyum sagladi. Sonuc, fidye yazilimi operasyonlarinin cokmesi degil, fragmentasyon dalgasiydi - kucuk gruplar hizla ortaya cikti, kanitlanmis playbook'lari odunc aldi ve kurumsal duzey verimlilikle saldirilar baslatti. Cyble, 2025'te 57 yeni fidye yazilimi grubu ve 27 yeni gasp grubu gozlemledi. Korunma Stratejileri ve Oneriler Kimlik Yonetimi PEAR'in kimlik bilgisi tabanli erisimi goz onune alindiginda: - O365/Exchange hesaplari icin MFA zorunlu kilin - Calisan e-posta hesaplarini izleyin - Supheli giris aktivitelerini tespit edin - Kimlik bilgisi rotasyonu yapin RDP Guvenligi - RDP erisimini sinirlandirin - RDP uzerinde MFA uygulayin - RDP log'larini izleyin - Gereksiz RDP erisimini kapatin E-posta Guvenligi - Phishing ve spam filtreleme uygulayin - Calisan farkindalik egitimi saglayın - Zararli ek tespiti yapin - Sandbox analizi kullanin Veri Koruma PEAR'in veri sizdirma odagi goz onune alindiginda: - Hassas verileri siniflandirin - Veri sizdirma izleme uygulayin - DLP cozumleri kullanin - Erisim kontrollerini sikılastırın Yedekleme Korumasi - Cevrimdisi ve degistirilemez yedekler olusturun - 3-2-1 yedekleme kuralini uygulayin - Yedekleme erisimini sinirlandirin - Yedekleme sistemlerini izleyin Bekleme Suresi Tespiti PEAR'in 41 gun ortalama bekleme suresi goz onune alindiginda: - Uzun sureli izleme uygulayin - Anormal aktivite tespiti yapin - Tehdit avciligi (threat hunting) yapin - Log saklama surelerini uzatin Tehdit Istihbarati ve Izleme IoC Izleme - Bilinen PEAR Tor adresleri - limewire.com ve ufile.io veri paylasim linkleri - Fidye notu imzalari - C2 iletisim kaliplari Davranissal Izleme - O365/Exchange supheli aktivitesi - RDP kaba kuvvet girisimleri - Yedekleme sistemi manipulasyonu - Buyuk olcekli veri sizdirma Proaktif Onlemler - Tehdit istihbarati beslemelerini entegre edin - Tor trafigini izleyin - Penetrasyon testleri gerceklestirin - Incident response planlarini guncelleyin Gelecek Ongoruleri Tehdit Degerlendirmesi PEAR'in salt veri gaspi modeli ve uzun bekleme suresi, grubun tespitten kacinma konusundaki uzmanligini gostermektedir. Ekosistem fragmentasyonu, PEAR gibi kucuk operatorlerin buyumesini mumkun kilmaktadir. Beklenen Gelismeler - Salt veri gaspi modelinin devami - Saglik ve is hizmetleri hedeflemesi - Bekleme suresi taktiklerinin gelistirilmesi - Yeni cografi bolgelere yayilma - Tor altyapisinin genislemesi Sonuc PEAR, Haziran 2025'te ortaya cikan ve salt veri sizdirme ve gaspina odaklanan benzersiz bir tehdit aktorudur. Dosya sifreleme yapmadan, veri calmak ve sizinti tehdidiyle gasp etmek, grubun operasyonel modelini tanimlamaktadir. 41 gun ortalama bekleme suresi, grubun aglari uzun sure istismar etme kapasitesini ortaya koymaktadir. Saglik ve is hizmetleri sektorleri birincil hedefler arasinda yer almaktadir. Kuruluslar, PEAR ve benzeri tehditlere karsi kimlik yonetimi, e-posta guvenligi ve veri koruma oncelikli alanlar olarak ele alinmalidir. O365/Exchange MFA, RDP sertlestirme ve uzun sureli izleme kritik oneme sahiptir. Proaktif guvenlik durus, surekli izleme ve kapsamli veri koruma stratejileri, bu tehditlere karsi en etkili savunma yaklasimini olusturmaktadir. Ozellikle uzun bekleme suresi tespiti ve tehdit avciligi, PEAR gibi gizli operatorlere karsi kritik oneme sahiptir....

ShinyHunters Nedir? ShinyHunters, 2020 yilindan bu yana aktif olan ve dunyanin en tehlikeli veri hirsizligi gruplarindan biri olarak kabul edilen bir siber suc orgutudur. Pokemon oyunundaki nadir karakterlerden ismini alan grup, buyuk olcekli veri ihlalleri ve calinan verilerin yeralti pazarlarinda satisi ile taninan, finansal motivasyonlu bir tehdit aktoru olarak one cikmaktadir. Grup, 2024-2026 doneminde 54'un uzerinde dogrulanmis saldiri gerceklestirerek fidye yazilimi ekosisteminin en aktif oyuncularindan biri haline gelmistir. 2025 yilinda grup uyelerinin iddiasina gore toplam kurban sayisi 1.500'u asmis olup, bunlarin 1.000'den fazlasi kamuya aciklanmistir. Hedef alinan kurumlar arasinda Fortune 500 sirketleri, teknoloji devleri ve milyonlarca kullaniciya sahip platformlar yer almaktadir. Tarihsel Gelisim ve Kokenleri 2020: Ortaya Cikis ve Ilk Buyuk Saldirilar ShinyHunters, Mayis 2020'de Tokopedia saldirisiyla kuresel dikkat cekti. Endonezya'nin en buyuk e-ticaret platformundan 91 milyon kullanici kaydinin calinmasi, grubun teknik yeteneklerini ve hedef secimindeki curetkarligi ortaya koydu. Ayni donemde Microsoft'un ozel GitHub depolarina sizma girisimi de grubun yuksek profilli hedeflere odaklandigini gosterdi. 2021-2023: Genisleme Donemi Bu donemde ShinyHunters, operasyonlarini sistematik bir sekilde genisletti. Grup, cesitli sektorlerdeki sirketleri hedef alarak veri tabanlarini ele gecirdi ve bu verileri RaidForums, BreachForums gibi yeralti pazarlarinda satisa sundu. Pixlr, Bonobos, Mashable ve AT&T gibi buyuk markalar bu donemde grubun kurbanlari arasinda yer aldi. 2024: Snowflake Felaketi - Tarihin En Buyuk SaaS Ihlali Nisan 2024'te ShinyHunters, bulut veri platformu Snowflake uzerinden gerceklestirdigi saldirilarla tarihinin en buyuk operasyonunu yuruttu. Bu kampanyada 165'ten fazla sirketin verileri ele gecirildi: - Ticketmaster: 560 milyon musteri kaydi - Santander Bank: 30 milyon hesap bilgisi - Advance Auto Parts: 79 milyon kayit - AT&T: 109 milyon arama kaydi - LendingTree/QuoteWizard: 190 milyon kayit Saldirilarin toplam etkisi milyarlarca dolar olarak hesaplandi. Grup, MFA (cok faktorlu kimlik dogrulama) eksikligi olan hesaplari hedef alarak Lumma, Vidar ve Redline gibi infostealer'lardan elde edilen kimlik bilgilerini kullandi. 2025: SaaS Saldirilari ve Kurumsal Gasp Dalgasi Mayis 2025'te ShinyHunters, sosyal muhendislik kampanyasi baslatti. Sesli kimlik avi (vishing) teknikleriyle hedefleri kandirarak organizasyonlarin Salesforce portallerine zararli uygulamalar baglamalarini sagladi. Google Threat Intelligence Group, grubun Salesforce verileri uzerinden kurbanlari gasp ettigini dogruladi. Eylul 2025'te BleepingComputer, UNC6395 olarak izlenen kampanyanin tarihin en buyuk SaaS ihlali oldugunu dogruladi. Google'in raporlarina gore 700'den fazla organizasyon potansiyel olarak etkilendi. Kamuya aciklanan kurbanlar arasinda Cloudflare, Workiva, Zscaler, Tenable, CyberArk, Elastic, BeyondTrust, Proofpoint, JFrog, Rubrik, Cato Networks ve Palo Alto Networks yer aldi. Diger onemli 2025 ihlalleri: - Agustos 2025: Google'in kurumsal Salesforce ornegi ele gecirildi - Temmuz 2025: Qantas Havayollari - 5,7 milyon musteri verisi - Eylul 2025: Jaguar Land Rover - uretim ve perakende operasyonlari kesintiye ugratildi 2026 Ocak: SSO Kimlik Avi Kampanyasi Ocak 2026'da ShinyHunters, Okta, Google ve Microsoft tarafindan barindirilan SSO (tek oturum acma) hesaplarini hedef alan gasp odakli sesli kimlik avi saldirilari baslatmistir. Silent Push arastirmacilarina gore, grup 100'den fazla yuksek degerli kurulusun Okta SSO hesaplarini hedef almistir. Google'in Mandiant ekibi, grubun gelismis sesli kimlik avi teknikleriyle SSO kimlik bilgilerini ele gecirdigini ve tehdit aktoru kontrolundeki cihazlari kurban MFA cozumlerine kaydettirdigini dogruladi. 2026 Ocak: Son Kurbanlar ShinyHunters'in Ocak 2026'da iddia ettigi kurbanlar: - Panera Bread: 14 milyondan fazla kayit (isimler, e-posta ve ev adresleri, telefon numaralari) - CarMax - Edmunds - Crunchbase - Betterment - SoundCloud - Grubhub: BleepingComputer'a gore veri ihlali dogrulandi ve gasp girisimi devam ediyor ShinySp1d3r: Yeni Fidye Yazilimi Gelistirmesi Kasim 2025'te BleepingComputer, ShinyHunters'in aktif gelistirme altindaki yeni bir fidye yazilimi hizmet programi olan ShinySp1d3r'i duyurdu. Fidye yazilimi su anda yalnizca Windows sistemlerinde calismakta, ancak Linux ve ESXi surumleri de yakin zamanda piyasaya suruluyor. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2024-2026) - Grup Iddiasina Gore 2025 Kurban Sayisi: ~1.500 (1.000+ kamuya aciklandi) - Toplam Dogrulanmis Saldiri: 54+ - Ele Gecirilen Toplam Kayit: 1 milyardan fazla - Hedef Alinan Ulke Sayisi: 50+ - En Buyuk Tek Saldiri: Ticketmaster (560 milyon kayit) - Tahmini Finansal Etki: 10 milyar dolar+ Sektor Bazli Dagilim - Teknoloji: %28 - E-ticaret: %22 - Finans: %18 - Saglik: %12 - Egitim: %10 - Diger: %10 Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri **Sesli Kimlik Avi (Vishing) - T1566.004** Grup, 2025-2026'da gelismis sesli kimlik avi teknikleriyle SSO kimlik bilgilerini ele gecirmekte ve tehdit aktoru kontrolundeki cihazlari kurban MFA cozumlerine kaydettirmektedir. **Kimlik Bilgisi Hirsizligi (T1589)** Infostealer zararli yazilimlari araciligiyla toplanan kimlik bilgileri satin alinmaktadir. Snowflake kampanyasinda Lumma, Vidar ve Redline kullanildi. **API ve Bulut Yapilandirma Hatalari (T1190)** Yanlis yapilandirilmis bulut ortamlari, acik API endpoint'leri ve guvenli olmayan S3 bucket'lari hedef alinmaktadir. **GitHub ve Kaynak Kod Depolari (T1213)** Acik veya yanlis yapilandirilmis GitHub depolari taranarak API anahtarlari ve veritabani baglanti bilgileri aranmaktadir. MITRE ATT&CK Eslestirmesi **Kesif (TA0043)** - T1589 - Gather Victim Identity Information - T1590 - Gather Victim Network Information - T1593 - Search Open Websites/Domains **Ilk Erisim (TA0001)** - T1078 - Valid Accounts - T1190 - Exploit Public-Facing Application - T1199 - Trusted Relationship - T1566.004 - Voice Phishing **Kimlik Bilgisi Erisimi (TA0006)** - T1552 - Unsecured Credentials - T1555 - Credentials from Password Stores **Toplama (TA0009)** - T1213 - Data from Information Repositories - T1530 - Data from Cloud Storage **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service Grup Yapisi ve Ic Catismalar BreachForums Sizintisi Ocak 2026'da hosnutsuz bir ShinyHunters uyesi, 323.000'den fazla BreachForums kullanicisinin kimliklerini ifsa etti. Kullanici adlari, e-postalar ve diger meta veriler aciga cikti. Saldiri hedefleri konusundaki ic anlasmazliklar bu sizintiyi motive etmis gorunmektedir. Organizasyon Yapisi ShinyHunters, gevrek bir yapilanma ile calisan, farkli uzmanlik alanlarindan birey veya kucuk gruplardan olusan bir kollektif olarak faaliyet gostermektedir: - Erisim Ekibi: Ilk erisim vektorlerini belirleyen uzmanlar - Veri Cikartma Ekibi: Verileri toplayan ve organize eden teknik personel - Satis ve Pazarlama: Yeralti pazarlarinda satis yapan uyeler Monetizasyon Stratejisi **Dogrudan Satis** Calinan veriler BreachForums, Telegram ve ozel pazarlarda satilmaktadir. **Fidye Talepleri** Snowflake kampanyasinda bazi sirketlerden 1-5 milyon dolar fidye talep edildi. AT&T'nin 370.000 dolar fidye odedigi iddia edilmektedir. Kolluk Kuvvetleri Operasyonlari Sebastien Raoult Tutuklama ve Mahkumiyet Fransiz vatandasi Sebastien Raoult, 2023 yilinda Fas'ta yakalanarak ABD'ye iade edildi. Ocak 2024'te 3 yil hapis cezasina carpirildi ve 5 milyon dolar tazminat odemesine karar verildi. BreachForums Kapatmalar ShinyHunters'in birincil satis platformu olan BreachForums, 2023 ve 2024 yillarinda FBI operasyonlariyla defalarca kapatildi. Ancak platform her seferinde yeni adreslerle yeniden acildi. Korunma Stratejileri ve Oneriler Kimlik ve Erisim Yonetimi **Cok Faktorlu Kimlik Dogrulama (MFA)** Tum hesaplarda ve ozellikle bulut hizmetlerinde MFA zorunlu kilinmalidir. Snowflake saldirisi MFA eksikliginin kritik oldugunu gostermistir. Ancak ShinyHunters'in MFA bypass teknikleri de goz onunde bulundurulmalidir. **Kimlik Bilgisi Izleme** Calinan kimlik bilgilerinin yeralti pazarlarinda satisini izleyen hizmetler kullanilmalidir. **Sifir Guven Mimarisi** Her erisim talebinin dogrulandigi sifir guven yaklasimi benimsenmelidir. Bulut Guvenligi **Yapilandirma Denetimleri** Bulut ortamlarinin guvenlik yapilandirmalari duzenli olarak denetlenmelidir. **API Guvenligi** API endpoint'leri icin kimlik dogrulama mekanizmalari uygulanmali ve anahtarlar duzenli rotate edilmelidir. Sosyal Muhendislik Savunmasi ShinyHunters'in gelismis vishing teknikleri goz onune alindiginda: - Calisanlari sesli kimlik avi konusunda egitin - SSO ve MFA degisiklik taleplerini dogrulayin - Yardim masasi prosedurlerini sertlestirin Tehdit Izleme **Dark Web Izleme** Organizasyona ait verilerin yeralti pazarlarinda satisa sunulup sunulmadigini izleyin. **Tehdit Istihbarati** ShinyHunters'in TTP'lerini izleyen tehdit istihbarati akislari entegre edilmelidir. Sonuc ShinyHunters, 2020'den bu yana siber suc ekosisteminin en tehlikeli veri hirsizligi gruplarindan biri olarak faaliyet gostermektedir. Tarihin en buyuk SaaS ihlali olarak nitelendirilen 2025 Salesforce kampanyasi ve 700'den fazla organizasyonu etkileyen saldirilar, grubun olcegini ortaya koymaktadir. Ocak 2026'da devam eden SSO kimlik avi kampanyasi ve ShinySp1d3r fidye yazilimi gelistirmesi, grubun yeteneklerini genisletmeye devam ettigini gostermektedir. Organizasyonlar, ozellikle bulut guvenligi, MFA uygulamasi ve sosyal muhendislik savunmasi alanlarinda guclu onlemler almalidir. Proaktif guvenlik durus, tehdit istihbarati izleme ve olay mudahale yetenekleri, ShinyHunters ve benzeri tehditlere karsi en etkili savunma yaklasimini olusturmaktadir....

Beast Ransomware Nedir? Beast Ransomware, Mart 2022'de BlackBerry Incident Response ekibi tarafindan sorusturma sirasinda tespit edilen Monster fidye yaziliminin evrimles formudur. 1 Nisan 2024'te vahsi dogada ilk kez gozlemlenen Beast, o zamandan beri dunya genelinde sistemleri aktif olarak hedef almaktadir. Ransomware-as-a-Service (RaaS) platformu olarak faaliyet gosteren Beast, birden fazla tehdit aktoru ortaginiin ayni altyapi altinda bagimsiz kampanyalar yurutmesine olanak tanmaktadir. 2024'te arastirmacilar, grubun Beast'in ortaklik programini ve yeni yeteneklerini Rusca, Ingilizce ve Cince olarak pazarladigini gozlemlemistir. Affiliate'lere Windows, Linux ve VMware ESXi sistemlerini hedefleyebilen ozellestirilebilir bir RaaS platformu sunulmaktadir. Temmuz 2025'teki resmi lansmaniindan bu yana grup, ABD, Avrupa, Asya ve Latin Amerika'daki 16 kamuya aciklanan kurbanla aktif olarak organizasyonlari hedef almaktadir. Tarihsel Gelisim ve Evrim Mart 2022: Monster Olarak Baslangic Beast Ransomware, Mart 2022'de BlackBerry Incident Response ekibi tarafindan sorusturma sirasinda tespit edilen Monster fidye yaziliminin evrimles formudur. Bu erken donem, fidye yaziliminin temel yeteneklerinin gelistirildigi asama olmustur. Nisan 2024: Vahsi Dogada Ilk Gozlem Beast, vahsi dogada ilk kez 1 Nisan 2024'te gozlemlenmistir. Bu tarihten itibaren grup, dunya genelinde sistemleri aktif olarak hedef almaya baslamistir. 2024: RaaS Pazarlama ve Gelistirme 2024'te arastirmacilar, grubun Beast'in ortaklik programini ve yeni yeteneklerini Rusca, Ingilizce ve Cince olarak pazarladigini gozlemlemistir. Affiliate'lere Windows, Linux ve VMware ESXi sistemlerini hedefleyebilen ozellestirilebilir bir RaaS platformu sunulmaktadir. Agustos 2024'te, Windows, NAS ve ESXi icin yapilari yapilandirma secenekleriyle birlikte cevrimdisi bir builder tanitilmistir. Subat 2025: Kamuya Acik Aktivite Grup, Subat 2025'te ilk kez ortaya cikmis ancak 2025 ortasinda Tor tabanli veri sizdirma sitesi kurulduktan sonra one cikmistir. Bu sitede, fidye taleplerini karsillamayan organizasyonlarin calintı verileri yayinlanmaktadir. Temmuz 2025: Resmi Lansman ve Aktif Operasyonlar Resmi lansman Temmuz 2025'te gerceklesmistir. O zamandan beri grup, ABD, Avrupa, Asya ve Latin Amerika'daki 16 kamuya aciklanan kurbanla aktif olarak organizasyonlari hedef almaktadir. Mart 2025: Boramae Varyanti Mart 2025'te, Beast ile neredeyse ozdes kod paylasan ancak OpenSSL 1.1.0 ile statik baglama yoluyla boyutu genisletilmis Boramae varyantinin kesfedildigi raporlanmistir. Yaklasik 150 fonksiyondan 2.500'un uzerine cikis gorulmustur. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2024-2026) - Toplam Dogrulanmis Saldiri: 36+ - Kamuya Aciklanan Kurban (Temmuz 2025'ten itibaren): 16 - Ilk Vahsi Doga Gozlemi: 1 Nisan 2024 - Resmi Lansman: Temmuz 2025 - Hedef Platformlar: Windows, Linux, VMware ESXi, NAS - Operasyonel Model: RaaS Cografi Dagilim Kurbanlar birden fazla bolgede raporlanmistir: - Amerika Birlesik Devletleri - Avrupa - Asya - Latin Amerika Sektor Bazli Dagilim Beast, cesitli sektorleri hedef almaktadir: - Uretim - Teknoloji - Finansal hizmetler - Saglik - Is hizmetleri Teknik Altyapi ve Saldiri Metodolojisi SMB Tabanli Ag Yayilma Beast, Server Message Block (SMB) port taramasi kullanarak agresif ag yayilma taktikleri uygulayan onemli bir siber guvenlik tehdidi olarak ortaya cikmistir. Kurumsal ortamlarda sistemlere sizmak ve sifrelemek icin bu yetenegi kullanmaktadir. CIS Ulkeleri Muafiyeti Beast Ransomware'in en son surumu, Rusya, Belarus ve Moldova gibi Bagimsiz Devletler Toplulugu (CIS) ulkelerinde bulunan cihazlardaki verileri sifrelemekten ozellikle kacinmaktadir. Bu, asagidaki kontroller araciligiyla saglanmaktadir: - Sistemin varsayilan dil ayarlarinin kontrolu - Ulke kodunun kontrolu - Hedefin IP adresinin alinmasi Ilk Erisim Vektorleri **Kimlik Avi E-postalari (T1566)** Cogu fidye yaziliminda oldugu gibi, ilk erisim genellikle kimlik avi e-postalari araciligiyla saglanmaktadir. **Tehlikeye Atilmis RDP Endpoint'leri (T1133)** Remote Desktop Protocol endpoint'leri istismar edilmektedir. **Vidar Infostealer Esligi** AhnLab ASEC, 2024'te Beast'in telif hakki ihlali uyarilari veya sahte ozgecmisler olarak gizlenen kimlik avi kampanyalarinda Vidar infostealer ile birlikte dagitildigini gozlemlemistir. Coklu Platform Destegi Beast, birden fazla platformu hedefleyebilmektedir: - Windows - Linux - VMware ESXi - NAS cihazlari MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing - T1078 - Valid Accounts - T1133 - External Remote Services (RDP) - T1190 - Exploit Public-Facing Application **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API - T1204 - User Execution **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery - T1135 - Network Share Discovery (SMB) **Yanal Hareket (TA0008)** - T1021.002 - SMB/Windows Admin Shares - T1570 - Lateral Tool Transfer - T1210 - Exploitation of Remote Services **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal - T1490 - Inhibit System Recovery **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop RaaS Platformu ve Affiliate Programi Coklu Dil Pazarlama 2024'te grup, Beast'in ortaklik programini ve yeni yeteneklerini Rusca, Ingilizce ve Cince olarak pazarlamistir. Bu coklu dil yaklasimi, kuresel affiliate agini genisletme amacini yansitmaktadir. Ozellestirilebilir Builder Agustos 2024'te, Windows, NAS ve ESXi icin yapilari yapilandirma secenekleriyle birlikte cevrimdisi bir builder tanitilmistir. Bu, affiliate'lerin kendi ozellesmis fidye yazilimi varyantlarini olusturmasina olanak tanmaktadir. Veri Sizdirma Sitesi 2025 ortasinda Tor tabanli veri sizdirma sitesi kurulmustur. Bu sitede, fidye taleplerini karsillamayan organizasyonlarin calintı verileri yayinlanmaktadir. Boramae Varyanti Kesif ve Ozellikler Mart 2025'te Boramae'nin kesfedildigi raporlanmistir. Bu varyant: - Beast ile neredeyse ozdes kod paylasmaktadir - OpenSSL 1.1.0 ile statik baglama yoluyla boyutu genisletilmistir - Yaklasik 150 fonksiyondan 2.500'un uzerine cikmistir Iliskki ve Sonuclar Boramae'nin Beast ile kod benzerligi, ortak bir gelistirme ekibi veya kaynak kod paylasimini gostermektedir. Bu, Beast ailesinin evriminin devam ettigini isaret etmektedir. 2024-2025 Fidye Yazilimi Baglami Kuresel Istatistikler KELA'nin raporuna gore, Ocak-Eylul 2025 arasinda kuresel olarak 4.701 fidye yazilimi olayi kaydedilmistir - bu, 2024'un ayni donemindeki 3.219'dan onemli bir artistir. Kritik Altyapi Hedeflemesi 2025 fidye yazilimi saldirılarinin %50'si kritik altyapiyi hedef almistir. Uretim, saglik, enerji, ulasim ve finans en cok hedef alinan sektorler olmustur. Grup Sayisi Kuresel olarak 103 aktif fidye yazilimi grubu gozlemlenmistir. Bu, parcalanmis ve rekabetci bir ekosistemi yansitmaktadir. Kuresel Saldiri Artisi Kuresel fidye yazilimi saldirilari 2024'te %11 artarak 5.414'e ulasmistir. Yavas bir baslangicin ardindan saldirilar Q2'de artmis ve Q4'te 1.827 olayla (yilin toplaminin %33'u) zirve yapmistir. Korunma Stratejileri ve Oneriler SMB Guvenligi Beast'in SMB tabanli ag yayilmasi goz onune alindiginda: **SMB Sertlestirme** - SMBv1'i devre disi birakin - SMB imzalama zorunlu kilin - Gereksiz SMB paylasimlarini kapatin **Ag Segmentasyonu** - SMB trafiigini segmente edin - Kritik sistemleri izole edin - Mikro-segmentasyon uygulayin **Izleme** - SMB trafigini izleyin - Anormal baglanti kaliplarini tespit edin - Port tarama aktivitesini algilayın RDP Guvenligi **Erisim Kontrolu** - RDP'yi dogrudan internete acik tutmayin - VPN arkasina alin - Network Level Authentication (NLA) etkinlestirin **MFA Zorunlulugu** Tum RDP erisiminde MFA zorunlu kilin. Kimlik Avi Savunmasi **E-posta Guvenligi** - Gelismis e-posta filtreleme cozumleri - Sandbox analizi - Baglanti ve ek taramasi **Calislan Egitimi** - Kimlik avi farkindalik egitimi - Ozellikle telif hakki ihlali ve ozgecmis temalı saldirilara dikkat - Simulasyon testleri ESXi ve Sanalastirma Guvenligi **ESXi Sertlestirme** - ESXi sunucularini sertlestirin - Gereksiz hizmetleri devre disi birakin - Yonetim arayuzlerine erisimi sinirlandirin **Yamalama** - ESXi yamalarina oncelik verin - vCenter guncellemelerini hizla uygulayin NAS Guvenligi - NAS firmware'ini guncel tutun - Varsayilan kimlik bilgilerini degistirin - Gereksiz protokolleri devre disi birakin - NAS cihazlarini segmente edin Yedekleme Stratejisi - Cevrimdisi ve degistirilemez yedekler - 3-2-1-1 yedekleme kurali - Duzenli kurtarma testleri - ESXi ortamlari icin ozel yedekleme stratejileri Gelecek Ongoruleri 2026 Beklentileri **RaaS Genislemesi** Beast'in RaaS platformunun daha fazla affiliate cekmesi ve saldiri hacminin artmasi beklenmektedir. **Platform Cesitliligi** Windows, Linux, ESXi ve NAS hedeflemesinin devam etmesi ve genislemesi muhtemeldir. **Boramae Evrimi** Boramae varyantiinin ayri bir tehdit olarak evrilmesi veya Beast ile birlesemesi olasıdır. SMB Saldiri Trendi Beast'in SMB tabanli ag yayilmasi, kurumsal ortamlarda bu protokolun guvenlik risklerini vurgulamaktadir. Benzer tekniklerin diger gruplar tarafindan benimsenmesi beklenmektedir. Sonuc Beast Ransomware, 2022'de Monster olarak baslayan ve 2024-2025'te tam RaaS platformuna donusen evrimles bir fidye yazilimi tehdididir. SMB tabanli ag yayilma, coklu platform destegi (Windows, Linux, ESXi, NAS) ve CIS ulkeleri muafiyeti, grubun teknik sofistikasyonunu gostermektedir. Temmuz 2025'teki resmi lansmandan bu yana ABD, Avrupa, Asya ve Latin Amerika'daki 16 kamuya aciklanan kurban, grubun kuresel erisimini vurgulamaktadir. Rusca, Ingilizce ve Cince pazarlama, genis bir affiliate agi olusturma amacini yansitmaktadir. Mart 2025'teki Boramae varyanti kesffi, Beast ailesinin evriminin devam ettigini gostermektedir. Organizasyonlar, ozellikle SMB guvenligi, RDP koruma, ESXi sertlestirme ve NAS guvenligi alanlarinda kapsamli onlemler almalidir. Beast'in coklu platform hedeflemesi, butunsel bir guvenlik yaklasiminin kritik onemini ortaya koymaktadir....

MedusaLocker Ransomware Nedir? MedusaLocker, ilk olarak Eylul 2019'da teshis edilen ve Ransomware-as-a-Service (RaaS) varyanti olarak faaliyet gosteren tehlikeli bir fidye yazilimi ailesidir. Onemli bir not olarak, MedusaLocker, Haziran 2021'de ilk teshis edilen ve Spearwing grubu tarafindan isletilen ayri bir fidye yazilimi olan Medusa'dan farklidir. Bu iki fidye yaziliminin birbirine baglantisi olduguna inanilmamaktadir. MedusaLocker, cesitli sektorlerde kucuk ve orta olcekli isletmeleri hedef almaktadir. Grup, cift gasp taktikleri kullanarak verileri sifrelemekte ve sizdirmakta, fidye odenmezse verileri yayinlamakla tehdit etmektedir. 2024-2026 doneminde 2'nin uzerinde dogrulanmis saldiri gerceklestiren grup, ozellikle saglik ve egitim sektorlerini hedef almistir. Medusa Ransomware (Spearwing) - 2024-2025 Yukselisi Medusa fidye yazilimi saldirilari 2023 ile 2024 arasinda %42 artmistir. Bu aktivite artisi tırmanmaya devam etmekte olup, 2025'in ilk iki ayinda 2024'un ilk iki ayina gore neredeyse iki kat daha fazla Medusa saldirisi gozlemlenmistir. CISA Uyarisi (Mart 2025) 12 Mart 2025'te yayinlanan ortak siber guvenlik bulteninde, Siber Guvenlik ve Altyapi Guvenligi Ajansi (CISA), Federal Sorusturma Burosu (FBI) ve Cok Eyaletli Bilgi Paylasimi ve Analiz Merkezi (MS-ISAC), Medusa aktorlerinin Aralik 2024 itibariyle kritik altyapi sektorlerinden 300'den fazla kurban iddia ettigini kaydetti. 2025 Istatistikleri - Subat 2025 itibariyle: Cesitli kritik altyapi sektorlerinden 300'den fazla kurban - Etkilenen sektorler: Tip, egitim, hukuk, sigorta, teknoloji ve uretim - 2025'in ilk 72 gununde: Yaklasik 60 basarili saldiri - Subat 2025: 33 dogrulanmis kurbanla bugune kadarki en aktif ay Fidye Talepleri Medusa fidye yazilimi kullanan saldirganlar tarafindan talep edilen fidyeler 100.000 dolardan 15 milyon dolara kadar degismektedir. Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri **Kamusal Uygulama Zafiyetleri (T1190)** Spearwing ve affiliate'lerinin cogunlukla kurban aglarina, ozellikle Microsoft Exchange Sunuculari olmak uzere kamusal uygulamalardaki yamasiz zafiyetleri istismar ederek eristigi dusunulmektedir. Istismar edilen zafiyetler: - ConnectWise ScreenConnect (CVE-2024-1709) - Fortinet EMS (CVE-2023-48788) **Kimlik Avi (T1566)** Hedefli e-posta kampanyalari ile zararli ekler veya baglantilar. **Gecerli Hesaplar (T1078)** Ele gecirilmis kimlik bilgileri ile sisteme erisim. Cift/Uclu Gasp Taktikleri Fidye yazilimi operatorlerinin cogunlugu gibi, Spearwing ve affiliate'leri kurbanlarin verilerini calmakta ve fidye odemesi icin baskiyi artirmak amaciyla aglari sifrelemeden once cift gasp saldirilari gerceklestirmektedir. **Uclu Gasp Iddiasi** Fidyeyi odedikten sonra, bir kurban, muzakerecinin zaten odenmis fidye miktarini caldigini ve "gercek sifreler cozucuyu" saglamak icin odemenin yarisinin tekrar yapilmasini talep eden ayri bir Medusa aktoru tarafindan iletisime gecildi - bu potansiyel olarak bir uclu gasp semasina isaret etmektedir. MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1190 - Exploit Public-Facing Application (Exchange, ScreenConnect, Fortinet) - T1566 - Phishing - T1078 - Valid Accounts - T1133 - External Remote Services **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution **Ayricalik Yukseltme (TA0004)** - T1068 - Exploitation for Privilege Escalation - T1078 - Valid Accounts **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery **Yanal Hareket (TA0008)** - T1021 - Remote Services - T1570 - Lateral Tool Transfer **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Onemli Saldirilar ve Vaka Incelemeleri Minneapolis Devlet Okullari (2023) Medusa, 100.000'den fazla kisiyi etkileyen hassas ogrenci belgelerini aciga cikaran Minneapolis Devlet Okullari'na yapilan saldiriyla dikkat cekti. Saglik Kurulusu Saldirisi (Ocak 2025) Symantec'in Threat Hunter ekibi tarafindan sorusturulan bir saldirida, Medusa ABD'deki bir saglik kurulusunu hedef almak icin kullanildi ve birkaç yuz makineyi enfekte etti. Diger Onemli Hedefler - Tonga (Pasifik ada ulusu) - Fransa belediyeleri - Filipinler hukumet ajanslari - Kanada'nin en buyuk iki bankasi tarafindan olusturulan teknoloji sirketi Grup Konumu ve Attribution Medusa fidye yazilimi grubunun belirli konumu bilinmemektedir, ancak kanitlar Rusya veya muttefik devletlerinden birinden faaliyet gosterdigini gostermektedir. Bu, grubun: - Rusya ve Bagimsiz Devletler Toplulugu icindeki organizasyonlari hedeflemekten kacinmasi - RAMP gibi Rusca dark web forumlarindaki aktivitesi nedeniyle ileri surulmektedir. Korunma Stratejileri ve Oneriler Zafiyet Yonetimi Medusa'nin zafiyet istismari goz onune alindiginda: **Exchange Server Guvenligi** - Microsoft Exchange Server yamalarini hizla uygulayin - Exchange Online'a gecisi degerlendirin - Exchange loglarini izleyin **ScreenConnect ve Fortinet** - CVE-2024-1709 (ScreenConnect) yamasi - CVE-2023-48788 (Fortinet EMS) yamasi - Tum uzaktan erisim araclarini guncel tutun Kritik Altyapi Guvenligi 300'den fazla kritik altyapi kurbani goz onune alindiginda: **Segmentasyon** - Kritik sistemleri izole edin - OT/IT segmentasyonu uygulayin - Sifir guven mimarisi benimseyin **Izleme** - SIEM cozumleri kullanin - Anormal aktiviteyi izleyin - Tehdit istihbarati entegre edin Saglik ve Egitim Sektoru Onlemleri **Hasta/Ogrenci Veri Koruma** - HIPAA/FERPA uyumlulugu - Veri siniflandirma - Erisim kontrolu **Olay Mudahale** - Sektore ozel olay mudahale planlari - Regulatorlere bildirim prosedurlleri - Kriz iletisim stratejileri Uclu Gasp Savunmasi Medusa'nin potansiyel uclu gasp semasi goz onune alindiginda: - Fidye odeme kararllarini dikkatli degerlendirin - Muzakerelerde dikkatli olun - Siber sigorta seceneklerini degerlendirin - Hukuki danismanlik alin Yedekleme Stratejisi - Cevrimdisi ve degistirilemez yedekler - 3-2-1-1 yedekleme kurali - Duzenli kurtarma testleri - Kurtarma surelerini test edin 2026 Tehdit Ongoruleri Devam Eden Buyume %42 yillik artis ve 2025'te neredeyse iki katina cikan saldiri hacmi, Medusa'nin: - 2026'da saldirilari artirmaya devam etmesi - Kritik altyapiyi hedeflemeye devam etmesi - Fidye taleplerini artirmasi beklenmektedir. Evrim - Uclu gasp semallarinin yayginlasmasi - Yeni zafiyet istismarlari - Sofistike taktiklerin benimsenmesi MedusaLocker vs Medusa Karsilastirmasi | Ozellik | MedusaLocker | Medusa (Spearwing) | |---------|--------------|--------------------| | Ilk Tespit | Eylul 2019 | Haziran 2021 | | Bagllanti | Bagimsiz | Bagimsiz | | Hedef Olcek | KOBİ'ler | Kritik altyapi | | 2024-2025 Aktivite | Dusuk | Yuksek (300+ kurban) | | CISA Uyarisi | Hayir | Evet (Mart 2025) | Sonuc MedusaLocker ve Medusa (Spearwing) ayri fidye yazilimi operasyonlari olmasina ragmen, her ikisi de ciddi tehditler olusturmaktadir. Medusa, 2024-2025'te ozellikle dikkat cekmekte olup, kritik altyapi sektorlerinden 300'den fazla kurbanla CISA, FBI ve MS-ISAC'in ortak uyari yayinlamasina neden olmustur. %42 yillik saldiri artisi, 100.000 ila 15 milyon dolar araligindaki fidye talepleri ve potansiyel uclu gasp taktikleri, Medusa'yi 2025-2026'nin en tehlikeli fidye yazilimi gruplarından biri haline getirmektedir. Organizasyonlar, ozellikle Exchange Server, ScreenConnect ve Fortinet zafiyetleri icin yama yonetimi, kritik altyapi segmentasyonu ve cift/uclu gasp senaryolarina hazirlik alanlarında kapsamli onlemler almalidir....

Trigona, özellikle daha önce saldırdığı hedeflerden gelen bilgileri toplamak ve kullanmak üzere tasarlanmış bir ransomware grubudur. Bu grup ağırlıklı olarak spesifik hedeflere yönelik saldırılar gerçekleştirir ve genellikle belirli bir sektörü veya organizasyonu hedef alır. **Teknik Özellikler** Trigona ransomware, en son güvenlik önlemlerini atlatmak için sofistike teknikler kullanır. Bilgisayar sistemlerine sızdıktan sonra, hedeflenen verileri şifreler ve fidye ödenene kadar bu verilerin erişilemez hale gelmesine neden olur. **İşleyiş** Trigona genellikle spear phishing saldırıları veya sahte yazılım güncellemeleri yoluyla dağıtılır. Kurbanları genellikle bilginin güvenli olduğunu düşündüğü anlarda, özellikle e-postaları kontrol ederken veya güvenilir bir web sitesini ziyaret ederken hedef alır. **Etki Alanı** Trigona'nın küresel bir etkisi vardır ve birçok farklı sektör ve organizasyonu hedef almıştır. Genellikle yüksek profilli hedefleri tercih eder ve saldırıları genellikle büyük ölçekte ve büyük hasara yol açar. **Son İstatistikler** Son raporlara göre, Trigona'nın etkinliği ve saldırıları son zamanlarda artmıştır. Büyük veri ihlalleri ve fidye yazılımı saldırıları, Trigona’nın hedeflerine genellikle yüzbinlerce, hatta milyonlarca dolarlık zarar vermesine neden olmuştur. **Neden Tehlikeli?** Trigona, bir işletmenin veya organizasyonun tüm dijital varlıklarını felce uğratabilecek güce sahiptir. Verilerin geri yüklenmesi genellikle zaman alır ve bu sırada bir kuruluş işlevsiz hale gelebilir. **Korunma Yolları** Trigona'ya karşı korunmak için en etkili yöntemlerden biri, tüm sistemlerin ve yazılımların düzenli olarak güncellenmesi ve fidye yazılımı saldırılarına karşı koruma sağlayabilecek güvenlik yazılımlarının kullanılmasıdır. Ayrıca, personelin sahte e-postaları ve diğer sosyal mühendislik taktiklerini tanıyabilmesi için düzenli eğitimler de önemlidir....

Anubis Ransomware Nedir? Anubis, Kasim 2024'te ilk kez tespit edilen ve fidye yazilimi ekosisteminde benzersiz bir tehdit olarak one cikan yeni bir siber suc orgutudur. Grubun en dikkat cekici ozelligi, geleneksel sifreleme ve veri sizdirmanin yaninda dosya silme (wiper) yeteneklerini entegre etmesidir. Bu hibrit yaklasim, Anubis'i diger fidye yazilimi operasyonlarindan ayirmaktadir. Trend Micro arastirmacilarina gore Anubis, tipik cift gasp modeline yikici bir kenar ekleyen, Ransomware-as-a-Service (RaaS) grubu olarak faaliyet gostermektedir. Fidye yaziliminin opsiyonel "silme modu" ozelligi, dosyalarin iceriklerini kalici olarak silerek kurbanlarin fidye odeseler bile verileri kurtarmasini imkansiz kilabilmektedir. Tarihsel Gelisim ve Ortaya Cikis Kasim 2024: Ilk Tespit Anubis, ilk olarak Kasim 2024'te fidye yazilimi ekosisteminde tespit edildi. Grubun Aralik 2024'te ortaya cikarak, dosya silme yeteneklerini geleneksel sifreleme ve veri sizdirmanin yanina entegre etmesiyle hizla dikkat cektigi bildirilmektedir. Subat 2025: RAMP Forumu Duyurusu 23 Subat 2025'te "superSonic" kullanici adi, RAMP forumunda affiliate programlarinin "yeni formatini" duyurdu. Bu duyuru, Anubis'in RaaS operasyonunun resmi baslangici olarak kabul edilmektedir. 2025 Ortasi: Yikici Saldirilar Haziran 2025'te The Hacker News, Anubis'in dosyalari sifreleyip sildigini ve odeme sonrasinda bile kurtarmayi imkansiz kildigini raporladi. Bu yikici yaklasim, grubu ozellikle tehlikeli bir tehdit haline getirmektedir. Ocak 2026: Copec Saldirisi 9 Ocak 2026'da Sili medyasi, Copec grubuna bagli altyapiya yonelik siber olay hakkinda haber yapti. Anubis, bu saldirinin sorumlulugunuu ustlendi ve yaklasik 6 terabyte kurumsal veri sizdirdigini iddia etti. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2024-2026) - Sizdirma Sitesinde Listelenen Kurban: 7+ (dogrulanmis) - Toplam Saldiri Sayisi: 38+ (2024-2026) - Affiliate Gelir Payi: %80 (affiliate), %20 (Anubis) - Hedef Platformlar: Windows, Linux, NAS, ESXi - En Buyuk Veri Sizdirma: Copec (6 TB) Sektor Bazli Dagilim Grubun sizdirma sitesinde listelenen yedi kurbanin analizi: - Saglik: %28 - Muhendislik: %22 - Insaat: %18 - Savunma/Havacilik: %15 - Enerji: %10 - Diger: %7 Cografi Dagilim Hedef alinan bolgeler: - Avustralya - Kanada - Peru - Amerika Birlesik Devletleri - Sili Operasyonel Model ve Affiliate Programlari Uc Monetizasyon Kanali Subat 2025'teki RAMP forumu duyurusunda, Anubis uc farkli monetizasyon kanali tanitildi: **1. Geleneksel RaaS Programi** Anubis, fidyenin %20'sini alirken affiliate'ler %80'ini tutmaktadir. Bu oran, sektordeki en dusuk oranlardan biridir ve rekabetci bir teklif olusturmaktadir. **2. Veri Gasp Programi** Halihazirda calinmis verileri monetize etmek isteyen sucular icin tasarlanmis program. Anubis, verilerin satisinda veya gasp surecinde destek saglamaktadir. **3. Erisim Monetizasyon Programi** Ilk erisim satanlara yonelik program. Kurumsal aglara erisim saglayan sucular, Anubis ile isbirligi yapabilmektedir. Operasyon Merkezli Bilgiler Arastirmacilar, Anubis operatorlerinin Rusya veya diger Bagimsiz Devletler Toplulugu (BDT) ulkelerinde bulunduguna inanmaktadir: - Forum iletisimlleri normalde Rusca yapilmaktadir - Fidye muzakereleri ve sizdirma sitesi guncellemeleri Moskova Standart Saati (MSK) calisma saatlerinde gerceklesmektedir - Anubis fidye yazilimi binary'leri Rusca dil dizeleri icermektedir Teknik Altyapi ve Yetenekler Dosya Silme (Wiper) Ozelligi Anubis'in en yikici ozelligi, opsiyonel silme modudur. Bu mod, dosyalarin iceriklerini kalici olarak silerek kurtarmayi imkansiz kilmaktadir. Fidye odense bile, silinen dosyalar geri getirilemez. Sifreleme Teknolojisi Windows sistemlerinde Anubis, Eliptik Egri Entegre Sifreleme Semasi (ECIES) kullanmaktadir. Bu, asimetrik sifreleme ile guclu anahtar koruması saglamaktadir. Platform Destegi Anubis, birden fazla platformu desteklemektedir: - **Windows**: Tam sifreleme ve silme destegi - **Linux**: Sunucu ortamlari icin ozel payload'lar - **NAS**: Ag bagli depolama cihazlari hedeflenebilmektedir - **ESXi**: VMware sanalastirma ortamlari Kendini Yayma Yetenegi Zararli yazilim, etki alanları arasinda kendini yayma yetenegi icermektedir. Bu, tek bir enfeksiyon noktasindan tum kurumsal agin tehlikeye girmesine yol acabilir. Windows Yetenekleri Windows sistemlerinde Anubis asagidaki yeteneklere sahiptir: - ECIES ile dosya sifreleme (opsiyonel dosya silme ile) - Erisim token manipulasyonu ile ayricalik yukseltme - Kurtarma seceneklerini ortadan kaldirmak icin golge kopya silme - Hizmet kesintisi MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1190 - Exploit Public-Facing Application (VPN zafiyetleri) - T1078 - Valid Accounts - T1566 - Phishing - T1133 - External Remote Services **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1047 - Windows Management Instrumentation - T1106 - Native API **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution - T1078 - Valid Accounts **Ayricalik Yukseltme (TA0004)** - T1134 - Access Token Manipulation - T1068 - Exploitation for Privilege Escalation - T1078 - Valid Accounts **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal - T1490 - Inhibit System Recovery (golge kopya silme) **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery - T1016 - System Network Configuration Discovery **Yanal Hareket (TA0008)** - T1021 - Remote Services - T1570 - Lateral Tool Transfer - T1210 - Exploitation of Remote Services **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1485 - Data Destruction (wiper modu) - T1490 - Inhibit System Recovery - T1489 - Service Stop Onemli Saldirilar ve Vaka Incelemeleri Ilk Saglik Sektoru Saldirisi (2024) Anubis, ilk bilinen kurbani olarak bir tip merkezini kamuya acik olarak sizdirma sitesinde listeledi. Grup, tibbi kayitlar ve kimlik belgeleri dahil hassas verileri elde ettigini ve daha sonra sizdirdigini iddia etti. Kanada Saglik Kurulusu (Aralik 2024) Aralik 2024'te Kanada'daki bir saglik kurulusuna benzer bir saldiri baslatildi. Anubis, gasp edilen verileri Veri Sizdirma Sitesinde yayinladi. Copec Saldirisi (Ocak 2026) Anubis'in en buyuk bilinen saldirisi: - Tarih: 9 Ocak 2026 - Hedef: Copec grubuyla baglantili altyapi (Sili) - Sizdirilan Veri: Yaklasik 6 terabyte kurumsal veri - Ilk Erisim: Kurumsal VPN'deki bir zafiyet istismar edildi - Sonuc: Savunma ekibinin hizli mudahalesi tam sifrelemeyi onledi, ancak veri sizdirmasini durduramadi Diger Raporlanan Kurbanlar Ek ihlaller sunlari icermektedir: - GCC of America (Kuzey Amerika'nin en buyuk cimento ve beton ureticilerinden biri) - Bir havacilik ve savunma yuklenicisi - Disneyland ile ilgili sizdirilmis belgeler - L3Harris, General Atomics ve Virgin Galactic'ten planlar Tehdit Degerlendirmesi Benzersiz Risk Faktorleri **Wiper Yetenegi** Anubis'in en tehlikeli ozelligi dosya silme yeteneigidir. Diger fidye yazilimi gruplari kurtarma vaat ederken, Anubis kurbanlarin fidye odeseler bile verilerini kaybetmesine neden olabilir. **Coklu Platform Destegi** Windows, Linux, NAS ve ESXi destegi, grubun cesitli kurumsal ortamlari hedef alabilecegini gostermektedir. **Kendini Yayma** Etki alanlari arasinda yayilma yetenegi, tek bir enfeksiyonun tum agi tehlikeye atabilecegi anlamina gelmektedir. Hibrit Oyun Kitabi Barracuda Networks'un tanimlamasiyla "Sil, sizdir, gasp et: Anubis fidye yaziliminin cilgin hibrit oyun kitabi" - grup, geleneksel fidye yazilimi taktiklerini yikici saldirilarla birlestirmektedir. Korunma Stratejileri ve Oneriler VPN ve Uzaktan Erisim Guvenligi Copec saldirisi VPN zafiyeti uzerinden gerceklestirilmistir: - VPN cihazlarini duzenli olarak yamalayIn - VPN erisimi icin MFA zorunlu kilin - VPN loglarini izleyin - Gereksiz uzaktan erisim noktalarini kapatin Veri Koruma ve Yedekleme Wiper yetenegi goz onune alindiginda: - Cevrimdisi ve degistirilemez yedekler olusturun - Yedekleri ag segmentasyonu ile izole edin - Duzenli yedekleme testleri yapin - 3-2-1-1 yedekleme kurali (1 kopyasi cevrimdisi ve degistirilemez) Sanalastirma Altyapisi Guvenligi ESXi destegi nedeniyle: - ESXi sunucularini sertlestirin - vCenter erisimini sinirlandirin ve MFA uygulayin - ESXi yamallarini hizla uygulayin - Sanalastirma altyapisini segmente edin Ag Guvenligi Kendini yayma yetenegi nedeniyle: - Ag segmentasyonu uygulayin - Yanal hareket tespiti icin NDR kullanin - Etki alani guvenlik ilkelerini sertlestirin - Anormal ag trafigini izleyin Golge Kopya Koruma - Volume Shadow Copy Service'i koruyun - Golge kopya silme girisimlerni tespit edin - Ek kurtarma mekanizmalari uygulayin Olay Mudahale Hazirligi - Wiper senaryolari icin ozel olay mudahale planlari - Forensik yetenek gelistirme - Kriz iletisim planlari - Sigorta kapsami degerlendirmesi Sonuc Anubis, Kasim 2024'te ortaya cikan ve fidye yazilimi ekosisteminde benzersiz bir tehdit olarak konumlanan tehlikeli bir siber suc orgutudur. Dosya silme yetenekleri, coklu platform destegi ve kendini yayma kapasitesi, grubu diger operasyonlardan ayirmaktadir. Ocak 2026'daki 6 TB'lik Copec saldirisi ve saglik sektoru hedeflemesi, grubun buyuk olcekli operasyonlar yurutme kapasitesini ortaya koymaktadir. Wiper modu, kurbanlarin fidye odeseler bile verilerini kaybedebilecegi anlamina gelmekte ve bu da geleneksel fidye muzakeresi stratejilerini gecersiz kilmaktadir. Organizasyonlar, Anubis'in benzersiz tehdit profilini dikkate alarak ozellikle veri koruma, yedekleme stratejileri ve VPN guvenligi alanlarinda kapsamli onlemler almalidir. Wiper yetenegi goz onune alindiginda, degistirilemez ve cevrimdisi yedekler kritik oneme sahiptir. Proaktif guvenlik durus, tehdit istihbarati izleme ve guclu olay mudahale yetenekleri, Anubis ve benzeri hibrit tehditlere karsi en etkili savunma yaklasimini olusturmaktadir....

Ryuk...

BlackShrantac Ransomware Nedir? BlackShrantac, 2025 yilinda ortaya cikan ve hizla kuresel capda saldirilar gerceklestiren yeni bir fidye yazilimi operasyonudur. Kisa surede uretim, teknoloji, finansal hizmetler ve kamu sektoru gibi kritik alanlarda hedefler belirleyen grup, cift gasp taktikleri kullanarak kurbanlarini baskiya almaktadir. Microsoft tarafindan Trojan:Win64/Blackshrantac.Z!MTB olarak kataloglanan tehdit, 2024-2026 doneminde 45'in uzerinde dogrulanmis saldiri gerceklestirmistir. Grup, standart cift gasp modelini benimsemis olup kurban sistemlerini sifreleyerek ve hassas verileri sizdirarak fidye talep etmektedir. Hedef kitlesi genellikle kucuk ve orta olcekli organizasyonlar olup, saldirilar operasyonel kesintileri maksimize etmeye odaklanmaktadir. Teknik olarak yenilikci olmamakla birlikte, BlackShrantac bilinen TTP'leri ve emtia araclarini etkili bir sekilde kullanarak ciddi zararlar vermektedir. Tarihsel Gelisim ve Evrim 2025 Basinda: Ortaya Cikis BlackShrantac, 2025 yilinin baslarinda kamuya acik olarak ortaya cikmis ve hizla saldiri kampanyalarina baslamistir. Grup, kolluk kuvvetlerinin buyuk fidye yazilimi operasyonlarini sekteye ugratmasiyla ortaya cikan boslugu dolduran yeni operasyonlardan biri olarak dikkat cekmektedir. 2025 Sonbahar: Agresif Kampanyalar Ekim 2025'te grup, Asya ve Orta Dogu'daki teknoloji sirketlerine yonelik agresif saldiri kampanyalari baslatti. ApleNet Co., Ltd (Guney Kore), Computer World W.L.L (Bahreyn) ve Standard Fiber (ABD) gibi hedefler bu donemde vuruldu. 2026 Ocak: Kritik Altyapi Hedeflemesi 2026 yilinin ilk haftalarinda BlackShrantac, kritik altyapi hedeflerine yoneldi. National Water Authority ve Schneider Prototyping India Pvt. Ltd gibi onemli kuruluslar saldiriya ugradi. Peru'daki Agricola Cerro Prieto tarim sirketi de bu donemde hedef alindi. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2025-2026) - Toplam Dogrulanmis Saldiri: 45+ - Ilk Ortaya Cikis: 2025 Basinda - Microsoft Tanimlamasi: Trojan:Win64/Blackshrantac.Z!MTB - Operasyonel Model: Cift Gasp - Birincil Hedef: Kucuk ve orta olcekli organizasyonlar Sektor Bazli Dagilim - Uretim: 6 kurban - Teknoloji: 6 kurban - Finansal Hizmetler: 4 kurban - Kamu Sektoru: 3 kurban - Is Hizmetleri: 1 kurban - Diger sektorler: Tarim, tekstil Cografi Dagilim - Hindistan: 7 kurban - Amerika Birlesik Devletleri: 7 kurban - Turkiye: 4 kurban - Peru: 3 kurban - Meksika: 1 kurban - Guney Kore, Bahreyn ve diger ulkeler 2025-2026 Onemli Saldirilari National Water Authority (Ocak 2026) 8 Ocak 2026'da tespit edilen bu saldiri, BlackShrantac'in kritik altyapi hedeflemesini gosteren onemli bir ornektir. Su otoritesine yapilan saldiri, kamu hizmetleri uzerindeki potansiyel etkiyi vurgulamaktadir. Schneider Prototyping India Pvt. Ltd (Ocak 2026) 8 Ocak 2026'da tespit edilen saldiri, Hindistan'daki uretim sektorune yonelik hedeflemenin bir parcasidir. Agricola Cerro Prieto (Aralik 2025) 23 Aralik 2025'te tespit edilen bu saldiri, Peru'daki buyuk tarim sirketini hedef almistir. Tarim sektorunun de fidye yazilimi gruplarinin radarinda oldugunu gostermektedir. ApleNet Co., Ltd (Ekim 2025) 30 Ekim 2025'te BlackShrantac, Guney Kore merkezli onde gelen BT sirketi ApleNet'e karsi siber saldiri duyurdu. Grup, sirket muzakererlere katilmazsa hassas verileri sizdirmakla tehdit etti. Computer World W.L.L (Ekim 2025) 20 Ekim 2025'te grup, Bahreyn'deki onde gelen BT cozumleri saglayicisi Computer World W.L.L'e yapilan saldirinin sorumlulugunuu ustlendi. Talepleri karsilanmazsa hassas verileri yayinlayacaklari tehdidinde bulundu. Standard Fiber (Ekim 2025) 4 Ekim 2025'te BlackShrantac, ABD merkezli kuresel ev tekstili endustrisinin lideri Standard Fiber'a karsi siber saldiri duyurdu. Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri **Ele Gecirilmis Kimlik Bilgileri (T1078)** Grup, hedef sistemlere erisim icin calinti veya ele gecirilmis kimlik bilgilerini kullanmaktadir. **Kimlik Avi (T1566)** Hedefli kimlik avi kampanyalari, ilk erisim icin yaygin olarak kullanilmaktadir. **Acik Uzaktan Hizmetler (T1133)** Zayif yapilandirilmis veya guvenlik acigi bulunan uzaktan erisim hizmetleri istismar edilmektedir. Saldiri Taktikleri BlackShrantac, standart cift gasp modelini izlemektedir: 1. Hedef aga ilk erisim 2. Yedekleme sistemlerinin devre disi birakilmasi 3. Guvenlik kontrollerinin atlatilmasi 4. Hassas verilerin sizdirmasi 5. Sistemlerin sifrelenmesi 6. Fidye talebi ve sizdirma tehdidi Teknik Karakteristikler - Windows 64-bit sistemleri hedeflemektedir - Emtia araclari ve bilinen TTP'leri kullanmaktadir - Uzun sureli kalicllik yerine hizli operasyonel kesintiye odaklanmaktadir - Yedekleri ve guvenlik kontrollerini devre disi birakma yetenegi bulunmaktadir MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing - T1078 - Valid Accounts - T1133 - External Remote Services - T1190 - Exploit Public-Facing Application **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API - T1204 - User Execution **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal - T1112 - Modify Registry **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery **Yanal Hareket (TA0008)** - T1021 - Remote Services - T1570 - Lateral Tool Transfer **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Cift Gasp Modeli Operasyonel Yaklasim BlackShrantac, modern fidye yazilimi gruplarinin standart cift gasp modelini uygulamaktadir: **Veri Sizdirma** Sifreleme oncesinde hassas veriler sizdirmaktadir. **Sifreleme** Kurban sistemlerindeki dosyalar kilitlenmektedir. **Fidye Talebi** Sifreleme anahtari ve verilerin yayinlanmamasi icin odeme talep edilmektedir. **Kamuya Aciklama Tehdidi** Odeme yapilmazsa sizdirilan veriler yayinlanmakla tehdit edilmektedir. Hedef Secim Stratejisi Grup, operasyonel kesintileri maksimize etmeye odaklanan bir hedef secim stratejisi izlemektedir. Kucuk ve orta olcekli organizasyonlar tercih edilmektedir cunku: - Sinirli guvenlik kaynaklari - Hizli odeme motivasyonu - Daha az medya ilgisi - Kolay sizma potansiyeli Korunma Stratejileri ve Oneriler Kimlik Bilgisi Guvenligi BlackShrantac'in kimlik bilgisi tabanli erisim kullanimi goz onune alindiginda: **MFA Zorunlulugu** - Tum hesaplarda cok faktorlu kimlik dogrulama - Ozellikle uzaktan erisim hesaplarinda MFA - VPN ve RDP erisiminde MFA zorunlu kilin **Kimlik Bilgisi Izleme** - Dark web'de kurumsal kimlik bilgilerini izleyin - Sizdirilmis kimlik bilgileri icin uyarilar yapilandirin - Parola saglik kontrolu uygulayin **Parola Politikalari** - Guclu, benzersiz parolalar zorunlu kilin - Duzenli parola rotasyonu - Parola yoneticileri kullanin Endpoint Guvenligi **EDR Cozumleri** - Gelismis EDR platformlari konuslandirin - Microsoft Defender for Endpoint aktif edin - BlackShrantac imzalarini guncel tutun **Davranis Analizi** - Anomali tespiti aktif edin - Sifreleme aktivitesini izleyin - Yedekleme silme girişimlerini tespit edin Uzaktan Erisim Guvenligi **VPN ve RDP Sertlestirme** - Acik RDP portlarini kapatin veya VPN arkasina alin - VPN yapilandirmalarini sertlestirin - Uzaktan erisim loglarini izleyin **Erisim Kontrolu** - En az ayricalik ilkesi uygulayin - Gereksiz uzaktan erisim hesaplarini devre disi birakin - IP beyaz listeleri kullanin Yedekleme Stratejisi **3-2-1-1 Kurali** - 3 kopya veri - 2 farkli ortam - 1 cevrimdisi kopya - 1 degistirilemez kopya **Kurtarma Testleri** - Duzenli yedekleme dogrulama - Felaket kurtarma tatbikatlari - Kurtarma suresi hedefleri belirleme Tehdit Istihbarati - BlackShrantac IOC'lerini guvenlik araclariniza entegre edin - Microsoft Security Intelligence guncellemelerini izleyin - Sektor bazli tehdit istihbarati paylasimina katilin Gelecek Ongoruleri 2026 Beklentileri 2026 yilinda BlackShrantac'in: - Kritik altyapi hedeflemesini artirmasi beklenmektedir - Cografi erisim alanini genisletmesi muhtemeldir - Teknik yeteneklerini gelistirmesi olasıdır - Daha buyuk organizasyonlari hedeflemesi beklenmektedir Fidye Yazilimi Ekosistemindeki Yeri Kolluk kuvvetlerinin buyuk grupları sekteye ugratmasiyla ortaya cikan boslukta, BlackShrantac gibi yeni operasyonlar hizla alan doldurmaktadir. 2025-2026 doneminde benzer gruplarin ortaya cikmasi ve rekabet etmesi beklenmektedir. Sonuc BlackShrantac, 2025 basinda ortaya cikan ve hizla 45'in uzerinde saldiri gerceklestiren agresif bir fidye yazilimi operasyonudur. Hindistan ve ABD'nin en cok hedef alinan ulkeler olmasi, grubun kuresel erisim kapasitesini gostermektedir. Grup, teknik olarak yenilikci olmamakla birlikte, emtia araclari ve bilinen TTP'leri etkili bir sekilde kullanarak ciddi operasyonel kesintilere neden olmaktadir. Microsoft tarafindan Trojan:Win64/Blackshrantac.Z!MTB olarak kataloglanmasi, tehdidin ciddiyetini vurgulamaktadir. Ocak 2026'daki National Water Authority saldirisi, grubun kritik altyapiyi hedef alma potansiyelini ortaya koymaktadir. Organizasyonlar, ozellikle kimlik bilgisi guvenligi, MFA zorunlulugu ve yedekleme stratejileri alanlarinda kapsamli onlemler almalidir. BlackShrantac ve benzeri yeni ortaya cikan gruplara karsi proaktif guvenlik durus, tehdit istihbarati entegrasyonu ve guclu olay mudahale yetenekleri en etkili savunma yaklasimini olusturmaktadir....

Brain Cipher Ransomware Nedir? Brain Cipher, 2024 yilinda ortaya cikan ve ozellikle Endonezya Ulusal Veri Merkezine yapilan yikici saldiriyla kuresel dikkat ceken yeni bir fidye yazilimi operasyonudur. Kotu sohretli LockBit 3.0 fidye yaziliminin sizdirilan kaynak kodundan olusturulan bir varyant olan Brain Cipher, hukumet kurumlari ve kritik altyapiyi hedef alan tehlikeli bir tehdit aktoru olarak one cikmistir. Grup, tipik olarak buyuk kamusal gorunurluge sahip organizasyonlari - ulusal veri merkezleri ve kritik altyapi kuruluslari gibi - hedef almaktadir. Hukumet, kolluk kuvvetleri ve ordu gibi sektorleri hedef alan Brain Cipher, 2024-2026 doneminde 7'nin uzerinde dogrulanmis saldiri gerceklestirmistir. Tarihsel Gelisim ve Onemli Olaylar Haziran 2024: Endonezya Ulusal Veri Merkezi Saldirisi 20 Haziran 2024'te Endonezya Ulusal Veri Merkezi buyuk bir fidye yazilimi saldirisuina ugradi. Saldiri, havaalani goc kontrollerini ve cesitli hukumet hizmetlerini kesintiye ugratti. Hukumet, yeni bir fidye yazilimi operasyonu olan Brain Cipher'in saldirinin arkasinda oldugunu dogruladi ve 200'den fazla hukumet kurumu etkilendi. Saldiri Detaylari Brain Cipher, sifreler cozucu ve iddialara gore calinan verileri sizdirmemek karsiliginda Monero kripto para biriminde 8 milyon dolar talep etti. Saldiri, baskent Cakarta'daki degil, Surabaya'daki ulusal veri merkezi subesini etkiledi. Siber saldiri, vize ve oturma izni isleme, pasaport hizmetleri ve goc belgesi yonetim sistemleri gibi hizmetleri etkiledi. Dunyanin dorduncu en kalabalik ulkesinde feribot yolculari rezervasyon sistemlerinin tekrar acilmasini beklerken saatlerce kuyruklar olusurken, uluslararasi gelenler pasaport dogrulama kiosklarında donuk kaldi. Hukumet Tepkisi ve Cozum Yanit olarak, Endonezya hukumeti fidye odemeyi reddetti ve etkiyi azaltmak icin calismalara basladi. Baski altinda ve odeme vaaadi olmadan, grup 8 milyon dolarlik fidye talebinden vazgecti ve sifreler cozucusunu ucretsiz olarak yayinladi. "Endonezya vatandaslari, bunun herkesi etkiledigi icin ozur dileriz," ekip bir aciklamada yazdi. Brain Cipher, sifreler cozucuyu kolluk kuvvetleri veya diger kurumlar tarafindan zorlanmadan kendi iradesiyle yayinladigini detaylandirdi. Teknik Altyapi ve Analiz LockBit 3.0 Temeli Gecici Ulusal Veri Merkezi (PDNS) sistemleri, kotu sohretli LockBit 3.0 fidye yaziliminin yeni bir varyanti olan Brain Cipher ile enfekte edildi. Ornekler, diger tehdit aktorlerinin kendi fidye yazilimi operasyonlarini baslatmak icin yogun sekilde kotuye kullandigi sizdirilan LockBit 3.0 olusturucusu kullanilarak olusturuldu. Babuk Varyanti Kullanimi Brain Cipher ayrica en az bir Endonezya kurbaninda Babuk varyantiini da kullanmistir. Bu, grubun birden fazla fidye yazilimi ailesinden yararlandigini gostermektedir. Coklu Kimlik Kullanimi Group-IB arastirmasina gore, Brain Cipher "bircok maske takmaktadir." Grup, farkli saldiri kampanyalarinda farkli kimlikler ve markalar kullanarak izlemeyi zorlastirmaktadir. MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1190 - Exploit Public-Facing Application - T1078 - Valid Accounts - T1566 - Phishing - T1133 - External Remote Services **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API - T1129 - Shared Modules **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution - T1078 - Valid Accounts **Ayricalik Yukseltme (TA0004)** - T1068 - Exploitation for Privilege Escalation - T1078 - Valid Accounts - T1134 - Access Token Manipulation **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal - T1112 - Modify Registry **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery - T1069 - Permission Groups Discovery **Yanal Hareket (TA0008)** - T1021 - Remote Services - T1570 - Lateral Tool Transfer **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2024-2026) - Toplam Dogrulanmis Saldiri: 7+ - Ilk Buyuk Saldiri: Haziran 2024 (Endonezya) - Fidye Talebi: 8 milyon dolar (Monero) - Etkilenen Kurum Sayisi: 200+ - Teknik Temel: LockBit 3.0, Babuk Hedef Profili Brain Cipher tipik olarak buyuk kamusal gorunurluge sahip organizasyonlari hedef almaktadir: - Ulusal veri merkezleri - Kritik altyapi kuruluslari - Hukumet kurumlari - Kolluk kuvvetleri - Ordu Motivasyon Analizi Su ana kadarki aktivitelere dayanarak, grubun motivasyonlari cift gasp taktikleri kullanarak finansal kazanc elde etmek gibi gorunmektedir - hem verileri sifrelemek hem de hassas bilgileri yayinlamakla tehdit etmek. Endonezya Saldirisi Vaka Incelemesi Etkilenen Hizmetler - Vize ve oturma izni isleme - Pasaport hizmetleri - Goc belgesi yonetim sistemleri - Feribot rezervasyon sistemleri - Havaalani goc kontrolleri - Cesitli hukumet hizmetleri Toplumsal Etki - 200'den fazla hukumet kurumu etkilendi - Uluslararasi gelenler pasaport dogrulamada beklemek zorunda kaldi - Feribot yolculari saatlerce kuyruk bekledi - Gunluk hukumet islemleri kesintiye ugradi Sonuc ve Dersler Brain Cipher'in sifreler cozucuyu ucretsiz yayinlamasi, fidye odememek konusundaki kararli tutumun bazen ise yarayabilecegini gostermistir. Ancak bu, her zaman gecerli bir strateji degildir ve grubun kararinin ardindaki motivasyonlar belirsizdir. LockBit 3.0 Builder Istismari Sizdirilan Kaynak Kod LockBit 3.0 olusturucusu 2022'de sizdirilmistir. Bu sizinti, Brain Cipher dahil bircok tehdit aktorunun kendi fidye yazilimi operasyonlarini baslatmasina olanak tanmistir. Diger Gruplar Brain Cipher disinda, sizdirilan LockBit kodunu kullanan diger gruplar: - Bl00dy - Buhti - Yanluowang - Ve diger cesitli aktorler Teknik Miras LockBit 3.0 temeli, Brain Cipher'a sunlari saglamaktadir: - Kanitlanmis sifreleme algoritmalari - Test edilmis saldiri altyapisi - Bilinen taktik ve teknikler - Gelismis savunma atlatma yetenekleri Korunma Stratejileri ve Oneriler Kritik Altyapi Guvenligi Brain Cipher'in kritik altyapi odagi goz onune alindiginda: **Veri Merkezi Guvenligi** - Veri merkezi segmentasyonu ve izolasyonu - Yedekleme sistemlerinin fiziksel ayriligi - Felaket kurtarma planlari - Cogunlu yedekleme stratejileri **Hukumet Sistemleri** - Kritik hizmetler icin yedeklilik - Olay mudahale planlari - Sistemler arası bagimlilik analizi - Is surekliligi planlari LockBit Varyantlarina Karsi Savunma **IOC Izleme** LockBit 3.0 ve turevlerinin bilinen IOC'lerini izleyin. **Davranis Analizi** LockBit ailesinin davranis kaliplarini tespit eden EDR cozumleri kullanin. **Yama Yonetimi** LockBit'in bilinen istismar ettigi zafiyetleri oncelikli olarak yamalayin. Ag Guvenligi **Segmentasyon** Kritik sistemlerin diger aglardan izole edilmesi. **Erisim Kontrolu** En az ayricalik ilkesi ve sifir guven yaklasimi. **Izleme** Anormal aktivite ve yanal hareket icin NDR cozumleri. Veri Koruma **Yedekleme Stratejisi** - Cevrimdisi ve degistirilemez yedekler - Cografi olarak dagilmis yedekler - Duzenli kurtarma testleri - 3-2-1-1 yedekleme kurali **Sifreleme** Hassas verilerin hem aktarim sirasinda hem de duragan halde sifrelenmesi. Olay Mudahale **Fidye Odeme Karari** Endonezya orneginde goruldugu gibi, fidye odememek bazen ise yarayabilir. Ancak her vaka bireysel olarak degerlendirilmelidir. **Kurtarma Planlari** Fidye yazilimi senaryolari icin detayli kurtarma planlari hazirlanmalidir. **Iletisim Stratejisi** Kamu kurumlar icin kriz iletisimi planlari ozellikle onemlidir. Gelecek Ongoruleri LockBit Mirasinin Devami LockBit builder'in sizdirılmis olmasi, Brain Cipher gibi gruplarin ortaya cikmasina devam etmesine olanak tanmaktadir. 2026'da benzer grupların ortaya cikması beklenmektedir. Kritik Altyapi Hedeflemesi Brain Cipher'in hukumet ve kritik altyapi odagi, bu sektorlerin artan risk altinda oldugunu gostermektedir. Coklu Kimlik Trendi Group-IB'nin belirttigi gibi, grup "bircok maske takmaktadir." Bu trend, attribution'i zorlastirmakta ve 2026'da daha yaygin hale gelmesi beklenmektedir. Sonuc Brain Cipher, 2024'te ortaya cikan ve Endonezya Ulusal Veri Merkezi saldirisiyla kuresel dikkat ceken tehlikeli bir fidye yazilimi operasyonudur. LockBit 3.0 sizdirilan kaynak kodundan olusturulan varyant, 200'den fazla hukumet kurumunu etkilemis ve kritik hukumet hizmetlerini kesintiye ugratmistir. Grubun sifreler cozucuyu ucretsiz yayinlamasi, bazen fidye odememek konusundaki kararli tutumun ise yarayabilecegini gostermistir. Ancak bu, her durum icin gecerli bir strateji degildir. Hukumet kurumlari ve kritik altyapi operatorleri, Brain Cipher ve LockBit turevlerine karsi ozellikle veri merkezi guvenligi, segmentasyon ve felaket kurtarma alanlarinda kapsamli onlemler almalidir. Proaktif guvenlik durus, guclu yedekleme stratejileri ve olay mudahale yetenekleri, bu tehditlere karsi en etkili savunma yaklasimini olusturmaktadir....

Dragonransomware, verileri şifreleyen ve kullanıcısını çaresiz bırakan zararlı bir yazılım türüdür. Ransomware saldırıları, kullanıcıya erişimini geri alabilmek için para ödemesi gerektiği mesajını verir. Teknik Özellikler ve İşleyiş Dragonransomware ilk olarak 2020'de ortaya çıktı. Açığa çıkarılmamış güvenlik açıklarını veya kullanıcının dikkatsizliklerini ele geçirerek hedeflerine ulaşır. Sistem ağına bir kez sızmış olan Dragonransomware, verileri şifreler ve bir fidye talep notu bırakır. Kullanıcından verilerin şifresini çözebilmek için genellikle kripto para formunda bir ödeme yapması talep eder. Etki Alanı ve Son İstatistikler Özellikle işletmeler ve geniş veri tabanları Dragonransomware’ın hedefidir. Son istatistikler, ransomware saldırılarının giderek arttığını göstermektedir. Her geçen gün yeni bir bilgisayar sistemi bir ransomware saldırısına maruz kalıyor. Neden Tehlikeli? Dragonransomware tehditkar bir ransomware çeşididir. Sadece kullanıcının erişimini engellemekle kalmaz, aynı zamanda sistemde bekleyen diğer ransomware'lara da kapı açar. Eğer bir kez karşılaşıldıysa, sistem yeniden bir saldırıya uğrama riskiyle karşı karşıyadır. Korunma Yolları Dragonransomware'ın tehditlerinden korunmanın en etkili yolu, güçlü bir antivirüs yazılımı kullanmaktır. İnternet üzerinden alınan tüm dosyaların ve eklentilerin düzenli olarak taranması önerilir. Veri yedeklemek de önemlidir. Bilgisayarınızdaki dosyalarınızın düzenli olarak yedeklenmesi, eğer bir gün ransomware saldırısına uğrarsanız verilerinizi geri yükleyebilmenizi sağlar....

Obscura Ransomware Nedir? Obscura, Agustos 2025'te tespit edilen ve Go programlama dilinde gelistirilmis yeni bir fidye yazilimi varyantidir. Huntress analistleri tarafindan kesfedilen bu tehdit, sofistike sifreleme rutinleri, ayricalik zorunlulugu ve cift gasp teknikleri ile dikkat cekmektedir. Platformlar arasi potansiyeli ve olgunlasan operasyonel yetenekleri, Obscura'yi kuresel fidye yazilimi ekosisteminde izlenmesi gereken onemli bir tehdit haline getirmektedir. Grup, secici ve hesapli bir yaklasim benimsemekte, sessizce erisim saglanan ve maksimum baski icin kullanilan kurbanlari tercih etmektedir. Dosya sifreleme ile veri sizdirma birlestirilerek, kamuya aciklama tehdidiyle fidye muzakereleri guclendirilmektedir. 2024-2026 doneminde 39'un uzerinde dogrulanmis saldiri gerceklestiren Obscura, kurumsal hedefli saldirilar icin tasarlanmis modern bir fidye yazilimi operasyonudur. Tarihsel Gelisim ve Evrim Agustos 2025: Ilk Tespit 29 Agustos 2025'te Huntress analistleri, daha once gorulmemis bir fidye yazilimi varyantiyla karsilasti. Varyant, fidye notundan (README_Obscura.txt) alinmis "Obscura" adini tasimaktadir. Not, iceriginde Obscura'ya bircok referans icermektedir. Eylul 2025: CYFIRMA Degerlendirmesi CYFIRMA, Obscura Ransomware'in modern, teknik olarak yetkin bir fidye yazilimi operasyonu oldugunu ve sofistike sifreleme rutini, ayricalik zorunlulugu ve cift gasp teknikleriyle hedefli kurumsal saldırilarda goruldugunu degerlendirmistir. 2025 Sonbahar: Aktif Operasyonlar Grup, Eylul ve sonrasinda aktif operasyonlarini surdurmustir. Secici hedefleme stratejisi ve kurumsal odakli yaklasim bu donemde belirginlesmistir. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2025-2026) - Toplam Dogrulanmis Saldiri: 39+ - Ilk Tespit: 29 Agustos 2025 - Gelistirme Dili: Go (Golang) - Fidye Notu: README_Obscura.txt - Operasyonel Model: Cift Gasp Hedef Profili Obscura, secici bir hedefleme stratejisi izlemektedir: - Sessizce erisim saglanan organizasyonlar - Maksimum baski potansiyeli olan kurbanlar - Zayif guvenlik kontrolleri olan kuruluslar - Orta ve buyuk olcekli isletmeler Ilk Erisim Vektorleri Ilk erisimin asagidaki yontemlerle saglandigi dusunulmektedir: - Acik hizmetler - Kimlik bilgisi tekrar kullanimi - Kimlik avi tabanli erisim - Sofistike istismarlardan ziyade yaygin zafiyetler Teknik Altyapi ve Saldiri Metodolojisi Go Dili Kullanimi Obscura'nin Go dilinde gelistirilmesi onemli teknik imalar tasimaktadir: **Platformlar Arasi Potansiyel** Go secimi, potansiyel olarak gelecekte Linux varyantlarinin gelistirilmesini mumkun kilmaktadir. **RaaS Potansiyeli** Operatorler tekniklerini ve dagitim yontemlerini olgunlastirirsa, Obscura bir Ransomware-as-a-Service (RaaS) teklifine donusebilir ve kuresel fidye yazilimi ekosisteminde surekli ve uyarlanabilir bir tehdit haline gelebilir. Calisma Mekanizmasi **DAEMON Ortam Degiskeni** Binary calistirildiginda, DAEMON adli bir ortam degiskeninin durumunu kontrol eder: - Deger 1 ise: Binary fidye notunu birakir ve sifrelemeye devam eder - Mevcut degilse veya 0 ise: Sifreleme icin sistemi hazirlayan bir dizi fonksiyon calistirir **Anahtar Alma** Fidye yazilimi, tehdit aktorunun 32 byte'lik genel anahtarini, yurutulebilir dosyaya gomulu sabit kodlanmis base64 dizesini cozumleyerek alir. **Sistem Kesfi** Sistem kesfi gerceklestirilir: - Tum depolama cihazlarinin numaralandirilmasi - Kapasitelerinin hesaplanmasi - Sifreleme icin mevcut tum suruculerin kapsamli haritasinin olusturulmasi Dagitim Yontemi **NETLOGON Klasoru Kullanimi** Binary, domain controller'lardaki NETLOGON klasorunde bulunmustur. Bu klasor: - Script'leri ve Group Policy nesnelerini (GPO) kullanicilar icin kullanilabilir kilar - Icerikler otomatik olarak tum domain controller'lar arasinda cogaltilir - Fidye yazilimi yurutulebilir dosyasi altyapi genelinde otomatik olarak dagitilmistir MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing - T1078 - Valid Accounts - T1133 - External Remote Services - T1190 - Exploit Public-Facing Application **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API - T1569 - System Services **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution - T1078 - Valid Accounts **Ayricalik Yukseltme (TA0004)** - T1068 - Exploitation for Privilege Escalation - T1078 - Valid Accounts - T1134 - Access Token Manipulation **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal - T1112 - Modify Registry **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery - T1135 - Network Share Discovery **Yanal Hareket (TA0008)** - T1021 - Remote Services - T1570 - Lateral Tool Transfer - T1080 - Taint Shared Content (NETLOGON) **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Cift Gasp Taktikleri Operasyonel Model Obscura, dosya sifrelemesi ile veri sizdirmayi birlestirmektedir: 1. **Erisim**: Acik hizmetler, kimlik bilgisi tekrar kullanimi veya kimlik avi yoluyla 2. **Kesif**: Depolama cihazlarinin haritandirilmasi 3. **Sizdirma**: Hassas verilerin calinmasi 4. **Sifreleme**: Dosyalarin kilitlenmesi 5. **Gasp**: Kamuya aciklama tehdidiyle fidye muzakerelerinin guclendirilmesi Fidye Notu README_Obscura.txt dosyasi, kurbanlara: - Durumu aciklar - Iletisim talimatlari saglar - Odeme sureci hakkinda bilgi verir - Kamuya aciklama tehdidinde bulunur NETLOGON Dagitim Teknigi Analizi Neden NETLOGON? NETLOGON klasorunun kullanimi stratejik bir tercihdir: **Otomatik Dagitim** Klasor icerikleri otomatik olarak tum domain controller'lar arasinda cogaltilir. **Genis Erisim** Script'ler ve GPO'lar kullanicilar icin kullanilabilir hale gelir. **Altyapi Genelinde Etki** Tek bir enfeksiyon noktasindan tum domain'e yayilma potansiyeli. Savunma Etkileri Bu teknik, NETLOGON klasorunun ozel olarak izlenmesi gerektigini vurgulamaktadir: - Yetkisiz dosya degisikliklerini izleyin - Yurutulebilir dosya eklemelerini tespit edin - GPO degisikliklerini denetleyin - Replikasyon aktivitesini izleyin RaaS Evrim Potansiyeli Mevcut Durum Obscura su anda bagimsiz bir operasyon olarak gorunmektedir. Ancak teknik yetenekleri RaaS potansiyelini gostermektedir. Gelecek Olasiliklari **Linux Varyantlari** Go dili secimi, Linux varyantlarinin gelistirilmesini kolaylastirmaktadir. **Affiliate Programi** Operasyonun olgunlasmasi durumunda affiliate programi baslatilabilir. **Surekli Tehdit** RaaS donusumu, Obscura'yi kuresel ekosistemde surekli ve uyarlanabilir bir tehdit yapabilir. 2025 Fidye Yazilimi Ortami Baglami Kuresel Rakamlar KELA, Ocak-Eylul 2025 arasinda kuresel olarak 4.701 fidye yazilimi olayinin kaydedildigini acikladi - bu, 2024'un ayni donemindeki 3.219'dan onemli bir artistir. Kritik Altyapi Hedeflemesi Kritik altyapi sektorleri - uretim, saglik, enerji, ulasim ve finans - tum saldirilarin %50'sini olusturmakta ve fidye yaziliminin sucel kokenlerini asarak tum endustrileri istikrarsizlastirabilen ve kamu guvenligini tehdit eden bir silaha donustugunu gostermektedir. Grup Yogunlasmasi 103 aktif fidye yazilimi grubu arasinda sadece besi - Qilin, Clop, Akira, Play ve SafePay dahil - tum olaylarin yaklasik %25'inden sorumluydu. Bu, siber suclu ekosistemlerinde artan profesyonellesme ve konsolidasyonu vurgulamaktadir. Odeme Oranlari Saldiri hacimleri artarken, fidye odeme oranlari %23-25 gibi tarihi dusuk seviyelere gerilemis ve tehdit aktorlerini is modellerini ve gasp taktiklerini temelden yeniden tasarlamaya zorlamistir. Korunma Stratejileri ve Oneriler NETLOGON Guvenligi Obscura'nin NETLOGON dagitim teknigi goz onune alindiginda: **Izleme** - NETLOGON klasorunu surekli izleyin - Yetkisiz dosya degisikliklerini tespit edin - Yurutulebilir dosya eklemelerini uyariyla bildirin **Erisim Kontrolu** - NETLOGON yazma erisimini sinirlandirin - Degisiklikler icin onay is akislari olusturun - Yonetici hesaplarini sertlestirin Domain Controller Guvenligi **Sertlestirme** - Domain controller'lari sertlestirin - Gereksiz hizmetleri devre disi birakin - Yonetim erisimini sinirlandirin **Izleme** - DC aktivitesini merkezi olarak izleyin - Replikasyon anomalilerini tespit edin - Guvenlik olaylarini inceleyin Kimlik Bilgisi Guvenligi Obscura'nin kimlik bilgisi tekrar kullanimi vektoru goz onune alindiginda: **MFA Zorunlulugu** Tum yonetici hesaplarinda MFA zorunlu kilin. **Parola Politikalari** Guclu, benzersiz parolalar zorunlu kilin. **Kimlik Bilgisi Izleme** Sizdirilmis kimlik bilgileri icin dark web izlemesi yapin. Endpoint Guvenligi **EDR Cozumleri** - Go tabanli fidye yazilimi tespiti icin EDR yapilandirin - README_Obscura.txt icin uyarilar olusturun - DAEMON ortam degiskeni kullanimi izleyin **Davranis Analizi** - Depolama numaralandirmasi tespit edin - Toplu sifreleme aktivitesini izleyin Yedekleme Stratejisi - Cevrimdisi ve degistirilemez yedekler - 3-2-1-1 yedekleme kurali - Duzenli kurtarma testleri - Domain controller ozel yedekleme stratejileri Gelecek Ongoruleri 2026 Beklentileri - Obscura'nin Linux varyanti gelistirmesi muhtemeldir - RaaS modeline gecis olasiligi vardir - NETLOGON tekniginin diger gruplar tarafindan benimsenmesi beklenmektedir - Kurumsal hedeflemenin devam etmesi olasidir Go Tabanli Fidye Yazilimi Trendi Obscura, Go dilinde gelistirilen artan sayida fidye yaziliminin bir ornegi olarak dikkat cekmektedir. Bu trend, platformlar arasi saldiri kapasitesinin artmasini isaret etmektedir. Sonuc Obscura, Agustos 2025'te tespit edilen ve Go programlama dilinde gelistirilmis modern bir fidye yazilimi tehdididir. NETLOGON klasoru uzerinden dagitim teknigi, domain ortamlarinda hizli ve genis yayilma potansiyelini gostermektedir. CYFIRMA'nin degerlendirmesi, Obscura'nin sofistike sifreleme rutini, ayricalik zorunlulugu ve cift gasp teknikleriyle kurumsal saldırilarda goruldugunu ortaya koymaktadir. Go dili secimi, potansiyel Linux varyantlari ve RaaS evrimini mumkun kilmaktadir. Organizasyonlar, ozellikle NETLOGON guvenligi, domain controller sertlestirme ve kimlik bilgisi koruma alanlarinda kapsamli onlemler almalidir. Obscura'nin NETLOGON dagitim teknigi, bu kritik klasorun ozel izleme ve koruma gerektirdigini acikca gostermektedir....

Tengu Ransomware Nedir? Tengu, 23 Ekim 2025'te ilk kez tespit edilen ve hizla kuresel bir siber tehdit haline gelen yeni bir Ransomware-as-a-Service (RaaS) operasyonudur. Cift gasp taktikleri kullanan grup, sifreleme oncesinde veri sizdirmakta, kurbanları Tor portallarina yonlendirmekte ve odeme durgunlasirsa sizdirma listeleri yayinlamaktadir. 37 dogrulanmis kurban ile Tengu, ozellikle uretim, tarim ve teknoloji sektorlerini hedef almistir. %20 infostealer verisi korelasyonu, grubun daha genis siber suc ekosistemiyle guclu baglantisini ortaya koymaktadir. Tor agi uzerinde veri sizdirma sitesi (longcc4fqrfcqt5lzceutylaxir6h66fp6df3oin6mvwvz6pfdbxc6qd.onion) isletmekte ve Hindistan, Fas, ABD ve Ispanya gibi cesitli cografyalardaki hedeflere saldirmaktadir. Tarihsel Gelisim ve Evrim Ekim 2025: Ortaya Cikis Tengu, Ekim 2025'te ilk kez gozlemlenenen yeni bir RaaS operasyonudur. Grup, ortaya cikisinin hemen ardindan aktif saldiri kampanyalarina baslamistir. Kasim-Aralik 2025: Operasyonel Olgunlasma Grup, bu donemde teknik yeteneklerini ve hedef secim stratejisini gelistirmistir. Tor tabanli portaller ve sifreli iletisim kanallari uzerinden kurban muzakereleri yurutulmustir. Ocak 2026: Yogun Saldiri Donemi Ocak 2026'da Tengu, bir dizi yuksek profilli saldiri gerceklestirmistir: - 12 Ocak: Charoenchai Transformer Co., Ltd. (Tayland) - 14 Ocak: Quick Safety Electric Ltd (Israil) - 15 Ocak: Nordstrom Rack (ABD) - 16 Ocak: Grupo Roa (Kolombiya) - 17 Ocak: Anfibius (Ekvador) Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2025-2026) | Metrik | Deger | |--------|-------| | Toplam Dogrulanmis Kurban | 37 | | Ilk Tespit | 23 Ekim 2025 | | En Son Tespit | 31 Ocak 2026 | | Inaktif Sure | 1 gun | | Infostealer Korelasyonu | %20.0 | | Operasyonel Model | RaaS | | Sifreleme Modulu | Windows (.NET tabanli, ~534KB) | Tor Altyapisi **Onion Adresi (Veri Sizdirma Sitesi)** ``` longcc4fqrfcqt5lzceutylaxir6h66fp6df3oin6mvwvz6pfdbxc6qd.onion ``` Fidye Notlari 2 ayri fidye notu dokumante edilmistir. Sektor Bazli Dagilim | Sektor | Kurban Sayisi | |--------|---------------| | Uretim | 5 | | Tarim ve Gida Uretimi | 4 | | Teknoloji | 4 | | Konaklama ve Turizm | 3 | | Kamu Sektoru | 3 | | Diger sektorler | 18 | Cografi Dagilim | Ulke | Kurban Sayisi | |------|---------------| | Hindistan | 4 | | Fas | 3 | | Amerika Birlesik Devletleri | 3 | | Ispanya | 2 | | Meksika | 2 | | Diger ulkeler | 23 | 2026 Onemli Saldirilari Charoenchai Transformer Co., Ltd. (12 Ocak 2026) Tengu, 12 Ocak 2026'da Tayland'in elektrik trafosu endustrisinde faaliyet gosteren uretici Charoenchai Transformer Co., Ltd.'a karsi siber saldirinin sorumlulugunuu ustlendi. Quick Safety Electric Ltd (14 Ocak 2026) 14 Ocak 2026'da Tengu, Israil'in elektrik hizmetleri sektorunde onde gelen sirketi Quick Safety Electric Ltd'a karsi siber saldirinin sorumlulugunuu ustlendi. Ele gecirilen verilerin 56.82GB oldugu raporlanmistir. Nordstrom Rack (15 Ocak 2026) ABD'deki Nordstrom Rack, 15 Ocak 2026'da tespit edilen Tengu fidye yazilimi saldirısına maruz kaldi. Buyuk perakende zincirinin hedef alinmasi, grubun yuksek profilli hedeflere yoneldigini gostermektedir. Grupo Roa (16 Ocak 2026) Kolombiya'da faaliyet gosteren Grupo Roa, 16 Ocak 2026'da tespit edilen Tengu fidye yazilimi saldirısına maruz kaldi. Anfibius (17 Ocak 2026) 17 Ocak 2026'da Tengu, Ekvador'daki yazilim cozumleri saglayicisi Anfibius'a karsi basarili bir siber saldiri duyurdu. Tehdit aktorleri, muzakereler ilerlemezse veri sizdirmasi konusunda uyarilarda bulundu. Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri Tengu, cesitli ilk erisim vektorleri kullanmaktadir: **Gecerli Hesaplar / Acik Uzaktan Hizmetler (T1078, T1133)** RDP ve VPN gibi uzaktan erisim hizmetleri hedef alinmaktadir. **Operator Gudumlu Sizma** Calinti kimlik bilgileri kullanilarak hedefli sizma gerceklestirilmektedir. **Kamusal Uygulama Istismari (T1190)** Kamuya acik uygulamalardaki zafiyetler istismar edilmektedir. **Hedefli Kimlik Avi (T1566)** Hedefli kimlik avi kampanyalari yurutulmektedir. Saldiri Taktikleri Tengu, sofistike taktikler kullanmaktadir: **Gecerli Hesap Istismari** Ele gecirilmis hesap bilgileriyle erisim. **Yanal Hareket** Ag icinde yayilma. **Shadow Copy Silme** Kurtarma seceneklerinin ortadan kaldirilmasi. **Log Tahrifati** Iz birakmayi minimize etme. **Living-off-the-Land Yurutme** Mescru sistem araclarinin kotu niyetli kullanimi. LOLBins ve Script Yorumlayicilari Grup, proxy yurutme icin LOLBins ve script yorumlayicilari kullanmaktadir: - powershell.exe - cmd.exe - rundll32.exe Sifreleme Modulu Endpoint'lerdeki sifreleme modulu (Windows): - Gozlemlenen ornek boyutu: yaklasik 534KB - Muhtemelen .NET tabanli MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing - T1078 - Valid Accounts - T1133 - External Remote Services - T1190 - Exploit Public-Facing Application **Yurutme (TA0002)** - T1059.001 - PowerShell - T1059.003 - Windows Command Shell - T1218.011 - Rundll32 - T1106 - Native API **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution - T1078 - Valid Accounts **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal (log tahrifati) - T1490 - Inhibit System Recovery (shadow copy silme) **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery **Yanal Hareket (TA0008)** - T1021 - Remote Services - T1570 - Lateral Tool Transfer **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Cift Gasp Taktikleri Operasyonel Model Tengu, hands-on sizmalarla cift gasp yurutmektedir: 1. **Veri Sizdirma**: Sifreleme oncesinde hassas veriler caliyor 2. **Sifreleme**: Kurban dosyalari kilitleniyor 3. **Tor Portali**: Kurbanlar muzakere icin Tor portalina yonlendiriliyor 4. **Sizdirma Listesi**: Odeme durgunlasirsa sizdirma listeleri yayinlaniyor Quick Safety Electric Ornegi Quick Safety Electric Ltd saldirisinda ele gecirilen verilerin 56.82GB oldugu raporlanmistir. Bu, grubun onemli miktarda veri sizdirma kapasitesini gostermektedir. 2025 Fidye Yazilimi Baglami Uretim Sektoru Hedeflemesi Uretim, bu donemde fidye yazilimi icin en cok hedef alinan sektor olmustur ve tum raporlanan olaylarin %19.11'ini olusturmustur. Bunun nedenleri: - Operasyonel teknolojiye bagimiililik - Tedarik zincirlerindeki kritik rol - Kesinti toleransinin dusuk olmasi ABD Odagi Amerika Birlesik Devletleri, raporlanan fidye yazilimi kurbanlarinin %57.32'sini temsil etmis ve genislemis dijital altyapisi, kritik endustrileri ve finansal baski noktalari nedeniyle dusmanlar icin en cazip hedef olmustur. Fidye Yazilimi Istatistikleri 2025 yilinda: - Kuresel olarak 4.701 fidye yazilimi olayi kaydedilmistir (Ocak-Eylul) - Fidye yazilimi saldirılarinin %50'si kritik altyapiyi hedef almistir - 103 aktif fidye yazilimi grubu gozlemlenmistir Korunma Stratejileri ve Oneriler Uzaktan Erisim Guvenligi Tengu'nun gecerli hesap ve uzaktan hizmet istismari goz onune alindiginda: **RDP Guvenligi** - RDP'yi dogrudan internete acik tutmayin - VPN arkasina alin - Network Level Authentication (NLA) etkinlestirin - RDP erisimini izleyin **VPN Guvenligi** - VPN cozumlerini guncel tutun - Guclu kimlik dogrulama zorunlu kilin - MFA zorunlu kilin Kimlik Bilgisi Guvenligi **MFA Zorunlulugu** Tum uzaktan erisim hesaplarinda MFA zorunlu kilin. **Parola Politikalari** Guclu, benzersiz parolalar zorunlu kilin. **Kimlik Bilgisi Izleme** Sizdirilmis kimlik bilgileri icin dark web izlemesi yapin. LOLBins Tespiti Tengu'nun LOLBins kullanimi goz onune alindiginda: **PowerShell Izleme** - PowerShell script block logging etkinlestirin - Anormal PowerShell aktivitesini tespit edin - Constrained language mode degerlendirin **Komut Satiri Izleme** - cmd.exe kullanimi izleyin - Anormal komut zincirleri tespit edin **Rundll32 Izleme** - Anormal DLL yuklemelerini tespit edin - Proxy yurutme kaliplarini izleyin Shadow Copy Koruma **VSS Koruma** - Volume Shadow Copy Service'i koruyun - Shadow copy silme girişimlerini tespit edin - vssadmin kullanimi izleyin **Yedekleme Stratejisi** - Cevrimdisi ve degistirilemez yedekler - 3-2-1-1 yedekleme kurali - Duzenli kurtarma testleri Log Butunlugu Tengu'nun log tahrifati taktigi goz onune alindiginda: **Merkezi Loglama** - Loglari merkezi SIEM'e gonderin - Log butunlugunu koruyun - Log silme girişimlerini tespit edin **Immutable Loglar** Degistirilemez log depolama cozumleri kullanin. Endpoint Guvenligi **EDR Cozumleri** - Gelismis EDR platformlari konuslandirin - .NET tabanli fidye yazilimi tespiti icin yapilandirin - Sifreleme aktivitesini izleyin Gelecek Ongoruleri 2026 Beklentileri - Tengu'nun saldiri hacmini artirmasi beklenmektedir - RaaS modelinin affiliate agını genisletmesi muhtemeldir - Yeni cografi bolgelerin hedeflenmesi olasıdır - Teknik yeteneklerin gelismesi beklenmektedir Uretim Sektoru Riski Uretim sektorunun en cok hedef alinan sektor olmasi, bu alandaki organizasyonlarin 2026'da da yuksek risk altinda olacagini gostermektedir. Sonuc Tengu, Ekim 2025'te ortaya cikan ve hizla kuresel bir tehdit haline gelen RaaS operasyonudur. Ocak 2026'daki yogun saldiri aktivitesi - Quick Safety Electric'ten 56.82GB veri sizdirmasi dahil - grubun agresif operasyonel tempo ve kapasitesini gostermektedir. Gecerli hesap istismari, yanal hareket, shadow copy silme, log tahrifati ve LOLBins kullanimi gibi sofistike taktikler, Tengu'yu izlenmesi gereken ciddi bir tehdit haline getirmektedir. Israil, Tayland, ABD, Kolombiya ve Ekvador'daki saldirilar, grubun kuresel erisimini vurgulamaktadir. Organizasyonlar, ozellikle uzaktan erisim guvenligi, LOLBins tespiti, shadow copy koruma ve log butunlugu alanlarinda kapsamli onlemler almalidir. Tengu'nun hands-on sizma taktikleri ve cift gasp modeli, proaktif guvenlik ve test edilmis felaket kurtarma planlarinin kritik onemini ortaya koymaktadir....

Genesis Ransomware Nedir? Genesis, 21 Ekim 2025'te ilk kez tespit edilen ve hizla dijital gasp alaninda formidable bir oyuncu olarak kendini kanitlayan yeni bir fidye yazilimi grubudur. Grubun ayirt edici ozelligi, sifreleme yerine veri sizdirma ve kamuya acik sizdirilara odaklanmasidir. CYFIRMA'ya gore grup, "kurbanlarına finansal ve itibar baskisi uygulamak icin sifrelemeden ziyade veri sizdirma ve kamuya acik sizdirilara odaklanmaktadir." 35 dogrulanmis kurban ve 2.2 terabayt sizdirildigi iddia edilen veri ile Genesis, kuresel organizasyonlar icin gercek ve buyuyen bir tehdit olusturmaktadir. Tor agi uzerinde veri sizdirma sitesi (genesis6ixpb5mcy4kudybtw5op2wqlrkocfogbnenz3c647ibqixiad.onion) isletmekte ve ozellikle Amerikan KOBİ'lerini ve orta olcekli organizasyonlari hedef almaktadir. Tarihsel Gelisim ve Evrim Ekim 2025: Ortaya Cikis Genesis, Ekim 2025'te ilk kez ortaya cikmis ve hizla fidye yazilimi ortaminda onemli bir oyuncu olarak kendini kanitlamistir. CYFIRMA tarafindan "fidye yazilimi ekosisteminde yuksek tirmanma potansiyeline sahip kayda deger bir girişimci" olarak tanimlanmistir. Ekim-Kasim 2025: Hizli Genisleme Ortaya cikisinin ilk birkac haftasinda grup, 12'den fazla dogrulanmis kurban ve 2.2 terabayt sizdirildigi iddia edilen veri ile dikkat cekici bir aktivite gostermistir. Kasim 2025: Devam Eden Operasyonlar 11 Kasim 2025'te Continental Global Group (ABD) saldirisi dahil olmak uzere, grup operasyonlarını surdurmustir. Ekim 2025 Fidye Yazilimi Baglami Ekim 2025'te fidye yazilimi aktivitesi kuresel olarak yogunlasmis ve yil ortası istikrar doneminin ardindan onemli bir canlanma gorulmustur. Kurban sayilari 738'e tirimans ve onde gelen operatorlerin yenilenen kampanyalari ile birkac yeni grubun ortaya cikisindan kaynaklanmistir. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2025-2026) | Metrik | Deger | |--------|-------| | Toplam Dogrulanmis Kurban | 35 | | Ilk Tespit | 21 Ekim 2025 | | En Son Tespit | 27 Ocak 2026 | | Ortalama Talep Gecikmesi | 68.3 gun | | Infostealer Korelasyonu | %0.0 | | Iddia Edilen Sizdirilan Veri | 2.2+ TB | | Operasyonel Model | Veri Sizdirma Odakli Gasp | Tor Altyapisi **Onion Adresi (Veri Sizdirma Sitesi)** ``` genesis6ixpb5mcy4kudybtw5op2wqlrkocfogbnenz3c647ibqixiad.onion ``` Hedef Profili Genesis, belirli bir hedef profili izlemektedir: **Amerikan KOBİ'leri ve Orta Olcekli Organizasyonlar** Grup, ozellikle sinirli siber guvenlik kaynaklarina sahip ancak fidye odemeyi dusunecek finansal kapasiteye sahip kesimleri hedef almaktadir. **Hedef Secim Stratejisi** Bu strateji, grubun caba/getiri oranini optimize etmesine ve buyuk sirketlere yapilan saldirilarin yaratacagi yogun medya ilgisinden kacinmasina olanak tanmaktadir. Sektor Bazli Dagilim | Sektor | Kurban Sayisi | |--------|---------------| | Teknoloji | 3 | | Uretim | 3 | | Saglik | 3 | | Finansal Hizmetler | 3 | | Tuketici Hizmetleri | 2 | | Diger sektorler | 21 | Cografi Dagilim | Ulke | Kurban Sayisi | Yuzde | |------|---------------|-------| | Amerika Birlesik Devletleri | 30 | %85.7 | | Birlesik Krallik | 3 | %8.6 | | Malezya | 1 | %2.9 | | Ispanya | 1 | %2.9 | 2025 Onemli Saldirilari Healthy Living Market & Cafe (Eylul 2025) Healthy Living Market & Cafe, Eylul 2025'te bir fidye yazilimi saldirısına maruz kalmistir. Ele gecirilen veriler sunlari icermektedir: - Isimler - Sosyal Guvenlik numaralari - Dogrudan mevduat bilgileri - Tibbi kayitlar - Adresler Genesis, finansal, bordro ve IK bilgileri dahil 400 GB veri caldigini iddia etmistir. River City Eye Care (2025) Portland, OR'daki goz doktoru River City Eye Care bir veri ihlaline maruz kalmistir. Genesis, tibbi kayitlar dahil 200 GB veri caldigini iddia etmistir. Advantage CDC (28 Ekim 2025) 28 Ekim 2025'te Genesis, Advantage CDC'ye yapilan siber saldirinin sorumlulugunuu ustlendi. Grup, talepleri karsilanmazsa hassas verileri sizdirmakla tehdit etmistir. Continental Global Group (11 Kasim 2025) ABD'de faaliyet gosteren Continental Global Group, 11 Kasim 2025'te tespit edilen Genesis tarafindan gerceklestirilen bir fidye yazilimi saldirısına maruz kalmistir. Teknik Altyapi ve Saldiri Metodolojisi Odak: Veri Sizdirma Genesis'in ayirt edici ozelligi, sifreleme yerine veri sizdirma ve kamuya acik sizdirilara odaklanmasidir. CYFIRMA'ya gore grup, "kurbanlarına finansal ve itibar baskisi uygulamak icin sifrelemeden ziyade veri sizdirma ve kamuya acik sizdirilara odaklanmaktadir." Cift Gasp Modeli Genesis, cift gasp modelini izlemektedir: 1. Kurban sistemlerine erisim 2. Hassas verilerin sizdirmasi 3. Sistemlerin sifrelenmesi (bazi vakalarda) 4. Fidye talebi 5. Odeme yapilmazsa kamuya aciklama tehdidi Ilk Erisim Vektorleri Ilk erisiimin asagidaki yontemlerle saglandigi dusunulmektedir: **Kimlik Avi (T1566)** Zararli ekler veya bagllantilar iceren e-postalar. **Calinti Kimlik Bilgileri (T1078)** Ele gecirilmis hesap bilgileri ile erisim. **Yamasiz Uzaktan Erisim Hizmetleri (T1133)** Acik veya yamasiz uzaktan erisim hizmetlerinin istismari. Hedef Secimi Genesis, genellikle acik hizmetleri veya zayif guvenlik kontrollleri olan kucuk ve orta olcekli organizasyonlari hedef almaktadir. MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing - T1078 - Valid Accounts - T1133 - External Remote Services - T1190 - Exploit Public-Facing Application **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API - T1204 - User Execution **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery **Yanal Hareket (TA0008)** - T1021 - Remote Services - T1570 - Lateral Tool Transfer **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery Genesis Market ile Karisiklik Uyarisi Genesis fidye yazilimi grubunun, "Genesis Market" olarak bilinen ve uluslararasi kolluk kuvvetleri tarafindan kapatilan suclu cevrimici pazardan ayrı oldugunu belirtmek onemlidir. **Genesis Market Nedir?** Genesis Market, dunya genelinde zararli yazilim bulasmis bilgisayarlardan calinan hesap erisim kimlik bilgileri paketlerinin reklamini yapan ve satan suclu bir cevrimici pazardi. Ayrica siber suc dunyasinin en uretken ilk erisim broker'larindan (IAB) biriydi. **Kolluk Operasyonu** Genesis Market, uluslararasi bir kolluk operasyonuyla kapatilmistir. Bu pazar, Genesis fidye yazilimi grubundan tamamen farkli bir varliktir. Korunma Stratejileri ve Oneriler Veri Sizdirma Tespiti Genesis'in veri sizdirma odagi goz onune alindiginda: **Ag Izleme** - Buyuk veri transferlerini tespit edin - Anormal cikis trafiigini izleyin - DLP cozumleri konuslandirin **Endpoint Izleme** - Dosya erisim kaliplarini izleyin - Arsivleme aktivitesini tespit edin - Bulut depolama yuklemelerini izleyin Kimlik Bilgisi Guvenligi **MFA Zorunlulugu** Tum hesaplarda MFA zorunlu kilin. **Parola Politikalari** Guclu, benzersiz parolalar zorunlu kilin. **Kimlik Bilgisi Izleme** Sizdirilmis kimlik bilgileri icin dark web izlemesi yapin. Uzaktan Erisim Guvenligi **Hizmet Sertlestirme** - Gereksiz uzaktan erisim hizmetlerini kapatin - VPN ve RDP'yi sertlestirin - MFA zorunlu kilin **Izleme** - Uzaktan erisim loglarini izleyin - Basarisiz giris girişimlerini tespit edin Veri Siniflandirma ve Koruma **Veri Siniflandirma** - Hassas verileri tanimiayın ve siniflandirin - PII ve PHI'yi ozellikle koruyun - Finansal verileri izole edin **Erisim Kontrolu** - En az ayricalik ilkesi uygulayin - Hassas verilere erisimi sinirlandirin - Erisim loglarini izleyin Olay Mudahale **Hazirlik** - Veri ihlali olay mudahale plani hazirlayin - Iletisim stratejisi olusturun - Hukuki danismanlik iliskileri kurun **Tespit** - Sizdirma gostergelerini izleyin - Tehdit istihbarati entegre edin Gelecek Ongoruleri 2026 Beklentileri **Tirmanma Potansiyeli** CYFIRMA'nin "yuksek tirmanma potansiyeli" degerlendirmesi, Genesis'in 2026'da daha buyuk ve daha etkili hale gelecegini gostermektedir. **Hedef Genislemesi** Grup, ABD disindaki pazarlara ve daha buyuk organizasyonlara genisleyebilir. **Teknik Evrim** Veri sizdirma yetenekleri gelisebilir. Veri Odakli Gasp Trendi Genesis, sifreleme yerine veri sizdirma ve kamuya acik sizdirilara odaklanan gruplarin artan trendini temsil etmektedir. Bu yaklasim: - Teknik karmasikligi azaltır - Yedekleme stratejilerini atlatır - Itibar baskisi uzerinden gasp yapar Sonuc Genesis, Ekim 2025'te ortaya cikan ve hizla 12'den fazla kurban ve 2.2 TB sizdirilan veri ile dikkat ceken yeni bir fidye yazilimi grubudur. Grubun ayirt edici ozelligi, sifreleme yerine veri sizdirma ve kamuya acik sizdirilara odaklanmasidir. Healthy Living Market & Cafe'den 400 GB, River City Eye Care'den 200 GB veri sizdirma iddialari, grubun onemli veri toplama kapasitesini gostermektedir. Amerikan KOBİ'leri ve orta olcekli organizasyonlarin hedeflenmesi, sinirli guvenlik kaynaklarına sahip ancak odeme kapasitesi olan kesimlere odaklanildigini ortaya koymaktadir. CYFIRMA'nin "yuksek tirmanma potansiyeli" degerlendirmesi, Genesis'in izlenmesi gereken ciddi bir tehdit oldugunu vurgulamaktadir. Organizasyonlar, ozellikle veri sizdirma tespiti, kimlik bilgisi guvenligi ve veri siniflandirma alanlarinda kapsamli onlemler almalidir. Genesis'in veri odakli gasp modeli, geleneksel yedekleme stratejilerinin tek basina yeterli olmadigini ve proaktif veri koruma yaklasimlarinin kritik onemini gostermektedir....

Crypto24 Ransomware Nedir? Crypto24, Eylul 2024'te ilk tespit edilen ve Temmuz 2024'te RAMP forumunda ortaya cikan hizli kar vaat eden bir Ransomware-as-a-Service (RaaS) operasyonudur. Nispeten az bilinen ve ortaya cikan bu tehdit aktoru, 2025'te kurban talep etmeye baslayarak dikkat cekmistir. Grup, hem mescru araclari hem de ozel zararli yazilimi kullanarak koordineli, cok asamali saldirilar yurutmekte ve tespit edilmeden kalma konusunda basarili olmaktadir. En son Crypto24 fidye yazilimi kampanyasi, arastirmacilar tarafindan tehdit ortaminda "tehlikeli bir evrim" olarak nitelendirilen EDR platformlarini ve guvenlik cozumlerini atlatma yetenegi ile dikkat cekmektedir. 2024-2026 doneminde 16'nin uzerinde dogrulanmis saldiri gerceklestiren grup, ozellikle bankacilik, savunma, saglik, havacilik, telekomunikasyon, uretim, lojistik ve BT hizmetleri gibi kritik sektorleri hedef almistir. Tarihsel Gelisim ve Evrim Temmuz 2024: RAMP Forumunda Ortaya Cikis Crypto24 ekibi, Temmuz 2024'te RAMP forumunda ortaya cikti ve hizli kar vaat eden RaaS anlasmalari pazarlayarak affiliate'lere yatirimin hizli geri donusunu vaat etti. Eylul 2024: Ilk Tespit Crypto24 fidye yazilimi ilk olarak Eylul 2024'te tespit edilmis, ancak o zamana kadar cok fazla etki yaratmamistir. Nisan 2025: Kurban Talep Etmeye Baslama Nisan 2025'te sekiz kurbani dunya capinda hedef aldigi iddia edilen yeni bir fidye yazilimi grubu olarak Crypto24 ortaya cikmistir. Bu tarih, grubun kamuya acik aktivitesinin basladigini isaret etmektedir. Temmuz-Agustos 2025: Yogun Saldiri Donemi Aktivitesi Temmuz-Agustos 2025'te yogunlasti ve en agresif kampanyayi isaretleyerek Malezya, ABD ve Italya'da sektor capinda kesintilere neden oldu. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2024-2026) - Toplam Dogrulanmis Saldiri: 16+ - Ilk Tespit: Eylul 2024 - RAMP Forum Ortaya Cikisi: Temmuz 2024 - Operasyonel Model: RaaS (Ransomware-as-a-Service) - Saldiri Modeli: Cift Gasp - Ozellik: EDR Atlatma Cografi Dagilim Grup, faaliyetlerini birden fazla bolgede yogunlastirmistir: - Asya (Malezya, Vietnam) - Avrupa (Italya) - Misir - Kanada - Amerika Birlesik Devletleri - Arjantin - Kolombiya Sektor Bazli Dagilim Bu fidye yazilimi operasyonu, cesitli kritik sektorlerdeki endustrileri hedef almistir: - Bankacilik - Savunma - Saglik - Havacilik - Telekomunikasyon - Uretim - Lojistik - BT hizmetleri 2025 Onemli Saldirilari CMC Group Saldirisi (Nisan 2025) 12 Nisan 2025 sabahi, CMC Group'un ozel bulutundaki gece vardiyasi muhendisleri, bu yil Vietnam'in en cok konusulan fidye yazilimi saldirisinin ilk sarsintilarini hissetti. Saldiri sonuclari: - Gun dogumuna kadar saldirgan bir yan kurulusun sunucularinin bir kismini kilitlemisti - Uc ulkede yaklasik iki terabayt (TB) veri sizdirmisti U.S. Vanadium Holding Company LLC (Ekim 2025) Tahmini saldiri tarihi 20 Ekim 2025 olan bu saldirida, grup dahili aglarindan 300 GB'dan fazla belge cıkardıklarını iddia etmistir. Teknik Altyapi ve Saldiri Metodolojisi Koordineli Cok Asamali Saldirilar Crypto24 fidye yazilimi operatorleri, erisim elde etmek, yanal hareket etmek ve tespiti atlatmak icin hem mescru araclari hem de ozel zararli yazilimi kullanarak koordineli, cok asamali saldirilar yurutmektedir. Kullanilan Arac Seti Grubun arac seti sunlari icermektedir: - **PSExec**: Yanal hareket icin - **AnyDesk**: Kalici uzaktan erisim icin - **Keylogger'lar**: Kimlik bilgisi toplama icin - **Cesitli Backdoor Zararli Yazilimlar**: Kalicilik icin - **Google Drive**: Gizli veri sizdirma icin Ozellesmis RealBlindingEDR Varyanti Guvenlik kontrollerini etkisiz hale getiren ozellesmis bir RealBlindingEDR varyanti (guvenlik cozumlerini devre disi birakmak icin acik kaynakli bir arac) kullanilmaktadir. EDR Atlatma Yetenegi Crypto24, EDR platformlarini ve guvenlik cozumlerini atlatmak icin tasarlanmistir. Arastirmacilar, Crypto24 saldirılarinin tehdit aktorlerinin guvenlik yiginlarini inceledigini, sistematik zayifliklari belirledigini ve bunlari istismar etmek icin amaca yonelik araclar insa ettigini gosterdigini belirtmistir. Ilk Erisim ve Dwell Time Cisco Talos'taki tehdit avcilari, grubun toplanmis VPN kimlik bilgilerini tercih ettigini ve genellikle payload'u patlatmadan once alti saatten az - minimum dwell time - ile calistigini belirtmektedir. Saldiri Zamanlama Tehdit aktoru, tespit edilmekten kacinmak ve etkiyi maksimize etmek icin yogun olmayan saatlerde saldirilar baslatarak yuksek duzyde koordinasyonla calisir. MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1078 - Valid Accounts (VPN kimlik bilgileri) - T1133 - External Remote Services - T1190 - Exploit Public-Facing Application **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API - T1569.002 - Service Execution (PSExec) **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution - T1219 - Remote Access Software (AnyDesk) **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562.001 - Disable or Modify Tools (RealBlindingEDR) - T1070 - Indicator Removal - T1490 - Inhibit System Recovery **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores - T1056.001 - Keylogging **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery **Yanal Hareket (TA0008)** - T1021.002 - SMB/Windows Admin Shares (PSExec) - T1570 - Lateral Tool Transfer **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1567.002 - Exfiltration to Cloud Storage (Google Drive) **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Cift Gasp Taktikleri Operasyonel Model Crypto24, verileri calan ve sonra sistemleri sifreleyerek kurbanlar fidye odemeyi reddederse kamuya sIzdirma tehdidinde bulunan bir cift gasp cetesidir. 1. **Sizma**: VPN kimlik bilgileriyle hedef aga erisim 2. **Yanal Hareket**: PSExec ve AnyDesk ile ag icinde yayilma 3. **Sizdirma**: Google Drive ile gizli veri cikisi 4. **Sifreleme**: Sistemlerin kilitlenmesi 5. **Gasp**: Fidye talebi ve sizdirma tehdidi Trend Micro Analizi "Tehlikeli Evrim" Arastirmacilar, yeni bir Crypto24 fidye yazilimi kampanyasini tespit ettiklerini ve bunun tehdit ortaminda "tehlikeli bir evrim" isaretledigini soylediler. Crypto24 saldırilari, tehdit aktorlerinin guvenlik yiginlarini inceledigini, sistematik zayifliklari belirledigini ve bunlari istismar etmek icin amaca yonelik araclar insa ettigini gostermektedir. RaaS Yatirım Getirisi Crypto24 ekibi, Temmuz 2024'te RAMP forumunda ortaya cikti ve hizli kar vaat eden RaaS anlasmalari pazarlayarak affiliate'lere yatirimin hizli geri donusunu vaat etmistir. Korunma Stratejileri ve Oneriler EDR Koruma Stratejileri Crypto24'un EDR atlatma yetenekleri goz onune alindiginda: **Katmanli Savunma** - Tek bir guvenlik cozumune guvenmeyin - Birden fazla katman konuslandirin - Defense-in-depth stratejisi uygulayin **EDR Yapilandirma** - EDR cozumlerini sertlestirin - Tamper protection etkinlestirin - EDR devre disi bırakma girişimlerini izleyin **RealBlindingEDR Tespiti** - Bu aracin kullanimi icin uyarilar yapilandirin - Guvenlik araci devre disi birakma girişimlerini tespit edin VPN Kimlik Bilgisi Guvenligi Crypto24'un VPN kimlik bilgisi odagi goz onune alindiginda: **MFA Zorunlulugu** Tum VPN erisiminde MFA zorunlu kilin. **Kimlik Bilgisi Izleme** - Calinti VPN kimlik bilgileri icin dark web izlemesi yapin - Sizdirilmis kimlik bilgileri icin uyarilar yapilandirin **Parola Politikalari** Guclu, benzersiz parolalar zorunlu kilin. Google Drive Sizdirma Tespiti **Ag Izleme** - Google Drive'a buyuk veri transferlerini tespit edin - Bulut depolama cikis trafiigini izleyin **DLP Cozumleri** - Veri kaybi onleme cozumleri konuslandirin - Hassas veri transferlerini engelleyin Uzaktan Erisim Araci Izleme **AnyDesk Izleme** - Yetkisiz AnyDesk kullanimini tespit edin - Uzaktan erisim araci aktivitesini izleyin **PSExec Izleme** - PSExec kullanimi icin uyarilar yapilandirin - Yanal hareket gostergelerini tespit edin Yogun Olmayan Saat Izleme Crypto24'un yogun olmayan saatlerde saldiri taktigi goz onune alindiginda: - 7/24 guvenlik izleme saglayin - Yogun olmayan saatler icin uyari esiklerini ayarlayin - SOC kapasitesini gece saatlerinde de koruyun Gelecek Ongoruleri 2026 Beklentileri **EDR Atlatma Trendi** Crypto24'un EDR atlatma yetenekleri, diger gruplar tarafindan benimsenmesi muhtemel bir trendi temsil etmektedir. **Kritik Sektor Hedeflemesi** Bankacilik, savunma, saglik ve havacilik gibi kritik sektorlerin hedeflenmesinin devam etmesi beklenmektedir. **RaaS Rekabeti** RAMP forumundaki RaaS pazarlama, artan rekabet ve daha fazla affiliate cekmek icin ozelliklerin gelismesini isaret etmektedir. Dwell Time Trendi Cisco Talos'un belirttigi alti saatten az dwell time, tespit pencerelerinin daraldığını ve gercek zamanli izlemenin kritik onemini vurgulamaktadir. Sonuc Crypto24, Eylul 2024'te tespit edilen ve EDR atlatma yetenekleriyle dikkat ceken tehlikeli bir RaaS operasyonudur. Arastirmacilar tarafindan tehdit ortaminda "tehlikeli bir evrim" olarak nitelendirilen grup, guvenlik yiginlarini inceleyerek sistematik zayifliklari belirleme ve bunlari istismar etmek icin amaca yonelik araclar insa etme kapasitesini gostermistir. PSExec, AnyDesk, keylogger'lar ve ozellesmis RealBlindingEDR varyanti gibi araclarin koordineli kullanimi, sofistike bir saldiri metodolojisini ortaya koymaktadir. Google Drive ile gizli veri sizdirma ve alti saatten az dwell time, grubun tespitten kacinma yeteneklerini vurgulamaktadir. Nisan 2025'teki CMC Group saldirisi (2 TB veri sizdirma) ve Ekim 2025'teki U.S. Vanadium saldirisi (300+ GB), grubun buyuk olcekli veri sizdirma kapasitesini gostermektedir. Bankacilik, savunma, saglik ve havacilik gibi kritik sektorlerin hedeflenmesi, ulusal guvenlik endiselerini artirmaktadir. Organizasyonlar, ozellikle katmanli EDR savunmasi, VPN kimlik bilgisi guvenligi ve 7/24 guvenlik izleme alanlarinda kapsamli onlemler almalidir. Crypto24'un EDR atlatma yetenekleri, tek bir guvenlik cozumune guvenmenin yetersiz oldugunu ve defense-in-depth stratejisinin kritik onemini acikca gostermektedir....

**Giriş** ArvinClub, son dönemlerin en aktif ve yanıltıcı ransomware gruplarından biri. Hedeflenebilirliği açısından bireysel kullanıcılardan büyük ölçekli kuruluşlara kadar geniş bir yelpazeyi kapsıyor. **Tarihçe** ArvinClub'ın tam olarak ne zaman ve nerede kurulduğuna dair net bir bilgi mevcut olmamakla birlikte, bu suç örgütünün son birkaç yılda büyüdüğü ve etkinliğini arttırdığı bilinmektedir. **Teknik Özellikler** ArvinClub genellikle, hedeflerine phishing saldırıları veya getirme/exfiltration teknikleri gibi çeşitli yöntemlerle bulaşır. Sisteme sızdıktan sonra, mağdurun kendi verilerini tekrar erişilebilir hale getirmesini engellemek için dosyaları şifreler ve fidye talep eder. **İşleyiş** ArvinClub, genellikle mağdurlarının bilgisayar sistemlerine sızarak hassas verilere erişir ve bunları şifreler. Ardından, verileri geri almak için fidye talep eder. Fidyeyi ödeyen kullanıcılara, verilerini kod çözme anahtarı sağlanır. Bu ranzomware genellikle kişisel bilgileri, finansal verileri ve kurumsal bilgileri çalar. **Etki Alanı** ArvinClub'un etki alanı oldukça geniştir. Hem bireylerin hem de küçük ve büyük ölçekli işletmelerin sistemlerine saldırabilir. **Son İstatistikler** Son istatistiklere göre ArvinClub, zamanla daha da kapsamlı hale gelen bir tehdit unsurudur. Ransomware'ın sayısı, her geçen gün hızla artmaktadır. **Neden Tehlikeli** ArvinClub tehlikesi, ağlara sızma yeteneğine, büyük miktarda veri çalma kapasitesine ve dosyaları şifreleme yeteneğine dayanmaktadır. **Genel Hedefleri** Bu ransomware'ın temel hedefi, maddi kazanç sağlamaktır. **Saldırı Taktikleri** ArvinClub genellikle phishing saldırıları, Trojan-atlar veya bilinen güvenlik açıklıklarını kullanarak hedef sistemlere sızar. **Önemli Olaylar** Öne çıkan bir olay, büyük bir enerji şirketinin sistemlerine sızmaları ve milyonlarca kullanıcının kişisel ve finansal bilgilerini çalmalarıdır. **Korunma Yolları** Kullanıcıların güvende kalmasının en etkili yolu, güçlü güvenlik önlemleri almak ve güvendikleri kaynaklardan gelen e-postaları ve dosyaları açmaktır....

Spook Ransomware Grubu Giriş Spook Ransomware özellikle büyük kurumsal ağlara yönelik ciddi bir siber tehdittir. Bu zararlı yazılımın merkezi olmayan yapısı ve dolayısıyla güçlü hedef seçme yeteneği nedeniyle özellikle tehlikeli olmuştur. Tarihçe Spook Ransomware Grubu, 2019 yılında siber güvenlik sahnesine çıktı. İlk başlarda, diğer ransomwareler ile benzer bir şekilde hareket ederken, zamanla karmaşık ve kısmen merkezi olmayan yapısıyla bilinir hale geldi. Teknik Özellikler Spook, yetenekli ve deneyimli siber suçlular tarafından oluşturulmuş özel bir ransomware'dir. Ransomware, AES-256 şifrelemesi kullanarak, hedef sisteme sızar ve hedeflenen dosyaları şifreler. İşleyiş Bir kez sistemine sızdığı zaman, Spook hızla harekete geçerek ağdaki diğer bilgisayarları da enfekte edebilir. Daha sonra, fidye talep eden bir not bırakır ve ödeme alınmazsa verilerin kalıcı olarak kaybolacağını belirtir. Etki Alanı Spook, öncelikle büyük kurumsal ağları hedeflemektedir. Ancak, her türden işletme ve bireysel kullanıcıları da hedefleyebilir. Son İstatistikler Son verilere göre, 2020 yılında, Spook Ransomware’nin dünya genelinde on binlerce bilgisayarı enfekte ettiği tahmin edilmektedir. Neden Tehlikeli Spook Ransomware'nin tehlikesi, merkezi olmayan yapısının ve hedef seçme yeteneğinin birleşimidir. Bu, onu sadece çok yönlü bir tehdit yapmakla kalmaz, aynı zamanda belirli bir hedefi izole etmek ve göz ardı edilemez bir fidye talep etmek için de kullanabilir. Genel Hedefleri Spook'un hedefleri genellikle büyük kurumsal ağlar, hükümet kurumları ve büyük ölçekli endüstriyel sistemlerdir. Saldırı Taktikler Spook, genellikle phishing veya kötü amaçlı bir yazılım olarak maskelenmiş bir dosyanın açılmasıyla sistemlere girer. Önemli Olaylar 2020 yılında, bir çok büyük kuruluş Spook Ransomware'nin saldırısına uğradı ve bu da onların verilerini kilitleyip veri kayıpları yaşamalarına neden oldu. Korunma Yolları Spook Ransomware'den korunmak için, düzenli veri yedeklemesi yapılması, güncel bir antivirüs yazılımının kullanılması ve çalışanların bilinçlendirilmesi önemlidir....

Chaos Ransomware Nedir? Chaos, Subat 2025'te ortaya cikan ve hizla gelisen tehdit ortaminin endise verici bir eklemesi olan nispeten yeni bir Ransomware-as-a-Service (RaaS) grubudur. Grup, sosyal muhendislik teknikleri kullanarak kurbanlarina ilk erisim saglamakta ve cift gasp taktikleriyle yuksek degerli hedeflere saldirmaktadir. Onemli bir not olarak, bu yeni Chaos fidye yazilimi cetesi, Chaos fidye yazilimi olusturucu araci veya gelistiricileri tarafindan uretilen varyantlarla baglantili degildir. Bu tehdit aktorleri, guvenlik topluluğundaki "Chaos" adi ve cesitli varyantlari ile iliskili olusturucu araclari hakkindaki kafa karisikligini istismar ederek kimliklerini gizlemislerdir. Bu kasitli gizleme, bu yukselen tehdidin ortaya koydugu risklerin tanimlanmasini ve azaltılmasını zorlastirmaktadir. Tarihsel Gelisim ve Evrim Subat 2025: Ortaya Cikis Chaos RaaS grubu, Subat 2025 gibi erken bir tarihte ortaya cikti. Kurbanlar agirlakli olarak ABD'de bulunmakta olup, Ingiltere, Yeni Zelanda ve Hindistan'da daha az sayida kurban bulunmaktadir. 2025: Hizli Buyume Chaos fidye yazilimi aktoru, mevcut izinsiz giris dalgasindan once minimum tarihsel aktivite gosteren yeni ve endise verici bir ekleme olmustur. Grup, 2025 yilinda 23'un uzerinde dogrulanmis saldiri gerceklestirmistir. Ekim 2025: Chaos-C++ Varyanti FortiGuard Labs arastirmacilari, C++ dilinde yazilmis yeni bir Chaos fidye yazilimi surumu tespit etti. Bu, .NET dilinde yazilmayan ilk Chaos surumudur. Bu evrim, fidye yazilimini yurutme sirasinda kesintiye ugratmayi zorlastiran ve onceki surumlere gore daha yikici hale getiren bir dizi yeni ozellik tanitilmistir. BlackSuit Baglantisi Cisco Talos'a gore, operasyonun buyuk olasılikla eski BlackSuit fidye yazilimi cetesinin uyelerinden olusmaktadir. Operasyon, buyuk av ve cift gasp saldirilarinda uzmanlasmistir. Saldiri Istatistikleri ve 2025-2026 Fidye Yazilimi Ortami Genel Rakamlar - Toplam Dogrulanmis Saldiri: 23+ - Ilk Ortaya Cikis: Subat 2025 - Birincil Hedef: ABD - Ikincil Hedefler: Ingiltere, Yeni Zelanda, Hindistan - Muhtemel Koken: Eski BlackSuit uyeleri Kuresel Fidye Yazilimi Istatistikleri (2025) Recorded Future Intelligence'a gore, kamuya aciklanan saldirilar 2025'te 2024'teki 4.900'e kiyasla 7.200'e yukseldi ve %47'lik bir artis gostermektedir. Fidye yazilimi sizdirma sitelerini izleyen takipciler, 2025 yilinda dunya genelinde 8.000'den fazla iddia edilen kurban kaydetmistir. Bu, 2023'e kiyasla yuzde 50'den fazla bir artisi temsil etmektedir. Cyble, 2025 yilinda 57 yeni fidye yazilimi grubu ve 27 yeni gasp grubu gozlemlemistir. En baskin iki fidye yazilimi sendikasi olan LockBit ve AlphV'nin dususu, siber suclu ortaminda bir guc boslugu tetiklemistir. Chaos gibi yeni gruplar bu boslugu doldurmak icin ortaya cikmistir. Teknik Altyapi ve Saldiri Metodolojisi Ilk Erisim Vektorleri Aktor, sosyal muhendislik kullanarak kurbanlara ilk erisim saglamis, kimlik avi ve sesli kimlik avi (vishing) tekniklerini kullanmistir. **Kimlik Avi (T1566)** Hedefli e-posta kampanyalari ile zararli ekler veya baglantilar gonderilmektedir. **Sesli Kimlik Avi (Vishing)** Telefon tabanli sosyal muhendislik teknikleri kullanilmaktadir. Chaos-C++ Yeni Ozellikler Ekim 2025'te tespit edilen yeni surum, onemli teknik ilerlemeler icermektedir: **Hibrit Sifreleme** Chaos-C++, tam dosya sifreleme yerine yontem kombinasyonu kullanan yeni bir sifreleme ozelligi eklemistir. Bu, cok buyuk dosyalarin iceriklerini sifrelemek yerine silerek yok etmeyi icermektedir. Bu yontem, isleme suresini azaltarak ve buyuk veri hacimleri arasinda daha hizli saldirilara olanak taniarak verimliligi artirmaktadir. **Pano Ele Gecirme Mekanizmasi** Yeni varyantin bir diger temel ozelligi, kopyalanan Bitcoin adreslerini saldirganin cüzdaniyla degistiren sofistike bir pano ele gecirme mekanizmasidir. Bu yikici sifreleme ve gizli finansal hirsizlik ikili stratejisi, Chaos'un finansal kazanci maksimize etmek icin tasarlanmis daha agresif ve cok yonlu bir tehdide donusumunun altini cizmektedir. MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing - T1566.004 - Voice Phishing (Vishing) - T1078 - Valid Accounts - T1189 - Drive-by Compromise **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API - T1204 - User Execution **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution - T1078 - Valid Accounts **Ayricalik Yukseltme (TA0004)** - T1068 - Exploitation for Privilege Escalation - T1078 - Valid Accounts **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal - T1140 - Deobfuscate/Decode Files or Information **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores - T1115 - Clipboard Data (pano ele gecirme) **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery **Yanal Hareket (TA0008)** - T1021 - Remote Services - T1570 - Lateral Tool Transfer **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1485 - Data Destruction (buyuk dosya silme) - T1490 - Inhibit System Recovery - T1489 - Service Stop BlackSuit Mirasi BlackSuit Hakkinda Cisco Talos'a gore, Chaos operasyonu buyuk olasılikla eski BlackSuit fidye yazilimi cetesinin uyelerinden olusmaktadir. BlackSuit: - Royal fidye yazilimininin yeniden markalasmis hali - Royal ise Conti'nin devamı - Buyuk av (big-game hunting) uzmanli - Cift gasp taktikleri Miras Etkileri BlackSuit baglantisi, Chaos'un deneyimli operatorler tarafindan yurutuldugunuu gostermektedir. Bu, grubun: - Sofistike saldiri yetenekleri - Buyuk kurumsal hedefleme kapasitesi - Profesyonel operasyonel model sahip oldugunu ima etmektedir. Isim Karisikligi ve Gizleme Kasitli Obfuscation Bu tehdit aktorleri, guvenlik topluluğundaki "Chaos" adi ve cesitli varyantlari ile iliskili olusturucu araclari hakkindaki kafa karisikligini istismar ederek kimliklerini gizlemislerdir. Bu kasitli gizleme, bu yukselen tehdidin ortaya koydugu risklerin tanimlanmasini ve azaltılmasını zorlastirmaktadir. Orijinal Chaos Builder Orijinal Chaos fidye yazilimi olusturucu araci: - 2021'de ortaya cikti - Dusuk becerili aktorler tarafindan kullanuld - Ryuk klonu olarak basladi - Cesitli varyantlar uretildi Yeni Chaos RaaS grubu, bu araç veya gelistiricileriyle baglantili degildir. 2026 Fidye Yazilimi Trendleri Dortlu Gasp Tehdit aktorleri, fidye yazilimi kampanyalarinda yeni bir dortlu gasp taktigi kullanmaktadir. Cift gasp en yaygin yaklasim olmaya devam ederken, ortaya cikan dortlu gasp trendi sunlari icermektedir: 1. Veri sifreleme 2. Veri sizdirma ve yayin tehdidi 3. Is operasyonlarini kesintiye ugratmak icin DDoS saldirilari 4. Kurban uzerindeki baskiyi artirmak icin musteriler, ortaklar ve medya gibi ucuncu taraflarin taciz edilmesi Kurellesme Recorded Future, 2026'nin Rusya disinda faaliyet gosteren yeni fidye yazilimi aktorlerinin Rusya icerindekileri gectigi ilk yil olacagini ongormektedir. Bu, fidye yazilimi ekosisteminin hizli kurellesmeesini yansitmaktadir. Ic Tehditler Ic tehditler yukseliste olup, fidye yazilimi operatorleri kurumsal iceriden kisiler istihdam etmek icin giderek artan bir sekilde anadili Ingilizce olanlara yonelmektedir. 2026'da istenlikler devam ederse bu trendin hizlanmasi muhtemeldir. Korunma Stratejileri ve Oneriler Sosyal Muhendislik Savunmasi Chaos'un kimlik avi ve vishing odagi goz onune alindiginda: **Calislan Farkindaligi** - Kimlik avi simulasyonlari - Vishing farkindalik egitimleri - Supheli iletisim raporlama mekanizmalari **Teknik Kontroller** - E-posta filtreleme ve sandbox - DMARC, SPF, DKIM uygulamasi - Cagri dogrulama prosedurlleri Pano Guveniligi Chaos-C++'in pano ele gecirme ozelligi nedeniyle: - Kripto cuzdan adreslerini her zaman dogrulayin - Pano izleme arallari kullanin - Hassas bilgiler icin pano kullaniminii sinirlandirin - Calisanlari pano risklleri konusunda egitin Uc Nokta Guvenligi **EDR Cozumleri** Gelismis EDR konuslandirin ve C++ tabanli zararli yazilim tespiti icin davranis analizi yapin. **Uygulama Kontrolu** Onaylanmamis uygulamalarin calismasini engelleyin. **Dosya Butunlugu Izleme** Kritik dosyalardaki degisiklikleri izleyin. Veri Koruma Chaos-C++'in buyuk dosya silme ozelligi nedeniyle: - Degistirilemez ve cevrimdisi yedekler - 3-2-1-1 yedekleme stratejisi - Duzenli kurtarma testleri - Yedeklerin ag segmentasyonu ile izolasyonu Kripto Varlik Guvenligi Pano ele gecirme ozelligi nedeniyle: - Donanim cuzdan kullanimi - Islem onaylama prosedurlleri - Coklu imza gereksinimleri - Adres beyaz listeleri Tehdit Istihbarati - Chaos ve iliskili gruplarin TTP'lerini izleyin - IOC'leri guvenlik araclariniza entegre edin - BlackSuit/Royal/Conti mirasini anlayan istihbarat kaynaklari kullanin Olay Mudahale - Fidye yazilimi senaryolari icin ozel planlar - Vishing saldirisi senaryolari - Kripto hirsizligi olay mudahalesi - Forensik yetenek gelistirme Sonuc Chaos, Subat 2025'te ortaya cikan ve BlackSuit fidye yazilimi cetesinin eski uyelerinden olustugu dusunulen tehlikeli bir RaaS grubudur. Grubun sosyal muhendislik odagi, C++ yeniden yazimi ve pano ele gecirme gibi yenilikci ozellikler, fidye yazilimi tehditlerinin surekli evrimini gostermektedir. Ekim 2025'te tanıtılan Chaos-C++ varyanti, buyuk dosya silme ve pano ele gecirme gibi ozelliklerle grubun yeteneklerini onemli olcude artirmistir. Yikici sifreleme ve gizli finansal hirsizlik ikili stratejisi, Chaos'u cok yonlu bir tehdit haline getirmektedir. Grubun isim karisikligini kasitli olarak istismar etmesi, tehdidin tanimlanmasini zorlastirmaktadir. Organizasyonlar, orijinal Chaos builder ile bu yeni RaaS grubu arasindaki farki anlamalidir. 2026 fidye yazilimi trendleri - dortlu gasp, kurellesme ve ic tehditler - Chaos gibi gruplarin taktiklerini daha da gelistirecegini gostermektedir. Proaktif guvenlik durus, sosyal muhendislik savunmasi ve guclu yedekleme stratejileri, bu tehditlere karsi en etkili savunma yaklasimini olusturmaktadir....

Embargo Ransomware Nedir? Embargo, Nisan 2024'te ortaya cikan ve TRM Labs analizine gore yaklasik 34,2 milyon dolar saldiri geliri elde eden sofistike bir fidye yazilimi operasyonudur. TRM degerlendirmesine gore Embargo, Rust programlama dili kullanimi, benzer tasarimli veri sizdirma sitesi ve paylasilan cuzdan altyapisi uzerinden zincir ustu ortusumler dahil birden fazla teknik ve davranissal benzerlige dayanarak BlackCat (ALPHV)'nin yeniden markalanmis veya halef operasyonu olabilir. ESET, LockBit ve BlackCat dahil gruplari etkileyen son kolluk kuvvetleri baskilarinin, Embargo gibi yeni tehdit aktorlerinin ortaya cikisini tetikleyen RaaS alaninda bazi yeniden yapilanmayi tetiklediginden suphelenmektedir. 2024-2026 doneminde 4'un uzerinde dogrulanmis saldiri gerceklestiren grup, ozellikle saglik sektorunu agresif bir sekilde hedef almaktadir. Tarihsel Gelisim ve Finansal Etki Nisan 2024: Ortaya Cikis Embargo fidye yazilimi cetesi, Nisan 2024'te ortaya cikti. Bu zamanlama, BlackCat/ALPHV'nin cokusuyle ortusumektedir ve potansiyel bir baglantiya isaret etmektedir. 2024-2025: Hizli Buyume TRM Labs'e gore grup, Nisan 2024'ten bu yana yaklasik 34,2 milyon dolar saldiri geliri elde etmistir. Bu rakam, grubun kisa surede ne kadar etkili oldugunu gostermektedir. Finansal Dagilim - Kurban Odemeleri Dagilimi: ~13,5 milyon dolar (birden fazla kuresel sanal varlik hizmet saglayicisina) - Aklanmis Fonlar: Araci cuzdanlar, yuksek riskli borsalar ve Cryptex.net gibi yaptirimli platformlar uzerinden - Atfedilmemis Adreslerde Kalan: ~18,8 milyon dolar Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2024-2026) - Toplam Saldiri Geliri: ~34,2 milyon dolar - Bilinen Kurban Sayisi: 31 - Ilk Ortaya Cikis: Nisan 2024 - Teknik Temel: Rust programlama dili - Muhtemel Koken: BlackCat/ALPHV halef operasyonu Hedef Sektorler Embargo, acil kurtarma zaman cizelgelerine sahip sektorleri hedef almaktadir - ozellikle saglik - cunku hizmet kesintileri hayati tehlike yaratan sonuclara yol acabilir ve odeme baskisini artirabilir: - Saglik: Birincil hedef - Is Hizmetleri - Uretim Bu sektorler, yuksek calisma suresi gereksinimleri ve operasyonel kesintiye duyarliliklari nedeniyle hedef alinmaktadir. Cografi Odak Embargo, orantisiz sekilde ABD'deki organizasyonlari hedef almaktadir - buyuk olasilikla ABD merkezli organizasyonlarin daha yuksek fidye taleplerini karsilama olasiliginin daha yuksek oldugu algisina dayalidir. Kurbanlar sunlari icermektedir: - ABD - Avustralya - Avrupa Onemli Saldirilar ve Kurbanlar Saglik Sektoru Saldirilari Grup, hastaneleri ve cesitli eyaletlerdeki eczane aglarini vurmustur: **American Associated Pharmacies** Ulusal eczane agi hedef alindi. **Memorial Hospital and Manor (Georgia)** Georgia merkezli hastane ve bakim tesisi. **Weiser Hospital (Idaho)** Idaho'daki hastane, 1,3 milyon dolara varan fidye talepleriyle karsi karsiya kaldi. Diger Kurbanlar - Summerville Police Department (Guney Carolina) - Michigan eyaleti hukumeti - Alman tedarik zinciri hizmetleri sirketi - Avustralya'da borç vermeyen banka Teknik Altyapi ve Araçlar Rust Programlama Dili Embargo, BlackCat gibi Rust programlama dilini kullanmaktadir. Bu: - Coklu platform destegi saglar - Tersine muhendisligi zorlastirir - Yuksek performans sunar - Bellek guvenligi saglar Ozel Araclar: MDeployer ve MS4Killer ESET, Embargo fidye yaziliminin konuslandirilmasina yol acan yeni araclar kesfetti: **MDeployer (Yukleyici)** Fidye yazilimi dagitimi icin kullanilan yukleyici. **MS4Killer (EDR Oldurucü)** Güvenlik urunlerini devre disi birakmak icin tasarlanmis endpoint tespit ve mudahale oldurucu. MS4Killer, "bring your own vulnerable driver" teknigi kullanarak guvenlik urunlerini devre disi birakmak icin tasarlanmistir. Buyuk olasilikla s4killer adli bir proof-of-concept aractan esinlenmistir, ancak Embargo gercek dunya saldirilarinda daha etkili olmasi icin islevselligini gelistirmistir. Yapay Zeka Kullanimi Yapay zeka ve makine ogrenimi gibi teknolojiler, fidye yazilimi operatorlerinin bir saldirinin temel asamalarini otomatiklestirmesine olanak tanmaktadir. Embargo, guvenlik araclarini atlatmak icin gercek zamanli adapte olan daha ikna edici kimlik avi yemleri olusturmak veya polimorfik kod uretmek icin yapay zeka kullaniyor olabilir. MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing - T1078 - Valid Accounts - T1190 - Exploit Public-Facing Application - T1133 - External Remote Services **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API - T1129 - Shared Modules **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution **Ayricalik Yukseltme (TA0004)** - T1068 - Exploitation for Privilege Escalation - T1078 - Valid Accounts **Savunma Atlatma (TA0005)** - T1562 - Impair Defenses (MS4Killer) - T1211 - Exploitation for Defense Evasion - T1027 - Obfuscated Files or Information - T1070 - Indicator Removal **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Cift Gasp ve Taktikler Cift Gasp Modeli Grup, fidye odemesi icin kurbanlari baskiya almaktadir: 1. Hassas verilerin sizdirmasi 2. Verilerin sifrelenmesi 3. Yayinlama tehdidi (cift gasp) Agresif Zaman Cizelgeleri Embargo, hastane verilerini sizdirmak icin son tarihler belirlemektedir. Bu, saglik kuruluslari uzerindeki baskiyi artirmak icin tasarlanmistir. BlackCat/ALPHV Baglantisi Benzerlikler TRM degerlendirmesine gore Embargo, BlackCat (ALPHV)'nin yeniden markalanmis veya halef operasyonu olabilir: - Rust programlama dili kullanimi - Benzer tasarimli veri sizdirma sitesi - Paylasilan cuzdan altyapisi (zincir ustu ortusumler) - Benzer hedefleme stratejisi Kolluk Kuvvetleri Baglami ESET, LockBit ve BlackCat dahil gruplari etkileyen son kolluk kuvvetleri baskilarinin, RaaS alaninda yeniden yapilanmayi tetiklediginden ve Embargo gibi yeni tehdit aktorlerinin ortaya cikisini kolaylastirdigından suphelenmektedir. Korunma Stratejileri ve Oneriler Saglik Sektoru Ozel Onlemleri Embargo'nin saglik odagi goz onune alindiginda: **Hasta Veri Koruma** - HIPAA uyumlulugu - Veri siniflandirma ve erisim kontrolu - Sifreleme (hem aktarim hem duragan halde) **Operasyonel Sureklilik** - Yedek sistemler - Is surekliligi planlari - Felaket kurtarma prosedurlleri **Olay Mudahale** - Saglik sektorune ozel olay mudahale planlari - Regulatorlere bildirim prosedurlleri - Hasta iletisim stratejileri MS4Killer'a Karsi Savunma EDR oldurucuye karsi: **Surucu Koruma** - BYOVD saldirilarına karsi savunma - Surucu beyaz listeleri - Surucu imza dogrulama **EDR Sertlestirme** - Tamper protection etkinlestirin - EDR ajanlarini koruyun - Guvenlik hizmeti sonlandirma girisimlerni izleyin Genel Guvenlik Onlemleri **Endpoint Guvenligi** - Gelismis EDR cozumleri - Davranis analizi - Rust tabanli zararli yazilim tespiti **Ag Guvenligi** - Segmentasyon - Yanal hareket tespiti - NDR cozumleri **Veri Koruma** - Cevrimdisi ve degistirilemez yedekler - 3-2-1 yedekleme kurali - Duzenli kurtarma testleri Kripto Para Izleme Embargo'nin finansal operasyonlari goz onune alindiginda: - Blockchain analizi - Yaptirimli platformlari izleme - Olay sonrasi finansal takip Gelecek Ongoruleri Devam Eden Tehdit 34,2 milyon dolar gelir ve BlackCat baglantisi goz onune alindiginda, Embargo'nin: - Saglik sektorunu hedeflemeye devam etmesi - Teknik yeteneklerini gelistirmesi (yapay zeka dahil) - Affiliate agini genisletmesi beklenmektedir. 2026 Trendleri - Daha sofistike EDR atlatma araclari - Yapay zeka destekli saldirilar - Saglik sektoru baskilarinin artmasi Sonuc Embargo, Nisan 2024'te ortaya cikan ve kisa surede 34,2 milyon dolar saldiri geliri elde eden tehlikeli bir fidye yazilimi operasyonudur. BlackCat/ALPHV ile teknik ve davranissal benzerlikler, grubun deneyimli operatorler tarafindan yurutuldugunuu gostermektedir. Saglik sektorunu agresif sekilde hedeflemesi - hastaneler, eczane aglari ve bakim tesisleri - grubun hayati tehlike yaratan kesintileri odeme baskisi olarak kullandigini ortaya koymaktadir. MS4Killer gibi ozel EDR oldurucü araclari, grubun teknik sofistikasyonunu gostermektedir. Organizasyonlar, ozellikle saglik sektoru guveniligi, EDR sertlestirme ve veri koruma alanlarında kapsamli onlemler almalidir. Embargo'nin yapay zeka kullanim potansiyeli, 2026'da daha sofistike saldirilara isaret etmektedir....

global...

Suncrypt Ransomware: Teknik Özellikler Suncrypt, kişisel verilerinizi şifreleyen ve fidye talep eden bir tür ransomware'dir. Bu tür virüsler genellikle spear phishing yoluyla, zararlı email ekleri vasıtasıyla yayılır. Suncrypt Ransomware: İşleyiş Suncrypt, bilgisayar sistemlerine sızdığında, kişisel ve hassas dosyaları şifreler. Bu, dosyalara erişiminizi engeller. Ardından bir fidye notu bırakır, genellikle ödeme yapmanızı ve verilerinizi geri almanızı isteyen bir mesajla. Suncrypt Ransomware: Etki Alanı Suncrypt ransomware'in etki alanı geniş olup, bireysel kullanıcılardan, küçük işletmelerden büyük ölçekli kurumlara kadar uzanmaktadır. İşletmelerin iş süreçlerini aksatmakla kalmayıp, hassas verilerini de tehdit altına alır. Suncrypt Ransomware: Son İstatistikler Güncel istatistiklere göre, Suncrypt'in siber suçlular arasında popülerliği artıyor. Suncrypt tarafından şifrelenen veri dosyalarının sayısı her geçen gün artıyor ve bu durum hem bireysel kullanıcılar, hem de işletmeler için büyük risk oluşturuyor. Suncrypt Ransomware: Neden Tehlikelidir? Suncrypt ransomware, verilerinizi geri almanız için fidye ödemenizi isteyen bir mesaj bırakarak, sizi finansal zarara uğratır. Ayrıca, fidye ödemesinin ardından bile verilerinizi geri almanız garanti edilmez. Bu da sizi hem maddi, hem de manevi olarak stres altına alır. Suncrypt Ransomware: Korunma Yolları Suncrypt ransomware'e karşı korunmanın en iyi yolu önceden önlem almaktır. İşletmenizin veri yedekleme protokolleri olmalı ve çalışanlarınızı spear phishing ve zararlı eklentilere karşı eğitmeli. Düzenli olarak güncellenen bir antivirüs yazılımı kullanmalı ve işletmenizin bilgi güvenliği politikalarını güçlendirmeli....

Termite Ransomware Nedir? Termite, Kasim 2024'te ortaya cikan ve birden fazla yuksek profilli siber saldiriya atfedilmesinin ardindan kendini onemli bir tehdit olarak hizla konumlandiran bir fidye yazilimi turudur. Cyble Arastirma ve Istihbarat Laboratuvarlari (CRIL) arastirmacilari, Termite'in aslinda kotu sohretli Babuk fidye yaziliminin yeniden markalasmis hali oldugunu belirlemiştir. Babuk'un kaynak kodu 2021'de sizdirilmistir ve bu sizinti, bircok yeni ve guclu varyantin olusturulmasina olanak tanmistir. Operatorleri, kimlik avi saldirilari, ele gecirilmis web siteleri veya yazilim zafiyetlerinin istismari yoluyla kurban ortamlarina ilk erisim elde etmek icin son derece hedefli aktiviteler yurutmektedir. Bir dayanak noktasi kurulduktan sonra, Termite veri sizdirmasini dosya sifrelemeyle birlestirerek cift gasp taktikleri kullanmaktadir. Tarihsel Gelisim ve Onemli Olaylar Kasim 2024: Blue Yonder Saldirisi Tedarikci Blue Yonder'a yapilan Kasim ayindaki fidye yazilimi saldirisi, Starbucks, Sainsbury's ve Morrisons gibi buyuk sirketleri etkiledi ve Termite fidye yazilimi grubu tarafindan ustlenildi. Veri sizdirma sitesinde grup, 16.000'den fazla e-posta listesi ve 200.000'den fazla sigorta belgesi dahil olmak uzere 680 GB veri caldigini iddia etti. Aralik 2024: Cleo Yazilim Zafiyet Istismari Guvenlik arastirmacilari, Termite'i Cleo'nun LexiCom, VLTransfer ve Harmony dosya transfer yazilimlarindaki onceden yamalanmis bir zafiyeti hedef alan istismar aktivitesindeki artisa bagladi. Saldirilar 3 Aralik 2024'te basladi ve Huntress Labs arastirmacilari tuketici urunleri, kamyon tasimaciligi, nakliye ve gida hizmetleri gibi sektorlerde en az 10 kurban tespit etti. 2025: Genisleme ve Devam **Genea Saldirisi (Avustralya)** Termite'in Avustralyali dogurganlik hizmetleri saglayicisi Genea'ya saldirisi, tibbi gecmisler ve iletisim bilgileri dahil yaklasik 940 GB hassas hasta verisinin sizdirmasiyla sonuclandi. **Bjørklund Saldirisi (Nisan 2025)** 11 Nisan 2025'te ThreatMon Tehdit Istihbarat Ekibi, "Termite" olarak bilinen gruptan fidye yazilimi aktivitesi tespit etti. Bu grup, Bjørklund'u buyuyen kurban listesine ekledi. **MedHelp Clinics Saldirisi (Aralik 2025)** Bir ABD saglik saglayicisini etkileyen siber guvenlik olayı, Aralik 2025 ortasinda Termite fidye yazilimi grubunun MedHelp Clinics ile iliskili sistemlerden yaklasik 25 GB dahili veriye eristigini ve kaldirdigini iddia etmesinin ardindan gun yuzune cikti. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2024-2026) - Toplam Dogrulanmis Saldiri: 7+ - Ilk Ortaya Cikis: Kasim 2024 - En Buyuk Veri Sizdirma: Blue Yonder (680 GB) - Teknik Temel: Babuk yeniden markalasmasi - Saldiri Modeli: Cift gasp Sektor Bazli Hedefler - Tedarik Zinciri: Blue Yonder - Saglik: Genea, MedHelp Clinics - Hukumet: La Reunion (Fransiz ada ulusu) - Petrol ve Gaz - Otomotiv Uretimi - Dosya Transfer Yazilimi Kullananlar Cografi Dagilim Termite fidye yazilimi, asagidaki ulkelerdeki organizasyonlari hedef almistir: - ABD - Kanada - Almanya - Fransa - Umman - Avustralya - Norvec (Bjørklund) Teknik Altyapi ve Saldiri Metodolojisi Babuk Mirasi Termite, aslinda kotu sohretli Babuk fidye yaziliminin yeniden markalasmis halidir. Babuk'un kaynak kodu 2021'de sizdirilmistir ve bu sizinti, Termite dahil bircok yeni varyantin olusturulmasina olanak tanmistir. Ilk Erisim Vektorleri **Kimlik Avi Saldirilari (T1566)** Hedefli e-posta kampanyalari ile zararli ekler veya baglantilar. **Ele Gecirilmis Web Siteleri (T1189)** Drive-by download saldirilari icin kullanilan web siteleri. **Yazilim Zafiyet Istismari (T1190)** Cleo LexiCom, VLTransfer ve Harmony gibi dosya transfer yazilimlarindaki zafiyetlerin istismari. Cift Gasp Modeli Termite, standart cift gasp taktiklerini kullanmaktadir: 1. Hedef aga ilk erisim 2. Yanal hareket ve kesif 3. Hassas verilerin sizdirmasi 4. Dosyalarin sifrelenmesi 5. Fidye talebi 6. Odeme yapilmazsa verilerin yayinlanmasi tehdidi MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing - T1189 - Drive-by Compromise - T1190 - Exploit Public-Facing Application (Cleo zafiyetleri) - T1078 - Valid Accounts **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution **Ayricalik Yukseltme (TA0004)** - T1068 - Exploitation for Privilege Escalation - T1078 - Valid Accounts **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery **Yanal Hareket (TA0008)** - T1021 - Remote Services - T1570 - Lateral Tool Transfer **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Cleo Yazilim Zafiyet Kampanyasi Hedef Yazilimlar Termite, Cleo'nun asagidaki dosya transfer yazilimlarindaki zafiyetleri istismar etmistir: - **LexiCom**: Dosya transfer istemcisi - **VLTransfer**: Dosya transfer cozumu - **Harmony**: Dosya transfer platformu Kampanya Detaylari - Baslangic: 3 Aralik 2024 - Tespit Eden: Huntress Labs - Kurban Sayisi: En az 10 - Etkilenen Sektorler: Tuketici urunleri, kamyon tasimaciligi, nakliye, gida hizmetleri Zafiyet Istismari Etkileri Onceden yamalanmis bir zafiyet istismar edilmistir. Bu, yama yonetiminin onemini ve yamali sistemlerin bile risk altinda olabilecegini gostermektedir. Tedarik Zinciri Etkileri - Blue Yonder Vakasi Etkilenen Buyuk Markalar Blue Yonder saldirisi, tedarik zinciri etkilerini gozler onune sermistir: - **Starbucks**: Operasyonel kesintiler - **Sainsbury's**: Etkilenen sistemler - **Morrisons**: Operasyonel zorluklar Calinan Veri Boyutu - Toplam Veri: 680 GB - E-posta Listeleri: 16.000+ - Sigorta Belgeleri: 200.000+ Tedarik Zinciri Riski Dersleri Bu vaka, ucuncu taraf risk yonetiminin ve tedarik zinciri guvenliginin kritik onemini ortaya koymaktadir. Korunma Stratejileri ve Oneriler Dosya Transfer Yazilimi Guvenligi Cleo zafiyet istismari goz onune alindiginda: **Yama Yonetimi** - Cleo ve diger dosya transfer yazilimlarini hizla yamalayin - Zafiyet taramalarini duzenli yapin - Zero-day izleme ve istihbarat kaynaklari kullanin **Yapilandirma Sertlestirme** - Gereksiz ozellikleri devre disi birakin - Varsayilan yapilandirmalari degistirin - Erisim kontrollerini sertlestirin Tedarik Zinciri Guvenligi Blue Yonder vakasi goz onune alindiginda: **Ucuncu Taraf Risk Degerlendirmesi** - Kritik tedarikclerin guvenlik durumunu degerlendirir - Sozlesmelerde guvenlik gereksinimlerini belirleyin - Duzenli guvenlik denetimleri talep edin **Yedek Planlar** - Kritik tedarikci kesintileri icin yedek planlar hazirlayIn - Is surekliligi planlarina tedarik zinciri senaryolarini dahil edin Saglik Sektoru Ozel Onlemleri Genea ve MedHelp Clinics saldirilari goz onune alindiginda: **Hasta Veri Koruma** - HIPAA uyumlulugu ve hasta verilerinin ozel korunmasi - Veri siniflandirma ve erisim kontrolu - Sifreleme (hem aktarim hem duragan halde) **Olay Mudahale** - Saglik sektorune ozel olay mudahale planlari - Regulatorlere bildirim prosedurlleri - Hasta iletisim stratejileri Genel Guvenlik Onlemleri **Endpoint Guvenligi** - EDR cozumleri konuslandirin - Babuk varyantlarini tespit eden imzalar guncelleyin - Davranis analizi yapin **Ag Guvenligi** - Segmentasyon uygulayin - Yanal hareket tespiti icin NDR kullanin - Dis baglantilari izleyin **Veri Koruma** - Cevrimdisi ve degistirilemez yedekler - 3-2-1 yedekleme kurali - Duzenli kurtarma testleri 2026 Tehdit Ongoruleri Fidye Yazilimi Ekosistemi 2025 yilinda yaklasik 6.500 olayla, son iki yilda %47'lik artis kaydedilmistir. Cyble, 57 yeni fidye yazilimi grubu ve 27 yeni gasp grubu gozlemlemistir. 2026'ya girerken fidye yazilimi ekonomisi sunlari icermektedir: - Daha hizli yeniden markalasma donguuleri - Daha fazla kimlik bilgisi tabanli sizma zincirleri - Platformlar arasi sifreleme - Cift gaspın temel haline gelmesi Termite Devam Eden Tehdit Termite'in Babuk temeli, cift gasp modeli ve tedarik zinciri hedeflemesi, grubun 2026'da da aktif kalacagini gostermektedir. Sonuc Termite, Kasim 2024'te ortaya cikan ve Babuk fidye yaziliminin yeniden markalasmis hali olarak hizla kendini kanitlayan tehlikeli bir tehdit aktorudur. Blue Yonder saldirisiyla Starbucks, Sainsbury's ve Morrisons gibi buyuk markalari etkileyen grup, tedarik zinciri saldirilarinin potansiyel etkisini gostermistir. Cleo yazilim zafiyetlerinin istismari ve Genea/MedHelp Clinics gibi saglik kuruluslarinin hedef alinmasi, grubun cesitli sektorlerde etkili oldugunu ortaya koymaktadir. 680 GB Blue Yonder verisi ve 940 GB Genea hasta verisi, grubun buyuk hacimli veri sizdirma kapasitesini gostermektedir. Organizasyonlar, ozellikle dosya transfer yazilimi guvenligi, tedarik zinciri risk yonetimi ve saglik sektoru veri koruma alanlarında kapsamli onlemler almalidir. Proaktif tehdit istihbarati, guclu yedekleme stratejileri ve olay mudahale yetenekleri, Termite ve benzeri tehditlere karsi en etkili savunma yaklasimini olusturmaktadir....

AlphaLocker Ransomware Nedir? AlphaLocker, 2023 ortalarinda ortaya cikan ve Rusca konusan tehdit aktorleri tarafindan gelistirildigi dusunulen bir fidye yazilimi operasyonudur. Ransomware-as-a-Service (RaaS) operasyonu olarak faaliyet gosteren AlphaLocker, affiliate'lerin veya alpha grup uyelerinin zararli yazilimi Alpha Panel olarak bilinen bir yonetim paneli uzerinden dagitmasina izin vermektedir. Panel, gercek fidye yazilimina erisim, kurban giris istemi, indirilebilir destek dosyalari ve kisisel sifreler cozme anahtari ureteci icermektedir. Kesin kokeni belirsiz olsa da, EDA2 projesine dayandigi dusunulmektedir. 2024-2026 doneminde 13'un uzerinde dogrulanmis saldiri gerceklestiren grup, cesitli ulkelerde farkli sektorleri hedef almistir. Tarihsel Gelisim ve Evrim 2023 Ortasi: Ortaya Cikis AlphaLocker ilk olarak 2023 ortalarinda ortaya cikmis ve Rusca konusan tehdit aktorleri tarafindan gelistirildigi dusunulmektedir. Grup, baslangictan itibaren RaaS modeli ile affiliate agini olusturmaya basladi. 2024: Aktif Operasyonlar Grup, 2024 yilinda cesitli sektorlerde saldirilar gerceklestirdi. Agustos 2024'te tespit edilen saldirilar sunlari iceriyordu: - arkworkplacerisk.co.uk (~200 GB veri calindi) - First Texas Alliance Corp (FTAC) - carri.com - Consorzio Innova (225 GB veri - calislanlar, musteriler ve veritabanlari) 2025: Artan Aktivite Bugune kadar AlphaLocker 17 kurban iddia etmistir, ancak 2025 baslarindan bu yana aktivitede artis olmustur. 2025 Saldirilari: - Gazomet.pl ve cgas.pl (Polonya, 8 Eylul 2025) - ipathpr.com (ABD, 8 Eylul 2025) - www.unterkofler.info (Avusturya, 3 Kasim 2025) - www.sonoshowmoveis.com.br (Brezilya, 29 Eylul 2025) Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2023-2026) - Toplam Iddia Edilen Kurban: 17+ - 2024-2026 Dogrulanmis Saldiri: 13+ - Ilk Ortaya Cikis: 2023 Ortasi - Teknik Temel: EDA2 projesi - Operasyonel Model: RaaS (Affiliate sistemi) Cografi Dagilim - Polonya - ABD - Avusturya - Brezilya - Ingiltere - Italya Hedef Sektorler - Is Hizmetleri - Risk Yonetimi - Finans - Uretim - Teknoloji Teknik Altyapi ve Alpha Panel Alpha Panel Ozellikleri AlphaLocker, affiliate'lerin zararli yazilimi dagitmasina izin veren Alpha Panel adli bir yonetim paneli uzerinden faaliyet gostermektedir: - Gercek fidye yazilimina erisim - Kurban giris istemi - Indirilebilir destek dosyalari - Kisisel sifreler cozme anahtari ureteci Affiliate Sistemi AlphaLocker, basit bir kontrol paneliyle affiliate sistemi kullanmaktadir ve daha az yetenekli saldirganlarin saldiri baslatmasina olanak tanmaktadir. Affiliate'ler genellikle paylasilan domain'ler veya sunucular kullanarak birden fazla sektoru hedef almakta ve ayni kaynaklardan tekrar saldirilar gerceklesmesine yol acmaktadir. Sifreleme Teknolojisi Calistirildiginda, zararli yazilim kurbanlarin dosyalarini kendi benzersiz RSA sifreli AES anahtarlariyla kilitler ve genellikle varligini duyurmak icin enfekte bilgisayardaki masaustu arka planini degistirir. Ilk Erisim Vektorleri AlphaLocker enfeksiyonlari genellikle su yollarla baslamaktadir: **Kimlik Avi E-postalari (T1566)** Zararli ekler veya baglantilar iceren e-postalar. **Enfekte Ekler** Zararli yazilim tasyan belgeler veya dosyalar. **Calinan Kimlik Bilgileri (T1078)** Ele gecirilmis hesap bilgileri ile erisim. **Yamasiz Zafiyetler (T1190)** Bazi tehdit aktorleri yamasiz zafiyetleri istismar etmektedir. **Uzaktan Erisim Hizmetleri** Internet tarayici eklentileri ve yanlis yapilandirilmis yonetici panelleri dahil uzaktan erisim hizmetleri istismar edilmektedir. MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing - T1078 - Valid Accounts - T1190 - Exploit Public-Facing Application - T1133 - External Remote Services **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API - T1204 - User Execution **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1112 - Modify Registry **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1491 - Defacement (masaustu degisikligi) Cift Gasp Taktikleri Veri Sizdirma ve Tehdit Alpha fidye yazilimi grubu, dosyalari sifreleyerek ve gizli verileri calarak cift gasp taktikleri kullanmaktadir. Fidye odenmezse verileri bir veri sizdirma sitesinde veya Tor sitesi uzerinden dark web'de yayinlamakla tehdit etmektedir. Sizdirma Sitesi Grup, odeme yapmayan kurbanlarin verilerini yayinlamak icin ozel bir sizdirma sitesi isletmektedir. EDA2 Projesi Mirasi EDA2 Nedir? AlphaLocker'in EDA2 projesine dayandigi dusunulmektedir. EDA2, egitim amaclı olustuurulmus acik kaynakli bir fidye yazilimi projesidir, ancak kotu niyetli aktorler tarafindan kotuye kullanilmistir. Miras Etkileri EDA2 temeli: - Kanitlanmis sifreleme mekanizmalari - Bilinen kod yapisi - Surekli gelistirme potansiyeli saglamaktadir. Onemli Saldirilar ve Vaka Incelemeleri Ark Workplace Risk (Agustos 2024) - Hedef: arkworkplacerisk.co.uk - Sizdirilan Veri: ~200 GB - Sektor: Risk Yonetimi/Is Hizmetleri Consorzio Innova (Agustos 2024) - Hedef: Italya merkezli konsorsiyum - Sizdirilan Veri: 225 GB - Iceriks: Calislan verileri, musteri bilgileri, veritabanlari Polonya Gaz Sirketleri (Eylul 2025) - Hedefler: Gazomet.pl ve cgas.pl - Sektor: Enerji/Gaz - Cografi: Polonya ABD Saglik Hizmetleri (Eylul 2025) - Hedef: ipathpr.com - Sektor: Saglik - Cografi: ABD Korunma Stratejileri ve Oneriler Kimlik Avi Savunmasi AlphaLocker'in kimlik avi vektoru goz onune alindiginda: **E-posta Filtreleme** - Gelismis e-posta filtreleme cozumleri - Sandbox analizi - Baglanti ve ek taramasi **Calislan Egitimi** - Kimlik avi farkindalik egitimi - Simulasyon testleri - Raporlama mekanizmalari Kimlik Bilgisi Guvenligi **MFA Zorunlulugu** - Tum hesaplarda MFA - Yonetim panellerinde MFA - Uzaktan erisimde MFA **Parola Politikalari** - Guclu, benzersiz parolalar - Duzenli rotasyon - Parola yoneticileri Yonetim Paneli Guvenligi Yanlis yapilandirilmis panellerin istismari goz onune alindiginda: - Varsayilan kimlik bilgilerini degistirin - Gereksiz yonetim arayuzlerini kapatin - IP beyaz listeleri uygulayin - Erisim loglarini izleyin Tarayici Guveniligi Tarayici eklenti istismari goz onune alindiginda: - Eklenti beyaz listeleri - Duzenli eklenti denetimleri - Guvenlik eklentileri kullanin Endpoint Guvenligi **EDR Cozumleri** - Gelismis EDR konuslandirin - RSA/AES sifreleme aktivitesini izleyin - Masaustu degisikliklerini tespit edin **Uygulama Kontrolu** - Onaylanmamis uygulamalari engelleyin - Beyaz liste politikalari Yedekleme Stratejisi - Cevrimdisi ve degistirilemez yedekler - 3-2-1 yedekleme kurali - Duzenli kurtarma testleri Gelecek Ongoruleri 2025-2026 Aktivite 2025 baslarindan bu yana artan aktivite goz onune alindiginda: - Saldiri hacminin artmasi beklenmektedir - Yeni cografi bolgelerin hedeflenmesi muhtemeldir - Affiliate aginin genislemesi olasıdır RaaS Model Evrimi Alpha Panel'in basit yapisi: - Daha fazla dusuk yetenekli saldirganin katilimi - Saldiri sayisinda artis - Hedef cesitliliginde artis anlamina gelmektedir. Sonuc AlphaLocker, 2023 ortalarinda ortaya cikan ve Alpha Panel araciligiyla affiliate'lere kolay erisim saglayan bir RaaS operasyonudur. EDA2 projesine dayanan teknik temeli ve basit affiliate sistemi, dusuk yetenekli saldirganların bile saldiri baslatmasina olanak tanmaktadir. 2024'teki Ark Workplace Risk (200 GB) ve Consorzio Innova (225 GB) saldirilari ile 2025'te Polonya gaz sirketleri ve ABD saglik hizmetleri hedeflemesi, grubun cesitli sektorleri ve cografyalari hedef aldigini gostermektedir. 2025 baslarindan bu yana artan aktivite, grubun buyumeye devam ettigine isaret etmektedir. Organizasyonlar, ozellikle kimlik avi savunmasi, yonetim paneli guvenligi ve kimlik bilgisi koruma alanlarında kapsamli onlemler almalidir. RSA sifreli AES anahtarlari ve cift gasp taktikleri, AlphaLocker'i ciddi bir tehdit haline getirmektedir. Proaktif guvenlik durus ve guclu yedekleme stratejileri, bu tehditlere karsi en etkili savunma yaklasimini olusturmaktadir....

Securotrop Ransomware Nedir? Securotrop, Temmuz 2025'te ilk kez tespit edilen ve ozellikle uretim sektorunu hedef alan aktif bir fidye yazilimi grubudur. Cift gasp taktikleri kullanan grup, kurban sistemlerini sifreleyerek ve buyuk miktarlarda veri sizdirarak fidye talep etmektedir. Tor agi uzerinde NGINX sunuculari calistiran veri sizdirma sitesi (securo45z554mw7rgrt7wcgv5eenj2xmxyrsdj3fcjsvindu63s4bsid.onion) isletmektedir. 2024-2026 doneminde 29 dogrulanmis kurban ile grup, agirlikli olarak Amerika Birlesik Devletleri ve Kanada'daki organizasyonlari hedef almistir. Saldiri basina 149 GB'dan 3 TB'a kadar veri sizdirma kapasitesi, grubun buyuk olcekli veri hirsizligi yeteneklerini gostermektedir. Tarihsel Gelisim ve Evrim Temmuz 2025: Ortaya Cikis Securotrop, 22 Temmuz 2025'te ilk kez tespit edilmistir. Grup, ortaya cikisinin hemen ardindan aktif saldiri kampanyalarina baslamistir. Temmuz-Ocak 2025-2026: Aktif Operasyonlar Grup, Temmuz 2025'ten Ocak 2026'ya kadar surekli operasyonlar yurutmustur. Bu donemde 29 kurban raporlanmistir. Ocak 2026: En Son Aktivite En son kesfedilen saldiri 13 Ocak 2026 tarihlidir. Rapor tarihinde 19 gun inaktif olmasina ragmen, grup aktif olarak faaliyet gostermeye devam etmektedir. Saldiri Talep Gecikmesi Securotrop'un ortalama saldiri talep gecikmesi 18.3 gundur - bu, Radar gibi gruplardan cok daha hizli bir operasyonel tempo gostermektedir. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2025-2026) | Metrik | Deger | |--------|-------| | Toplam Dogrulanmis Kurban | 29 | | Ilk Tespit | 22 Temmuz 2025 | | En Son Tespit | 13 Ocak 2026 | | Ortalama Talep Gecikmesi | 18.3 gun | | Infostealer Korelasyonu | %4.2 | | Veri Sizdirma Araligi | 149 GB - 3+ TB | | Operasyonel Model | Cift Gasp | Sektor Bazli Dagilim | Sektor | Kurban Sayisi | Yuzde | |--------|---------------|-------| | Uretim | 10 | %34.5 | | Is Hizmetleri | 4 | %13.8 | | Insaat | 3 | %10.3 | | Telekomunikasyon | 2 | %6.9 | | Tuketici Hizmetleri | 1 | %3.4 | | Diger sektorler | 9 | %31.0 | Cografi Dagilim | Ulke | Kurban Sayisi | Yuzde | |------|---------------|-------| | Amerika Birlesik Devletleri | 20 | %69.0 | | Kanada | 6 | %20.7 | | Birlesik Krallik | 1 | %3.4 | | Diger bolgeler | 2 | %6.9 | Kurban Profili Securotrop'un hedefleri arasinda: - Uretim firmalari - Danismanlik sirketleri - Hizmet saglayicilari - Telekomunikasyon sirketleri Teknik Altyapi Tor Veri Sizdirma Sitesi Grup, Tor aginda ozel bir veri sizdirma sitesi isletmektedir: **Onion Adresi** ``` securo45z554mw7rgrt7wcgv5eenj2xmxyrsdj3fcjsvindu63s4bsid.onion ``` **Sunucu Yapilandirmasi** - NGINX sunuculari uzerinde calisir - Veri sizdirma ve kurban listeleme icin kullanilir Veri Sizdirma Kapasitesi Securotrop, buyuk miktarlarda veri sizdirma kapasitesine sahiptir: - Minimum: 149 GB - Maksimum: 3+ TB - Olay basina degiskenlik gostermektedir Infostealer Korelasyonu Tanimlanabilir domainlere sahip kurbanlarin %4.2'sinde infostealer veri korelasyonu tespit edilmistir. Bu, grubun: - Sinirli duzeyde infostealer ekosisteminden faydalandigini - Cogunlukla diger ilk erisim vektorlerini tercih ettigini gostermektedir. Saldiri Metodolojisi Ilk Erisim Vektorleri **Kimlik Avi (T1566)** Zararli ekler veya bagllantilar iceren hedefli e-postalar. **Gecerli Hesaplar (T1078)** Ele gecirilmis veya calinti kimlik bilgileri ile erisim. **Uzaktan Erisim Hizmetleri (T1133)** VPN, RDP ve diger uzaktan erisim noktalarinin istismari. **Kamusal Uygulama Istismari (T1190)** Kamuya acik uygulamalardaki zafiyetlerin istismari. Saldiri Akisi 1. **Ilk Erisim**: Kimlik avi veya uzaktan erisim istismari 2. **Kesif**: Hedef ag ve sistemlerin haritandirilmasi 3. **Yanal Hareket**: Ag icinde yayilma 4. **Veri Sizdirma**: Buyuk miktarlarda veri calinmasi (149 GB - 3+ TB) 5. **Sifreleme**: Sistemlerin kilitlenmesi 6. **Hizli Duyuru**: Ortalama 18.3 gun icinde kamuya talep 7. **Sizdirma**: Odeme yapilmazsa verilerin onion sitesinde yayinlanmasi MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing - T1078 - Valid Accounts - T1133 - External Remote Services - T1190 - Exploit Public-Facing Application **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API - T1204 - User Execution **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution - T1078 - Valid Accounts **Ayricalik Yukseltme (TA0004)** - T1068 - Exploitation for Privilege Escalation - T1078 - Valid Accounts **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal - T1490 - Inhibit System Recovery **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery - T1135 - Network Share Discovery **Yanal Hareket (TA0008)** - T1021 - Remote Services - T1570 - Lateral Tool Transfer **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Cift Gasp Taktikleri Operasyonel Model Securotrop, agresif bir cift gasp modeli kullanmaktadir: **Buyuk Olcekli Veri Sizdirma** Saldiri basina 149 GB'dan 3+ TB'a kadar veri caliyor. **Sifreleme** Kurban sistemleri kilitleniyor. **Hizli Duyuru** 18.3 gunluk ortalama gecikme ile hizli kamuya duyuru yapiliyor. **Onion Sizdirma Sitesi** Odeme yapilmazsa veriler ozel onion sitesinde yayinlaniyor. Uretim Sektoru Odagi Neden Uretim? Securotrop'un uretim sektorune odagi (10 kurban ile en cok hedef alinan sektor) cesitli nedenlere bagli olabilir: **Operasyonel Teknoloji (OT)** Uretim tesisleri kesintilere karsi hassastir ve uretim durmalari maliyetlidir. **Tedarik Zinciri Etkisi** Uretim kesintileri genis tedarik zincirlerini etkiler. **Veri Degeri** Uretim firmalari fikri mulkiyet, tasarim dosyalari ve musteri bilgileri tasir. **Fidye Odeme Kapasitesi** Orta ve buyuk olcekli uretim firmalari fidye odeme kapasitesine sahiptir. Kuzey Amerika Odagi ABD (%69) ve Kanada (%21) ile Kuzey Amerika, Securotrop'un birincil hedef bolgesidir. Bu, grubun: - Ingilizce konusan pazarlara odaklandigini - Yuksek degerli Kuzey Amerika hedeflerini tercih ettigini gostermektedir. Korunma Stratejileri ve Oneriler Buyuk Olcekli Veri Sizdirma Tespiti Securotrop'un 149 GB - 3+ TB veri sizdirma kapasitesi goz onune alindiginda: **Ag Izleme** - Buyuk veri transferlerini tespit edin - Anormal cikis trafiigini izleyin - Bandwidth anomalilerini algilayın **DLP Cozumleri** - Veri kaybi onleme cozumleri konuslandirin - Hassas veri transferlerini engelleyin - Veri siniflandirma uygulayin **Sizdirma Penceresi** TB olceginde veri sizdirma zaman alir - bu pencereyi tespit etmek kritiktir. Uretim Sektoru Ozel Onerileri **OT/IT Segmentasyonu** - Uretim sistemlerini kurumsal IT'den izole edin - OT ag segmentasyonu uygulayin **Uretim Surekliligi** - Yedek uretim planlari hazirlayin - Manuel operasyon prosedurlerini guncel tutun **Fikri Mulkiyet Koruma** - Tasarim dosyalarini sifreleyin - Erisim kontrolu uygulayin Kimlik Bilgisi Guvenligi **MFA Zorunlulugu** Tum hesaplarda cok faktorlu kimlik dogrulama zorunlu kilin. **Parola Politikalari** Guclu, benzersiz parolalar zorunlu kilin. **Kimlik Bilgisi Izleme** Sizdirilmis kimlik bilgileri icin dark web izlemesi yapin. Yedekleme Stratejisi **3-2-1-1 Kurali** - 3 kopya veri - 2 farkli ortam - 1 cevrimdisi kopya - 1 degistirilemez kopya **Kurtarma Testleri** - Duzenli yedekleme dogrulama - Felaket kurtarma tatbikatlari Tehdit Istihbarati - Securotrop onion sitesini izleyin (securo45z554mw7rgrt7wcgv5eenj2xmxyrsdj3fcjsvindu63s4bsid.onion) - Uretim sektorune ozel tehdit istihbaratini takip edin - Kuzey Amerika odakli kampanyalari izleyin Gelecek Ongoruleri 2026 Beklentileri **Saldiri Hacmi** 29 kurban ve devam eden aktivite, 2026'da artis beklentisini desteklemektedir. **Sektor Genislemesi** Uretim odaginin korunmasi ile birlikte is hizmetleri ve insaat sektorlerinde genisleme olasıdır. **Veri Sizdirma Olcegi** TB olceginde veri sizdirma kapasitesi, buyuk olcekli saldirilarin devam edecegini gostermektedir. Hizli Operasyonel Tempo 18.3 gunluk ortalama gecikme, Securotrop'un: - Agresif bir operasyonel tempo izledigini - Hizli kamuya duyuru ile baski uyguladigini - Kurbanlara sinirli muzakere suresi tandigini gostermektedir. Sonuc Securotrop, 22 Temmuz 2025'te ilk kez tespit edilen ve uretim sektorunu agirlikli olarak hedef alan aktif bir fidye yazilimi grubudur. 29 dogrulanmis kurban ile ABD (%69) ve Kanada (%21) birincil hedeflerdir. Grubun teknik altyapisi - securo45z554mw7rgrt7wcgv5eenj2xmxyrsdj3fcjsvindu63s4bsid.onion adresindeki NGINX tabanli Tor sizdirma sitesi - izleme icin degerli bir gosterge saglamaktadir. 149 GB'dan 3+ TB'a kadar veri sizdirma kapasitesi, buyuk olcekli veri hirsizligi yeteneklerini ortaya koymaktadir. 18.3 gunluk ortalama talep gecikmesi, grubun agresif bir operasyonel tempo izledigini gostermektedir - bu, hizli kamuya duyuru ve kurbanlar uzerinde artan baski anlamina gelmektedir. Organizasyonlar, ozellikle buyuk olcekli veri sizdirma tespiti, uretim sektorune ozel koruma ve OT/IT segmentasyonu alanlarinda kapsamli onlemler almalidir. Securotrop'un TB olceginde veri sizdirma kapasitesi, ag izleme ve DLP cozumlerinin kritik onemini vurgulamaktadir....

Underground Ransomware Grubu, güvenlik araştırmacıları tarafından yeni bir tehdit olarak belirlendi. Detayları ve korunma yolları aşağıda belirtilmiştir. Teknik Özellikler Underground Ransomware, kısmen açık kaynak kodlu bir ransomware olduğu için oldukça karmaşık bir yapı sergilemektedir. Bulaşma ve şifreleme süreci oldukça hızlıdır ve çeşitli güvenlik duvarlarından sıyrılma yeteneği vardır. İşleyiş E-posta yoluyla bir ek dosya veya link yoluyla cihazlara bulaşır. Bulaşma anından itibaren tüm sistem dosyalarınızı şifrelemeye başlar ve dosyalarınıza tekrar erişiminizin sağlanması için fidye talep eder. Etki Alanı Bu ransomware çoğunlukla büyük kuruluşları ve devlet kurumlarını hedef alır. Özellikle güvenlik açığı olan sistemlere yoğunlaşmıştır. Son İstatistikler Son istatistiklere göre, Underground Ransomware saldırıları son 6 ayda %200 artış gösterdi. Neden Tehlikeli? Hedef aldığı kurumların önemli bilgilerini şifreleyip, fidye talep ederek hem finansal zararlara hem de itibar kaybına yol açar. Dahası karşı önlem alınmadığı sürece saldırılarını sürdürür. Korunma Yolları Bağlantısız yedekler oluşturmanın yanı sıra, gereksiz yazılım ve hizmetleri kaldırmak ransomware saldırılarına karşı en iyi savunma yöntemlerinden biridir. Ayrıca güvendeğini bilmediğiniz hiçbir dosya veya linki açmamalısınız....

Werewolves, bilgisayar kullanıcılarına ciddi hasar verme potansiyeli olan bir ransomware grubudur. Teknik Özellikler Werewolves ransomware, genellikle zararlı e-posta eklerinden, sahte yazılım güncellemelerinden veya tehlikeli web sitelerini ziyaret etmek yoluyla sistemlere sızmaktadır. Dosyalarınızı şifreler ve bunları geri almak için fidye talep eder. İşleyiş Sisteme sızdıktan sonra, Werewolves tüm dosyalarınızı şifreler ve ardından bir fidye notu bırakır. Fidyeyi ödemezseniz, dosyalarınızı sonsuza dek kaybetme riskiyle karşılaşırsınız. Etki Alanı Werewolves genellikle küçük ve orta ölçekli işletmeleri, devlet kurumlarını ve bireysel kullanıcıları hedef alır. Son İstatistikler 2021 yılında, Werewolves arkasında önemli bir etki bıraktı. Milyonlarca kullanıcıdan yüksek miktarda fidye talep etti ve complainler sürekli artmaktadır. Neden Tehlikeli? Werewolves ransomware'ı tehlikeli kılan, dosyalarınıza ne zaman veya nasıl ulaşacağı bilinmezliğidir. Ayrıca, fidyeyi ödemek genellikle probleminizi çözmez çünkü werewolves genellikle fidye tahsil ettikten sonra da dosyaları açmaz. Korunma Yolları Werewolves ransomware'ından korunmanın en iyi yolu, güncel bir güvenlik yazılımı kullanmaktır. Ayrıca, mümkün olan her yerde iki faktörlü kimlik doğrulama kullanmak ve her zaman kritik dosyalarınızın yedeğini almak önemlidir. Sonuç olarak, werewolves ransomware tehlikeli bir tehdittir ve buna karşı önlem almaya değer. Bilgisayarınızı ve kişisel verilerinizi korumak için gerekli adımları bugün atın....

BlackNevas Ransomware Nedir? BlackNevas (Trial Recovery olarak da bilinir), Kasim 2024'te ilk kez tanimlanan ve hizla Asya, Avrupa ve Kuzey Amerika'ya yayilan bir fidye yazilimi operasyonudur. Trigona fidye yazilimi ailesinin bir turevi veya varyasyonu olan BlackNevas, saglik, finans, uretim ve hukuk hizmetleri gibi kritik sektorleri hedef almaktadir. Tipik Ransomware-as-a-Service (RaaS) modelinin disinda bagimsiz olarak faaliyet gosteren grup, cift gasp taktikleri ile kurbanlarini baskiya almaktadir. 2024-2026 doneminde 24'un uzerinde dogrulanmis saldiri gerceklestiren BlackNevas, Windows, Linux, NAS cihazlari ve VMware ESXi platformlarini hedefleyebilmektedir. AES-256 (simetrik anahtar) ve RSA-4112 (genel anahtar) OFB modunda sifreleme kombinasyonu, guclu bir teknik altyapi sundugunu gostermektedir. Tarihsel Gelisim ve Evrim Kasim 2024: Ortaya Cikis BlackNevas fidye yazilimi, Kasim 2024'te ilk kez tanimlanmistir. Bu tarihten itibaren grup, hizla kuresel capda saldirilar gerceklestirmeye baslamistir. 2025: Kuresel Yayilim Grup, Asya, Avrupa ve Kuzey Amerika'ya hizla yayilmistir. Saglik, finans, uretim, hukuk ve telekomunikasyon sektorleri hedef alinmistir. Temmuz-Agustos 2025: Aktif Saldiri Donemi Bu donemde cesitli organizasyonlara saldirilar gerceklestirilmistir: - Dragonfly CO. LTD (Guney Kore, Temmuz 2025) - LEARN (ABD, Mayis 2025) - TANI & ABE (Japonya) - CK Power Public Company Limited (Tayland) Agustos 2025: Guvenlik Analizi Raporlari CYFIRMA ve ASEC gibi guvenlik firmalarinin detayli analiz raporlari bu donemde yayinlanmistir. Trigona ile olan baglanti ve teknik ozellikler belgelenmistir. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2024-2026) - Toplam Dogrulanmis Saldiri: 24+ - Ilk Teshis: Kasim 2024 - Bilinen Kurban (Dark Web): 12+ - Hedef Platformlar: Windows, Linux, NAS, VMware ESXi - Sifreleme: AES-256 + RSA-4112 (OFB modu) - Dosya Uzantisi: .-encrypted veya .ENCRYPTED Sektor Bazli Dagilim - Saglik - Finans - Uretim - Hukuk hizmetleri - Telekomunikasyon - Egitim - Enerji Cografi Dagilim - Asya (Japonya, Guney Kore, Tayland) - Avrupa - Kuzey Amerika (ABD) 2025 Onemli Saldirilari TANI & ABE (Japonya) TANI & ABE, koklu bir Japon fikri mulkiyet hukuk firmasi, Blacknevas Ransomware tarafindan ele gecirilmistir. Hukuk sektorunun hassas veriler nedeniyle yuksek risk altinda oldugunu gosteren onemli bir ornektir. CK Power Public Company Limited (Tayland) Tayland ve Laos Demokratik Halk Cumhuriyeti'nde elektrik ve buhar ureten ve satan CK Power Public Company Limited, Blacknevas Ransomware tarafindan ele gecirilmistir. Enerji sektorunun de hedef alindigini ortaya koymaktadir. Dragonfly CO. LTD (Temmuz 2025) Seul merkezli Guney Koreli video oyunu gelistiricisi ve yayincisi Dragonfly CO. LTD, tahmini saldiri tarihi Temmuz 2025 olan bir saldiriya maruz kalmistir. LEARN (Mayis 2025) Bolgesel Egitim Hizmet Merkezi olan LEARN, tahmini saldiri tarihi Mayis 2025 olan bir saldiriya maruz kalmistir. Egitim sektorunun de hedef alindigini gostermektedir. Teknik Altyapi ve Saldiri Metodolojisi Trigona Baglantisi BlackNevas, Trigona fidye yazilimi ailesinin bir turevi veya varyasyonudur. Bu baglanti, ortak teknik ozellikleri ve kod yapisini aciklamaktadir. Sifreleme Teknolojisi **Sifreleme Algoritmalari** Dosya sifreleme, AES-256 (simetrik anahtar) ve RSA-4112 (genel anahtar) kombinasyonu ile OFB (output feedback) modunda gerceklestirilmektedir. **Dosya Uzantisi** Sifrelenen dosyalara ".-encrypted" uzantisi (bazen ".ENCRYPTED" olarak buyuk harfle) eklenmektedir. Platform Destegi BlackNevas, birden fazla platformu desteklemektedir: - Windows - Linux - NAS cihazlari - VMware ESXi SMB Numaralandirma ve Yayilma Trigona gibi, BlackNevas fidye yazilimi da SMB numaralandirma/yayilma yeteneklerine sahiptir. Bu, ag icinde hizli yayilma potansiyeli anlamina gelmektedir. Ilk Erisim Vektorleri BlackNevas payload'larinin ilk teslim yontemleri kampanyalar arasinda degisiklik gostermektedir: **Hedefli Kimlik Avi (T1566)** Spear phishing yoluyla dagitim gozlemlenmistir. **Bilinen Zafiyetlerin Istismari (T1190)** Bilinen zafiyetlerin istismari da gozlemlenmistir. MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing - T1078 - Valid Accounts - T1133 - External Remote Services - T1190 - Exploit Public-Facing Application **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API - T1204 - User Execution **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery - T1135 - Network Share Discovery (SMB) **Yanal Hareket (TA0008)** - T1021.002 - SMB/Windows Admin Shares - T1570 - Lateral Tool Transfer **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal - T1490 - Inhibit System Recovery **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Bagimsiz Operasyon ve Partner Modeli RaaS Modeli Disinda BlackNevas, tipik Ransomware-as-a-Service (RaaS) modelinin disinda bagimsiz olarak faaliyet gostermektedir. Partner Organizasyonlar Bu yazi itibariyle, grup kendi veri sizdirma sitesini (DLS) barindirmamaktadir ancak veri sizdirmalarini kolaylastirmak icin diger fidye yazilimi operasyonlariyla 'ortaklik' iddia etmektedir. Bu partner listesi sunlari icermektedir: - Kill Security - Hunters International - DragonForce - Blackout - Embargo Team - Mad Liberator Partner Modeli Sonuclari Bu partner yaklasimi, BlackNevas'in: - Kendi altyapisini minimum tutarak maliyet azalttigini - Yerlesik sizdirma platformlarindan faydalandigini - Diger gruplarla isbirligii icinde oldugunu gostermektedir. Cift Gasp Taktikleri Operasyonel Model BlackNevas, kuresel cift gasp tehdidi olarak evrilmistir: 1. **Sizma**: Hedef aga erisim 2. **Sizdirma**: Hassas verilerin calinmasi 3. **Sifreleme**: Dosyalarin kilitlenmesi 4. **Gasp**: Fidye talebi 5. **Yayinlama Tehdidi**: Partner sizdirma siteleri uzerinden yayinlama tehdidi Partner Sizdirma Siteleri BlackNevas, kendi DLS'sini barindirmak yerine partner organizasyonlarin sizdirma sitelerini kullanmaktadir. Bu, geleneksel RaaS modelinden farkli bir yaklasimi temsil etmektedir. Korunma Stratejileri ve Oneriler SMB Guvenligi BlackNevas'in SMB numaralandirma/yayilma yetenekleri goz onune alindiginda: **SMB Sertlestirme** - SMBv1'i devre disi birakin - SMB imzalama zorunlu kilin - Gereksiz SMB paylasimlarini kapatin **Ag Segmentasyonu** - SMB trafigini segmente edin - Kritik sistemleri izole edin - Mikro-segmentasyon uygulayin **Izleme** - SMB trafigini izleyin - Anormal baglanti kaliplarini tespit edin Coklu Platform Koruma **Windows Guvenligi** - EDR cozumleri konuslandirin - .-encrypted uzantisi icin uyarilar yapilandirin **Linux Guvenligi** - Linux sunucularini sertlestirin - Fidye yazilimi tespiti icin izleme yapilandirin **NAS Guvenligi** - NAS firmware'ini guncel tutun - Varsayilan kimlik bilgilerini degistirin - Gereksiz protokolleri devre disi birakin **ESXi Guvenligi** - ESXi sunucularini sertlestirin - Gereksiz hizmetleri devre disi birakin - Yonetim arayuzlerine erisimi sinirlandirin Yedekleme Stratejisi Guvenlik uzmanlari su onerilerde bulunmaktadir: **Cevrimdisi veya Degistirilemez Yedekler** Fidye yazilimisiz kurtarma icin cevrimdisi veya degistirilemez yedekleri muhafaza edin ve duzenli olarak test edin. **Ag Segmentasyonu** Fidye yaziliminin yanal olarak yayilmasini onlemek icin ag segmentasyonu yoluyla kritik varliklari izole edin. Tehdit Istihbarati - BlackNevas ve Trigona IOC'lerini izleyin - Partner organizasyonlarin (Kill Security, Hunters International, vb.) aktivitesini izleyin - Guvenlik firmalarinin raporlarini takip edin Gelecek Ongoruleri 2026 Beklentileri **Kuresel Yayilim** BlackNevas'in Asya, Avrupa ve Kuzey Amerika'daki aktivitesinin devam etmesi ve genislemesi beklenmektedir. **Partner Aginin Genislemesi** Daha fazla fidye yazilimi grubuyla ortaklik kurulmasi muhtemeldir. **Platform Cesitliligi** Windows, Linux, NAS ve ESXi hedeflemesinin devam etmesi beklenmektedir. Trigona Ailesi Evrimi BlackNevas'in Trigona turevi olmasi, bu fidye yazilimi ailesinin evriminin devam ettigini gostermektedir. Yeni varyantlarin ortaya cikmasi olasıdır. Sonuc BlackNevas, Kasim 2024'te ortaya cikan ve Trigona fidye yazilimi ailesinin turevi olan kuresel bir cift gasp tehdididir. AES-256 ve RSA-4112 OFB modunda sifreleme kombinasyonu, Windows, Linux, NAS ve ESXi platformlarini hedefleme yetenegi ve SMB yayilma kapasitesi, guclu bir teknik altyapiyi gostermektedir. Grubun bagimsiz operasyonel modeli ve Kill Security, Hunters International, DragonForce gibi gruplarla partner iliskiler, geleneksel RaaS modelinden farkli bir yaklasimi temsil etmektedir. Japonya, Guney Kore, Tayland ve ABD'deki saldirilar, kuresel erisimi vurgulamaktadir. Organizasyonlar, ozellikle SMB guvenligi, coklu platform koruma ve yedekleme stratejileri alanlarinda kapsamli onlemler almalidir. BlackNevas'in SMB yayilma yetenekleri, ag segmentasyonunun kritik onemini ortaya koymaktadir....

Radar Ransomware Nedir? Radar, Eylul 2025'te ilk kez tespit edilen ve ozellikle insaat, ulasim/lojistik ve finansal hizmetler sektorlerini hedef alan yeni bir fidye yazilimi grubudur. Cift gasp taktikleri kullanan grup, kurban sistemlerini sifreleyerek ve hassas verileri sizdirarak fidye talep etmektedir. Tor agi uzerinde NGINX sunuculari (1.23.1 ve 1.28.0 surumleri) calistiran veri sizdirma siteleri ve muzakere portallari isletmektedir. 2024-2026 doneminde 23 dogrulanmis kurban ile grup, ozellikle Amerika Birlesik Devletleri, Birlesik Krallik ve Avustralya'daki organizasyonlari hedef almistir. Saldirilarin %15'inde infostealer verileri tespit edilmesi, grubun daha genis bir siber suc ekosistemiyle baglantili olabilecegini gostermektedir. Tarihsel Gelisim ve Evrim Eylul 2025: Ortaya Cikis Radar, 10 Eylul 2025'te ilk kez tespit edilmistir. Grup, ortaya cikisinin hemen ardindan aktif saldiri kampanyalarina baslamistir. Eylul-Aralik 2025: Aktif Operasyonlar Grup, Eylul'den Aralik 2025'e kadar surekli operasyonlar yurutmustur. Bu donemde 23 kurban raporlanmistir. Aralik 2025: En Son Aktivite En son kesfedilen saldiri 1 Aralik 2025 tarihlidir. Grup, bu tarih itibariyle aktif olarak faaliyet gostermeye devam etmektedir. Saldiri Talep Gecikmesi Radar'in ortalama saldiri talep gecikmesi 146.7 gundur - bu, saldiri gerceklestikten sonra kamuya duyurulmasina kadar gecen ortalama suredir. Bu uzun gecikme, grubun fidye muzakerelerine oncelik verdigini ve basarisiz muzakereler sonrasinda sizdirma yaptigini gostermektedir. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2025-2026) | Metrik | Deger | |--------|-------| | Toplam Dogrulanmis Kurban | 23 | | Ilk Tespit | 10 Eylul 2025 | | En Son Tespit | 1 Aralik 2025 | | Ortalama Talep Gecikmesi | 146.7 gun | | Infostealer Korelasyonu | %15 | | Operasyonel Model | Cift Gasp | Sektor Bazli Dagilim | Sektor | Kurban Sayisi | |--------|---------------| | Insaat | 5 | | Ulasim/Lojistik | 2 | | Finansal Hizmetler | 2 | | Teknoloji ve diger sektorler | 14 | Cografi Dagilim | Ulke | Kurban Sayisi | Yuzde | |------|---------------|-------| | Amerika Birlesik Devletleri | 8 | %34.8 | | Birlesik Krallik | 3 | %13.0 | | Avustralya | 3 | %13.0 | | Diger bolgeler | 9 | %39.1 | Kurban Profili Radar'in hedefleri arasinda: - Bolgesel insaat muteahhitleri - Uluslararasi holding sirketleri - Ulasim ve lojistik sirketleri - Teknoloji isletmeleri Teknik Altyapi Tor Altyapisi Grup, Tor aginda uc tanimlanmis lokasyonda faaliyet gostermektedir: **Sunucu Yapilandirmasi** - NGINX surumu: 1.23.1 ve 1.28.0 - Islevler: Veri sizdirma siteleri ve muzakere portallari Teknik Gostergeler (IOC) Iki IOC belgelenmistir: - Oturum hash degeri - TOX tanimlayicisi Bu gostergeler, potansiyel zararli yazilim ailesi baglantilarina isaret etmektedir. Infostealer Baglantisi Kurbanlarin %15'inde infostealer verileri tespit edilmistir. Bu, grubun: - Infostealer ekosisteminden kimlik bilgileri elde ettigini - Ilk erisim icin calinti kimlik bilgilerini kullandigini - Daha genis siber suc agiyla baglantili olabilecegini gostermektedir. Saldiri Metodolojisi Ilk Erisim Vektorleri **Calinti Kimlik Bilgileri (T1078)** Infostealer baglantisi goz onune alindiginda, ele gecirilmis hesap bilgileri ile erisim. **Kimlik Avi (T1566)** Zararli ekler veya bagllantilar iceren hedefli e-postalar. **Uzaktan Erisim Hizmetleri (T1133)** VPN, RDP ve diger uzaktan erisim noktalarinin istismari. **Kamusal Uygulama Istismari (T1190)** Kamuya acik uygulamalardaki zafiyetlerin istismari. Saldiri Akisi 1. **Ilk Erisim**: Calinti kimlik bilgileri veya kimlik avi 2. **Kesif**: Hedef ag ve sistemlerin haritandirilmasi 3. **Yanal Hareket**: Ag icinde yayilma 4. **Veri Sizdirma**: Hassas verilerin calinmasi 5. **Sifreleme**: Sistemlerin kilitlenmesi 6. **Muzakere**: Tor portali uzerinden fidye muzakeresi 7. **Sizdirma**: Odeme yapilmazsa (146.7 gun sonra) verilerin yayinlanmasi MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing - T1078 - Valid Accounts (infostealer verileri) - T1133 - External Remote Services - T1190 - Exploit Public-Facing Application **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API - T1204 - User Execution **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution - T1078 - Valid Accounts **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal - T1490 - Inhibit System Recovery **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery - T1135 - Network Share Discovery **Yanal Hareket (TA0008)** - T1021 - Remote Services - T1570 - Lateral Tool Transfer **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Cift Gasp Taktikleri Operasyonel Model Radar, cift gasp modelini kullanmaktadir: **Veri Sizdirma** Sifreleme oncesinde hassas veriler caliyor. **Sifreleme** Kurban sistemleri kilitleniyor. **Muzakere** Tor tabanli portal uzerinden fidye muzakeresi yapiliyor. **Uzun Bekleme Suresi** 146.7 gunluk ortalama gecikme, grubun sabırla muzakere ettigini gosteriyor. **Yayinlama** Odeme yapilmazsa veriler sizdirma sitesinde yayinlaniyor. Insaat Sektoru Odagi Neden Insaat? Radar'in insaat sektorune odagi (5 kurban ile en cok hedef alinan sektor) cesitli nedenlere bagli olabilir: **Operasyonel Hassasiyet** Insaat projeleri zaman cizelgelerine baglidir ve kesintiler maliyetli olabilir. **Veri Degeri** Insaat firmalari teklifler, sozlesmeler ve musteri bilgileri gibi hassas veriler tasir. **Guvenlik Kaynaklari** Orta olcekli insaat firmalari sinirli siber guvenlik kaynaklarina sahip olabilir. Korunma Stratejileri ve Oneriler Infostealer Savunmasi Radar'in infostealer baglantisi goz onune alindiginda: **Endpoint Guvenligi** - EDR cozumleri konuslandirin - Infostealer tespiti icin guncel imzalar - Davranis analizi ve sandbox **Tarayici Guvenligi** - Parola yoneticileri kullanin (tarayici parola saklama yerine) - Oturum yonetimi ve timeout politikalari **Kimlik Bilgisi Izleme** - Calinti kimlik bilgileri icin dark web izlemesi - Sizdirilmis kimlik bilgileri icin uyarilar Kimlik Bilgisi Guvenligi **MFA Zorunlulugu** Tum hesaplarda cok faktorlu kimlik dogrulama zorunlu kilin. **Parola Politikalari** Guclu, benzersiz parolalar zorunlu kilin. Insaat Sektoru Ozel Onerileri **Proje Verisi Koruma** - Teklifler ve sozlesmeleri sifreleyin - Erisim kontrolu uygulayin **Tedarik Zinciri Guvenligi** - Alt yuklenici erisimini sinirlandirin - Ucuncu taraf risk degerlendirmesi yapin Yedekleme Stratejisi **3-2-1-1 Kurali** - 3 kopya veri - 2 farkli ortam - 1 cevrimdisi kopya - 1 degistirilemez kopya **Kurtarma Testleri** - Duzenli yedekleme dogrulama - Felaket kurtarma tatbikatlari Tehdit Istihbarati - Radar IOC'lerini (oturum hash, TOX ID) guvenlik araclariniza entegre edin - NGINX 1.23.1/1.28.0 tabanli Tor sitelerini izleyin - Infostealer ekosistemi trendlerini takip edin Gelecek Ongoruleri 2026 Beklentileri **Saldiri Hacmi** Radar'in aktivitesinin 2026'da devam etmesi ve artmasi beklenmektedir. **Sektor Genislemesi** Insaat odaginin korunmasi ile birlikte diger sektorlere genisleme olasıdır. **Infostealer Entegrasyonu** Calinti kimlik bilgilerinin kullanimi artacaktir. Uzun Talep Gecikmesi Stratejisi 146.7 gunluk ortalama gecikme, Radar'in: - Sessiz muzakere tercih ettigini - Kamuya duyuru oncesi fidye alma sansi artirdigini - Sabırli bir operasyonel yaklasim benimsedigini gostermektedir. Sonuc Radar, 10 Eylul 2025'te ilk kez tespit edilen ve insaat, ulasim/lojistik ve finansal hizmetler sektorlerini hedef alan yeni bir fidye yazilimi grubudur. 23 dogrulanmis kurban ile ABD, Birlesik Krallik ve Avustralya birincil hedeflerdir. Grubun teknik altyapisi - NGINX 1.23.1/1.28.0 calistiran Tor siteleri, oturum hash ve TOX tanimlayici IOC'leri - izleme ve tespit icin degerli gostergeler saglamaktadir. Kurbanlarin %15'inde infostealer verilerinin bulunmasi, daha genis siber suc ekosistemiyle baglantıyı ortaya koymaktadir. 146.7 gunluk ortalama talep gecikmesi, grubun sabırli bir muzakere stratejisi izledigini gostermektedir - bu, kamuya duyuru oncesi sessiz fidye muzakerelerini tercih ettiklerini isaret etmektedir. Organizasyonlar, ozellikle infostealer savunmasi, kimlik bilgisi guvenligi ve insaat sektorune ozel koruma alanlarinda kapsamli onlemler almalidir. Radar'in infostealer baglantisi, kimlik bilgisi hirsizligina karsi proaktif savunmanin kritik onemini vurgulamaktadir....

XingLocker Ransomware Grubu: Teknik Özellikler XingLocker, bilgisayarlara bulaşan ve sahiplerini fidye taleplerine tabi tutan bir bilgisayar virüsü türüdür. Ransomware adı altında farklı tür ve özelliklere sahip virüsler bulunmakta. Bu grup, kullanıcının önemli verilerini şifreler ve şifre çözülmeden erişim imkanı sunmaz. XingLocker, genellikle phishing e-postaları, arka planda çalışan zararlı scriptler ve hedeflenen saldırılar yoluyla bulaşır. İşleyiş ve Etki Alanı XingLocker, kullanıcının bilgisayarına bulaştıktan sonra önemli dosya ve belgeleri hedef alır. Bu belgelerin çoğu genellikle finansal ve kişisel veriler, belgeler, resimler, videolar ve daha fazlasını içerir. Bu virüs, dosyaları şifreler ve ardından bir fidye talebi oluşturur, genellikle Bitcoin olarak çözme anahtarının karşılığında fidye ister. Son İstatistikler XingLocker, global çapta birçok bilgisayar ve ağı etkiledi. Son istatistiklere göre, bu ransomware, dünya genelinde milyonlarca dolar zarara neden oldu. Özellikle küçük ve orta ölçekli işletmeler ve bireysel kullanıcılar hedef alındı. Neden Tehlikeli? XingLocker'ın en tehlikeli yanı, verilerinizi bir başka şekilde kurtarmanın zor olmasıdır. Şifrelenmiş veriler genellikle geri dönüşümsüz hasar görür veya kaybolur. Bunun yanı sıra, fidye ödeyerek verilerin geri alınacağının bir garantisi yoktur. Korunma Yolları XingLocker ve benzer ransomware türlerine karşı korunma yolları mevcuttur. Öncelikle, güncel bir antivirüs programına sahip olmak ve düzenli taramalar yapmak kritik öneme sahiptir. Dahası, önemli verilerinizin düzenli bir şekilde yedeklendiğinden emin olun. Phishing e-postalara ve bilinmeyen linklere tıklamaktan kaçının ve kullanmadığınız yazılımları bilgisayarınızdan kaldırın....

Cephalus Ransomware Nedir? Cephalus, Haziran 2025 ortasinda ortaya cikan ve Go programlama dilinde gelistirilmis yeni bir fidye yazilimi grubudur. Grubun adi, Artemis'ten "yanilmaz" bir mizrak alan Yunan mitolojisi karakteri Cephalus'tan gelmektedir - bu, grubun basari oranina olan guvenini yansitan bir isimdir. Finansal motivasyonlu oldugunu acikca belirten grup, MFA'siz RDP hesaplarini hedefleyerek calinti kimlik bilgileri uzerinden sistemlere sizmaktadir. Huntress analistleri tarafindan Agustos 2025'te arastirilan olaylarda, Cephalus'un mescru SentinelOne yurutulebilir dosyasini (SentinelBrowserNativeHost.exe) kullanarak DLL sideloading teknigi uygulayarak fidye yazilimini baslattigini ortaya cikmistir. 2024-2026 doneminde 19'un uzerinde dogrulanmis saldiri gerceklestiren grup, ozellikle hukuk firmalari, mimarlik ofisleri ve saglik kuruluslarini hedef almistir. Tarihsel Gelisim ve Evrim Haziran 2025 Ortasi: Ortaya Cikis Cephalus, Haziran 2025 ortasinda ilk kez ortaya cikan yeni bir fidye yazilimi grubudur. Grup, finansal kazanc ile %100 motive oldugunu acikca belirtmistir. Agustos 2025: Huntress Kesfii Huntress analistleri, 13 ve 16 Agustos 2025 tarihlerinde gerceklesen iki ayri olayin sorusturmasinda bu teknigi belirledi. Zararli yazilim, mescru SentinelOne guvenlik urunleri calıstiran organizasyonlara basariyla sizmistir. Agustos 2025: Kurban Listesi Genislemesi Agustos 2025'te grup, birden fazla kurbani hedef almistir: - Town of Vienna, VA - Lewis Baach Kaufmann Middlemiss PLLC - Lee & Associates - Sherman, Silverstein, Kohl, Rose & Podolsky, P.A. - Guerrero Mears LLP - LPL Financial - K Strategies Marketing and Public Relations - BAR Architects & Interiors Devam Eden Saldirilar Ek kurbanlar arasinda Shropdoc, Shelbourne Accountants, Delta Information Systems, Colorado Health Network Inc ve Texas Pregnancy Care Network yer almaktadir. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2025-2026) - Toplam Dogrulanmis Saldiri: 19+ - Ilk Ortaya Cikis: Haziran 2025 Ortasi - Gelistirme Dili: Go (Golang) - Dosya Uzantisi: .sss - Fidye Notu: recover.txt - Birincil Erisim: Calinti RDP kimlik bilgileri - Motivasyon: %100 Finansal Sektor Bazli Dagilim - Hukuk firmalari (buyuk odak) - Mimarlik ofisleri - Saglik kuruluslari - Finansal hizmetler - Pazarlama ve halkla iliskiler - Yerel yonetim Bilinen Kurbanlar (Agustos 2025) **ABD Kurumlari:** - Town of Vienna, VA (yerel yonetim) - Lewis Baach Kaufmann Middlemiss PLLC (hukuk) - Lee & Associates (gayrimenkul) - Sherman, Silverstein, Kohl, Rose & Podolsky, P.A. (hukuk) - Guerrero Mears LLP (hukuk) - LPL Financial (finans) - K Strategies Marketing and Public Relations (pazarlama) - BAR Architects & Interiors (mimarlik) **Diger Kurbanlar:** - Shropdoc - Shelbourne Accountants - Delta Information Systems - Colorado Health Network Inc - Texas Pregnancy Care Network Teknik Altyapi ve Saldiri Metodolojisi Go Dili Ozellikleri Cephalus, Go dilinde gelistirilmis bir fidye yazilimi soyusudur. Go dili secimi: - Platformlar arası potansiyel saglar - Statik derleme ile tek binary dagitimi mumkun kilar - Tersine muhendisligi zorlastirir Ilk Erisim: RDP Odagi Grubun organizasyonlara sizma ana yontemi, cok faktorlu kimlik dogrulama (MFA) etkin olmayan Remote Desktop Protocol (RDP) hesaplarinin kimlik bilgilerini calmasidir. Cephalus ekibi, kimlik bilgisi odakli giris ile denenmus ve gercek taktikler kullanmakta ve acik veya zayif korunmus RDP'li sistemleri hedefleyerek calinti veya yeniden kullanilan kimlik bilgileriyle giris yapmaktadir. MFA'nin zorunlu kilinmadigi durumlarda onemli basari elde etmektedirler. DLL Sideloading Teknigi Belki de Cephalus olaylarinin en ilginc kismi, fidye yaziliminin kendisini baslatmak icin benzersiz bir surec kullanmasidir: 1. **Mescru SentinelOne Yurutulebilir Dosyasi**: SentinelBrowserNativeHost.exe kullanilir 2. **DLL Sideloading**: Bu yurutulebilir dosya araciligiyla bir DLL sideload edilir 3. **Data.bin Yuklemesi**: DLL, gercek fidye yazilimi kodunu iceren data.bin dosyasini yukler Huntress analistleri, 13 ve 16 Agustos 2025 tarihlerinde gerceklesen iki ayri olayin sorusturmasinda bu teknigi belirledi. Zararli yazilim, mescru SentinelOne guvenlik urunleri calıstiran organizasyonlara basariyla sizmistir. Dinamik Analiz Atlatma Cephalus, sahte bir AES anahtari olusturarak dinamik analizi bozmaktadir. Sistem Hazirlik Asamasi Calistirildiginda fidye yazilimi: 1. **Windows Defender Devre Disi Birakma**: Gercek zamanli koruma devre disi birakilir 2. **VSS Yedeklerini Silme**: Volume Shadow Copy yedekleri silinir 3. **Kritik Hizmetlerin Durdurulmasi**: Sifreleme basari oranini artirmak ve kurtarma sansini azaltmak icin Veeam ve MSSQL gibi temel hizmetler durdurulur Veri Sizdirma Saldirganlar ayrica MEGA bulut depolama platformunu, muhtemelen veri sizdirma icin kullanmaktadir. MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1078 - Valid Accounts (calinti RDP kimlik bilgileri) - T1133 - External Remote Services (RDP) **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API - T1574.002 - DLL Side-Loading **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562.001 - Disable or Modify Tools (Windows Defender) - T1070 - Indicator Removal - T1490 - Inhibit System Recovery (VSS silme) - T1574.002 - DLL Side-Loading **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1567.002 - Exfiltration to Cloud Storage (MEGA) **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Fidye Notu ve Iletisim Dosya Sifreleme Fidye yazilimi, ag genelindeki dosyalari erisilemez hale getirir ve .sss uzantisiyla yeniden adlandirir. Fidye Notu Cephalus, sifrelenmis dosyalar iceren her dizine recover.txt adli fidye notlari birakir. Bu notlar: - Saldirganlarin verilerinizi caldigini aciklar - Iletisim talimatlari saglar - Baski artirmak icin genellikle onceki saldirilar hakkinda haber makalelerine baglantilar icerir Onceki Saldiri Referanslari En son Agustos saldirilarinda, fidye notu Cephalus'un iddia ettigi saldirilar hakkinda raporlara baglantilar icermekteydi. Bu raporlar, Cephalus'un daha once ABD mimarlik firmasi BAR Architects & Interiors ve ABD hukuk firmasi Sherman Silverstein'a yapilan saldirilarin sorumlulugunuu ustlendigini gostermektedir. Korunma Stratejileri ve Oneriler RDP Guvenligi Cephalus'un RDP odagi goz onune alindiginda: **MFA Zorunlulugu** Tum RDP erisiminde MFA zorunlu kilin - bu, Cephalus'un birincil erisim vektorunu engelleyen en kritik onlemdir. **RDP Erisilebilirliğii** - RDP'yi dogrudan internete acik tutmayin - VPN arkasina alin - Network Level Authentication (NLA) etkinlestirin **Kimlik Bilgisi Yonetimi** - Calinti kimlik bilgileri icin dark web izlemesi yapin - Guclu, benzersiz parolalar zorunlu kilin - Duzenli parola rotasyonu uygulayin DLL Sideloading Savunmasi **Uygulama Beyaz Listeleme** Yalnizca onaylanmis uygulamalarin calismasina izin verin. **DLL Izleme** - Beklenmedik DLL yuklemelerini izleyin - Mescru yurutulebilir dosyalarin sideloading icin kullanimini tespit edin - SentinelBrowserNativeHost.exe anormal kullanimini izleyin MEGA Sizdirma Tespiti **Ag Izleme** - MEGA'ya buyuk veri transferlerini tespit edin - Bulut depolama cikis trafiigini izleyin - DLP cozumleri konuslandirin Endpoint Guvenligi **EDR Cozumleri** - Gelismis EDR platformlari konuslandirin - .sss uzantisi icin uyarilar yapilandirin - Go tabanli fidye yazilimi tespiti icin yapilandirin **Windows Defender Koruma** - Tamper protection etkinlestirin - Gercek zamanli koruma devre disi bırakma girişimlerini izleyin VSS ve Yedekleme Koruma **Shadow Copy Koruma** - VSS silme girişimlerini tespit edin - vssadmin kullanimi izleyin **Yedekleme Stratejisi** - Cevrimdisi ve degistirilemez yedekler - 3-2-1-1 yedekleme kurali - Duzenli kurtarma testleri Kritik Hizmet Koruma **Veeam ve MSSQL Izleme** Cephalus'un bu hizmetleri durdurdugu goz onune alindiginda: - Hizmet durumu izleyin - Beklenmedik durdurmalar icin uyari yapilandirin - Hizmet koruma politikalari uygulayin Gelecek Ongoruleri 2026 Beklentileri **RDP Hedeflemesi** Cephalus ve benzeri gruplarin MFA'siz RDP hesaplarini hedeflemeye devam etmesi beklenmektedir. **DLL Sideloading Trendi** Mescru guvenlik yazilimi yurutulebilir dosyalarini kullanan DLL sideloading tekniklerinin diger gruplar tarafindan benimsenmesi muhtemeldir. **Go Tabanli Fidye Yazilimi** Go dilinde gelistirilen fidye yazilimi sayisinin artmasi beklenmektedir. Hukuk Sektoru Riski Cephalus'un hukuk firmalarini yogun sekilde hedeflemesi, bu sektorun 2026'da da yuksek risk altinda olacagini gostermektedir. Sonuc Cephalus, Haziran 2025'te ortaya cikan ve MFA'siz RDP hesaplarini calinti kimlik bilgileriyle hedefleyen Go tabanli bir fidye yazilimi grubudur. Grubun adi olan Cephalus (Artemis'ten "yanilmaz" mizrak alan karakter), basari oranina olan guvenlerini yansitmaktadir. En dikkat cekici teknik ozellik, mescru SentinelOne yurutulebilir dosyasini (SentinelBrowserNativeHost.exe) kullanarak DLL sideloading ile fidye yazilimini baslatmasidir. Bu teknik, mescru guvenlik urunleri calıstiran organizasyonlara bile basariyla sizmalarini saglamistir. Sherman Silverstein, BAR Architects & Interiors, LPL Financial ve Town of Vienna gibi kurbanlar, grubun hukuk, mimarlik, finans ve yerel yonetim sektorlerini hedefledigi ortaya koymaktadir. MEGA bulut depolama kullanan veri sizdirma ve .sss dosya uzantisi, grubun teknik imzalaridir. Organizasyonlar, ozellikle RDP guvenliği ve MFA zorunlulugu, DLL sideloading tespiti ve MEGA sizdirma izleme alanlarinda kapsamli onlemler almalidir. Cephalus'un RDP odagi, MFA'nin eksikligi durumunda ciddi sonuclara yol acabilecegini acikca gostermektedir....

Brotherhood Ransomware Nedir? Brotherhood, 2024 yilinda ortaya cikan ve hizla Amerika Birlesik Devletleri, Kanada ve Avustralya'daki organizasyonlara saldirilar baslatan yeni bir fidye yazilimi grubudur. Grubun kokenleri, populer yeralti forumu BlackForums'un BloodForge grubuyla kurdugu ittifaka dayanmaktadir. Bu ittifaktan, Ransomware-as-a-Service (RaaS) saglamayi amaclayan The Brotherhood organizasyonu dogmustur. Cift gasp taktikleri kullanan grup, iletisim, mimarlik, kuyumculuk ve ticaret gibi cesitli sektorleri hedef almaktadir. 2024-2026 doneminde 18'in uzerinde dogrulanmis saldiri gerceklestiren Brotherhood, 750 dolar gibi nispeten dusuk bir abonelik maliyetiyle affiliate'lere RaaS hizmeti sunmaktadir. Tarihsel Gelisim ve Evrim 2024: Ortaya Cikis ve Ittifak Populer yeralti forumu BlackForums'un arkasindaki ekip, Telegram kanalinda BloodForge grubuyla yeni bir ittifak kurdugunu duyurdu. Bu ittifaktan, Ransomware-as-a-Service (RaaS) saglamayi amaclayan The Brotherhood organizasyonu dogmustur. BloodForge RaaS Tanitimi Yeni BloodForge kanali daha sonra bu yeni RaaS'in ozelliklerini ve yeteneklerini tanitdi. O tarih itibariyle, BloodForge hizmeti 750 dolar maliyetle 10 aboneye satilmisti. 2024-2025: Kuresel Saldirilar Brotherhood, Amerika Birlesik Devletleri, Kanada ve Avustralya'daki organizasyonlara saldirilar gerceklestirmistir. Iletisim, mimarlik ve diger sektorler hedef alinmistir. 2025: Avustralya Odagi 2025 yilinda grup, Avustralya'daki birden fazla hedefe saldirmistir: - Cera Stribley (mimarlik ve ic tasarim) - Nina's Jewellery (kuyumculuk) - Kevmor Trade Supplies (ticaret malzemeleri) Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2024-2026) - Toplam Dogrulanmis Saldiri: 18+ - Ilk Ortaya Cikis: 2024 - RaaS Maliyet: 750 dolar - Ilk Abone Sayisi: 10 - Operasyonel Model: RaaS (Ransomware-as-a-Service) Sektor Bazli Dagilim - Iletisim - Mimarlik ve ic tasarim - Kuyumculuk (aile isletmeleri) - Ticaret malzemeleri - Diger sektorler Cografi Dagilim - Amerika Birlesik Devletleri - Kanada - Avustralya (onemli odak) 2025 Onemli Saldirilari Cera Stribley (Avustralya) Brotherhood fidye yazilimi grubu, Avustralya merkezli mimarlik ve ic tasarim firmasi Cera Stribley'e karsi siber saldirinin sorumlulugunuu ustlendi. Iddiaya gore: - Yaklasik 138 GB veri sizdirmistir - Talepleri karsilanmazsa tum calintı dosyalari yayinlamakla tehdit etmistir - "Ucretsiz ornek" olarak 2 GB veri yayinlamistir Raporlama sirasinda Cera Stribley'den kamuya acik bir onay gelmemistir. Nina's Jewellery (Avustralya) Aile isletmesi olan Avustralyali kuyumculuk isletmesi Nina's Jewellery, Kasim 2025 ortasinda bir fidye yazilimi saldirısına ugradigini bildirmistir. Brotherhood grubu sorumlulugu ustlenmistir. Iddiaya gore: - Veri elde etmislerdir - Sirket kendileriyle iletisme gecmedikce yayinlamakla tehdit etmektedirler Calintı bilgilerin tam hacmi ve hassasiyeti kamuya aciilamamistir. Kevmor Trade Supplies (Bati Avustralya) Tehdit aktorleri, Kevmor Trade Supplies'tan 45 gigabayt veri sizdirdiklerini iddia etmistir. Iddia edilen veriler: - Satis ve odeme belgeleri - E-tablolar - Diger veriler Teknik Altyapi ve Saldiri Metodolojisi BlackForums ve BloodForge Ittifaki Brotherhood'un kokenleri, BlackForums yeralti forumu ile BloodForge grubunun ittifakina dayanmaktadir. Bu isbirligi: - RaaS altyapisi saglamaktadir - Yeralti ekosistemi kaynaklarini birlestirmektedir - Affiliate agi olusturmaktadir RaaS Modeli **Abonelik Maliyeti** 750 dolar - nispeten dusuk bir giris bariyeri. **Ilk Aboneler** Hizmet baslatildiginda 10 abone raporlanmistir. **Yetenekler** BloodForge kanali tarafindan tanitilan ozellikler ve yetenekler. Ilk Erisim Vektorleri Brotherhood, modern fidye yazilimi gruplarinin standart ilk erisim vektorlerini kullanmaktadir: **Kimlik Avi (T1566)** Zararli ekler veya bagllantilar iceren hedefli e-postalar. **Gecerli Hesaplar (T1078)** Ele gecirilmis veya calinti kimlik bilgileri ile erisim. **Uzaktan Erisim Hizmetleri (T1133)** VPN, RDP ve diger uzaktan erisim noktalarinin istismari. MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing - T1078 - Valid Accounts - T1133 - External Remote Services - T1190 - Exploit Public-Facing Application **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API - T1204 - User Execution **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal - T1490 - Inhibit System Recovery **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery **Yanal Hareket (TA0008)** - T1021 - Remote Services - T1570 - Lateral Tool Transfer **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery Cift Gasp Taktikleri Operasyonel Model Brotherhood, standart cift gasp modelini kullanmaktadir: 1. **Sizma**: Hedef aga erisim 2. **Sizdirma**: Hassas verilerin calinmasi 3. **Sifreleme**: Sistemlerin kilitlenmesi 4. **Gasp**: Fidye talebi 5. **Yayinlama Tehdidi**: Odeme yapilmazsa verilerin yayinlanmasi "Ucretsiz Ornek" Taktigi Cera Stribley saldirisinda goruldugu gibi, grup 2 GB veriyi "ucretsiz ornek" olarak yayinlamistir. Bu taktik: - Saldirinin gercekligini kanitlar - Kurban uzerinde baski olusturur - Muzakere icin motivasyon saglar 2024-2025 Fidye Yazilimi Ekosistemi Baglami Grup Sayisindaki Patlama Gozlemciler, bu yil yeni gruplarin patlamasindan endise duymaktadir. MalwareBytes, Temmuz 2024 - Haziran 2025 arasinda 41 yeni grup takip etmis ve ayni anda 60'tan fazla fidye yazilimi cetesinin faaliyet gostermesini ilk kez kaydetmistir. Kuresel Istatistikler 2024'te kuresel fidye yazilimi saldirilari 5.414'e ulasarak 2023'e gore %11 artis gostermistir. Yavas bir baslangicin ardindan saldirilar Q2'de artmis ve Q4'te 1.827 olayla (yilin toplaminin %33'u) zirve yapmistir. Grup Parcalanmasi Kolluk kuvvetlerinin LockBit gibi buyuk gruplara yonelik operasyonlari parcalanmaya yol acmis, daha fazla rekabet ve daha kucuk cetelerin yukselisine neden olmustur. Aktif fidye yazilimi gruplarinin sayisi 2023'teki 68'den 2024'te 95'e cikmis - %40 artis. Korunma Stratejileri ve Oneriler Kucuk ve Orta Olcekli Isletme Guvenligi Brotherhood'un aile isletmeleri ve kucuk sirketleri hedeflemesi goz onune alindiginda: **Temel Guvenlik Kontrolleri** - MFA tum hesaplarda zorunlu kilin - Guclu parola politikalari uygulayin - Duzenli yedekleme yapin **Bütce Dostu Cozumler** - Bulut tabanli guvenlik hizmetleri - Yonetilen guvenlik hizmeti saglayicilari (MSSP) - Temel EDR cozumleri Kimlik Avi Savunmasi **E-posta Guvenligi** - Gelismis e-posta filtreleme cozumleri - Baglanti ve ek taramasi **Calislan Egitimi** - Kimlik avi farkindalik egitimi - Simulasyon testleri Kimlik Bilgisi Guvenligi **MFA Zorunlulugu** Tum hesaplarda MFA zorunlu kilin. **Parola Politikalari** Guclu, benzersiz parolalar zorunlu kilin. **Kimlik Bilgisi Izleme** Sizdirilmis kimlik bilgileri icin dark web izlemesi yapin. Yedekleme Stratejisi **3-2-1-1 Kurali** - 3 kopya veri - 2 farkli ortam - 1 cevrimdisi kopya - 1 degistirilemez kopya **Kurtarma Testleri** - Duzenli yedekleme dogrulama - Felaket kurtarma tatbikatlari Veri Sizdirma Tespiti **Ag Izleme** - Buyuk veri transferlerini tespit edin - Anormal cikis trafiigini izleyin **DLP Cozumleri** Veri kaybi onleme cozumleri konuslandirin. Gelecek Ongoruleri 2026 Beklentileri **RaaS Genislemesi** Brotherhood'un 750 dolarlik dusuk giris bariyeri, daha fazla affiliate cekmesine olanak taniyacaktir. **Avustralya Hedeflemesi** Grubun Avustralya odagi, bu bolgede saldirilarin devam etmesini gostermektedir. **Kucuk Isletme Riski** Aile isletmeleri ve kucuk sirketler yuksek risk altinda kalmaya devam edecektir. Yeralti Forum Ittifaklari BlackForums-BloodForge ittifaki, yeralti ekosistemindeki isbirliklerinin fidye yazilimi operasyonlarini nasil sekillendirdigini gostermektedir. Benzer ittifaklarin 2026'da da ortaya cikmasi beklenmektedir. Sonuc Brotherhood, 2024'te BlackForums ve BloodForge ittifakindan dogan bir RaaS operasyonudur. 750 dolarlik nispeten dusuk abonelik maliyeti, genis bir affiliate agi olusturma potansiyelini gostermektedir. Avustralya'daki Cera Stribley (138 GB), Nina's Jewellery ve Kevmor Trade Supplies (45 GB) saldirilari, grubun bolgede aktif oldugunu ve cift gasp taktiklerini etkili sekilde kullandigini ortaya koymaktadir. "Ucretsiz ornek" olarak 2 GB veri yayinlama taktigi, baski stratejilerini gostermektedir. ABD, Kanada ve Avustralya'daki iletisim, mimarlik ve kuyumculuk sektorleri hedef alınmıştır. Aile isletmeleri ve kucuk sirketlerin hedeflenmesi, sinirli guvenlik kaynaklarina sahip organizasyonlarin yuksek risk altinda oldugunu vurgulamaktadir. Organizasyonlar, ozellikle temel guvenlik kontrolleri, kimlik avi savunmasi ve yedekleme stratejileri alanlarında kapsamli onlemler almalidir. Brotherhood'un dusuk giris bariyerli RaaS modeli, kucuk ve orta olcekli isletmelerin hedef olmaya devam edecegini gostermektedir....

d4rk4rmy...

Trinity Ransomware, bir tür kötü niyetli yazılım olan ransomware'in incelenmesi ve bu tehdite karşı nasıl korunulacağına dair detayları içerir. Teknik Özellikler Trinity Ransomware tipik bir RaaS veya Ransomware as a Service modeliyle çalışır. Kodlanmasında büyük ölçüde JavaScript kullanılır ve ağ üzerinde yayılmasında en sık kullanılan teknik phishing saldırılarıdır. İşleyiş Trinity Ransomware bir kez bir sistemde olduğunda, şifreli bir ağa bağlanır ve siber suçluların komut ve kontrol merkeziyle temas kurar. Bilgisayardaki hassas dosyaları şifreler ve ardından saldırgan, kullanıcının dosyalarını tekrar erişilebilir kılmak için bir fidye ödeme talep eder. Etki Alanı Trinity Ransomware'in etki alanı genellikle şirketler, kamu kurumları ve özel kullanıcılar olmuştur. Kimi zaman, fidye yazılımı hedeflenen şirketlerin IT altyapısını kullanarak yayılır ve daha sonra çalışanların kişisel bilgilerini ve diğer hassas verileri şifreler. Son İstatistikler Trinity Ransomware, son birkaç aydır oldukça aktif olmuştur. En çok ABD, Kanada ve Avrupa'daki şirketler hedef alındı. Pek çok güvenlik firması tarafından yayılan tehdit raporlarına göre fidye talepleri genellikle 1000 ile 5000 dolar arasında değişiyor. Neden Tehlikeli? Trinity Ransomware özellikle tehlikeli çünkü şifreleme çıktılarını virüsten koruma yazılımlarını atlatabilecek şekilde uyarlar ve bu yüzden bazen tespit edilmez. Ayrıca, saldırganlar genellikle fidye ödemesi yapılsa bile dosyaları geri yüklemeleri konusunda güvenilmez olabilirler. Korunma Yolları Trinity Ransomware gibi fidye yazılımlara karşı korunmak için en iyi strateji, güncel bir antivirus yazılımı kullanmak ve düzenli olarak yedeklerinizi almayı ihmal etmemektir. Bunun yanısıra, bilinmeyen veya şüpheli e-posta eklerini açmamak da büyük bir yardımcı olabilir....

kawa4096...

Giriş: Apos ransomware grubu, genellikle istemcilerinin verilerini şifreleyerek fidye talep eden siber suçlular ve casuslar tarafından oluşturulan çok tehlikeli bir virüs türüdür. Tarihçe: Apos ransomware grubu, geçmişte çeşitli siber güvenlik sorunlarına neden olan ve hala dünya çapında aktif olan bir siber tehdittir. İlk kez 2019 yılında tespit edilmiştir. Teknik Özellikler: Apos ransomware, kurbanların sistemlerine sızmak için öncelikle e-posta eklentileri, hedeflerine erişmek için sosyal mühendislik taktikleri ve nihayetinde ödeme taleplerini içeren bir fidye notu bırakmak için gelişmiş algoritmalardan biri olan RSA şifrelemesini kullanır. İşleyiş: Apos ransomware, bir bilgisayara bulaştıktan sonra önemli dosyaları şifreler ve bir fidye notu bırakır. Bu nota, dosyaların nasıl çözüleceği ve fidyenin nasıl ödeneceği bilgileri dahildir. Etki Alanı: Apos ransomware, özellikle kurumsal şirketler ve hükümet kurumları olmak üzere tüm dünya çapında hedef alabilir. Son İstatistikler: Son istatistiklere göre, Apos ransomware saldırıları son birkaç yıl içinde istikrarlı bir şekilde artmıştır. Bu, bu tür siber saldırganların teknolojik altyapının sürekli olarak büyümesi ve karmaşıklığı nedeniyle daha fazla fırsat bulması anlamına gelir. Neden Tehlikeli: Apos ransomware, işletmeler ve bireyler için büyük bir sıkıntı ve maliyet olabilir. Bir Apos saldırısı, iş süreçlerini durdurabilir, mali kayıplara neden olabilir ve hatta bir işletmenin itibarına zarar verebilir. Genel Hedefleri: Apos ransomware, genellikle mali kazanç elde etmek için büyük kurumları ve hükümet kuruluşlarını hedef alıyor. Ayrıca, veri çalmak ve karışıklık yaratmak için de kullanılıyorlar. Saldırı Taktikleri: Apos ransomware, genellikle tehlikeli bağlantılar veya e-posta eklentileri içeren hedeflere yapılan saldırılarla yayılmaktadır. Önemli Olaylar: En önemli Apos ransomware saldırısının biri, 2020 yılında birçok şirketi hedef alan büyük bir saldırıdır. Bu saldırı, milyonlarca dolara mal oldu ve birçok kurumun işleyişini durdu. Korunma yolları: Apos ransomware'ye karşı korunmanın en etkili yolu, güncel bir antivirüs yazılımı kullanmak, düzenli yedeklemeler yapmak ve şüpheli e-posta eklentileri veya bağlantıları açmaktan kaçınmaktır....

Sparta Ransomware Grubu Giriş Dijital dünyanın en büyük tehditlerinden biri olan ransomware atakları, kritik verileri kilitleyerek kurbanlarından fidye talep eden zararlı yazılımları ifade eder. Sparta bir ransomware grubudur ve bu yazıda, tarihçesi, teknik özellikleri, işleyişi, etki alanı ve korunma yolları hakkında ayrıntılı bilgilere yer verilmiştir. Tarihçe Sparta Ransomware Grubu, ilk olarak 2016 yılında ortaya çıkmıştır. Farklı sektör ve bölgelerdeki kuruluşlara yönelik saldırıları ile bilinir. Teknik Özellikler Sparta, çok tehlikeli ve sofistike bir ransomware grubudur. AES-256 şifreleme algoritmasını kullanarak hedefinin dosyalarını kilitleyebilir. Bu, yüksek düzeyde güvenlik sağlar ve verilerin kurtarılmasını neredeyse imkansız hale getirir. İşleyiş Sparta, e-posta phishing saldırıları, exploit kitleri ve hedeflenmiş saldırılar gibi çeşitli yöntemlerle dağıtılır. Saldırıya uğrayan sistemler, grup tarafından talep edilen bir fidye karşılığında çözücü anahtarı almadan bu şifrelemeyi çözemezler. Etki Alanı Sparta, geniş bir coğrafyada aktif olarak saldırılarda bulunmuştur. Özellikle büyük firmalar ve devlet kuruluşları hedef alınmıştır. Ancak, küçük ve orta büyüklükteki işletmeler de risk altındadır. Son İstatistikler En son istatistiklere göre, Sparta'nın saldırıları son iki yılda %400 oranında artmıştır. Neden Tehlikeli Sparta’nın en büyük tehlikesi, kullanıldığı şifreleme türünün çözülmesinin neredeyse imkansız olmasıdır. Bu, mağdurların verilerini geri alabilmek için fidyeyi ödemekten başka bir seçeneği olmadığı anlamına gelebilir. Genel Hedefleri Sparta'nın genel hedefleri arasında büyük kuruluşlar, finansal kurumlar ve devlet kuruluşları bulunmaktadır. Saldırı Taktikleri Sparta genellikle e-posta phishing saldırıları ve exploit kitleri kullanır. Hedeflenen kurbanlarına sahte e-postalar göndererek veya zayıf noktaları kaşmak için kullanılan yazılımları yayarak saldırır. Önemli Olaylar Sparta, son zamanlarda birçok büyük firmanın sistemlerini başarılı bir şekilde infiltrasyon ve keşif yoluyla kullanıma kapattı. Korunma Yolları Sparta’ya karşı en etkili korunma yolu, güncel bir antivirüs yazılımı kullanmak ve sürekli veri yedekleme yapmaktır. Ayrıca, personelin güvenlik konusunda eğitilmesi ve sahte e-postalara tıklamaktan kaçınılması da önemlidir....

**Giriş** AzroTeam, veri şifreleme ve fidye talepleriyle birlikte bilgisayar sistemlerini hedef alan bir ransomware grubudur. **Tarihçe** AzroTeam, 2019 yılında dijital güvenlik sahasında yerini almış bir ransomware grubudur. **Teknik Özellikler** AzroTeam tipik ransomware özelliklerini taşır; öncelikle sisteminizdeki belgeleri, resimleri ve veritabanlarını şifreler, ardından fidye talebinde bulunur. **İşleyiş** Saldırı genellikle phishing e-postaları veya güvensiz web siteleri aracılığıyla gerçekleşir. Zararlı yazılım, sisteme bulaştıktan sonra verileri şifreler ve bir fidye notu bırakır. **Etki Alanı** Dünya genelinde pek çok kurumu ve bireyi etkilemiştir. **Son İstatistikler** AzroTeam, yıllar içinde birçok saldırıyı başarıyla gerçekleştirmiştir. Rakamlar, bu tehdidin halen devam ettiğini göstermektedir. **Neden Tehlikeli** Kilitlenen dosyalar, AzroTeam tarafından belirlenen fidye tutarı ödenene kadar erişilemez hale gelir. **Genel Hedefleri** Öncelikli hedefi, ödeme yapma kapasitesi yüksek büyük kuruluşlardır fakat bireysel kullanıcıları da hedef alabilir. **Saldırı Taktikleri** AzroTeam, saldırıları için genellikle spear phishing taktiklerini kullanır. Ayrıca kötü amaçlı yazılım yüklenen sahte web siteleri ve açık kaynaklı yazılım dağıtma yöntemleri de kullanmıştır. **Önemli Olaylar** 2020 yılında, AzroTeam tarafından yapılan büyük bir saldırı sonucunda, birçok kuruluşun verileri kilidi altına alınmıştı. **Korunma Yolları** En iyi korunma yöntemi düzenli yedeklemeler ve bilgisayar yazılımını güncel tutmaktır. Bu, ransomware'in sisteme nüfuz etme şansını büyük ölçüde azaltır....

Benzona Ransomware Nedir? Benzona, CYFIRMA Arastirma ve Danismanlik Ekibi tarafindan cesitli yeralti forumlarinin izlenmesi sirasinda kesfedilen yeni bir fidye yazilimi soyudur. Fidye yazilimi, kurban dosyalarini sifreleyerek ve her etkilenen dosyaya ".benzona" uzantisi ekleyerek calisir. Guclu kriptografik yontemler kullanarak kullanici verilerini kilitlemekte ve sifreler cozme anahtari saldirganlar tarafindan kontrol edilmektedir. Cift gasp modeli icinde faaliyet gosteren Benzona, hem veri sifreleme hem de veri hirsizligini kullanarak kurbanlari uyuma zorlamaktadir. Ransomware-as-a-Service (RaaS) davranislariyla tutarli taktikleri, hizli dagitim, otomatik dosya kilitleme mekanizmalari, Tor tabanli muzakere kanallari ve yapilandirilmis sizdirma sureclerini icermektedir. 2024-2026 doneminde 15'in uzerinde dogrulanmis saldiri gerceklestiren grup, ozellikle Romanya, Hindistan, Tayvan ve Fildisi Sahili gibi cesitli cografyalari hedef almistir. Tarihsel Gelisim ve Evrim 2025 Sonbahar: Ortaya Cikis Benzona adinda yeni gozlemlenen bir fidye yazilimi grubu, onion veri sizdirma sitesiyle ortaya cikmis ve bes kurban iddia etmistir. Grubun sifreleme aracindan ornekler vahsi dogada tanimlanmis ve ".benzona" uzantisi iceren ele gecirilmis dosyalar bulunmustur. Ilk Kurbanlar Ilk kurban seti, dort Romen otomobil bayisi ve saglik yardimiina odaklanan bir Fildisi Sahili merkezli STK'yi icermistir. Kasim 2025: Romanya Odagi Kasim 2025 sonlarinda birden fazla Romen organizasyonu hedef alinmistir. Aralik 2025: Kuresel Genisleme Aralik 2025'te Hindistan (PlatinumOne.in) ve Tayvan (SUNNYGO.COM.TW) saldırilariyla kuresel genisleme gorulmustur. Saldiri Istatistikleri ve Etki Analizi Genel Rakamlar (2025-2026) - Toplam Dogrulanmis Saldiri: 15+ - Ilk Ortaya Cikis: 2025 Sonbahar - Dosya Uzantisi: .benzona - Fidye Notu: RECOVERY_INFO.txt - Iletisim: Tor tabanli chat portali - Hedef Platformlar: Windows, Linux - Operasyonel Model: Cift Gasp Cografi Dagilim - Romanya (4 otomobil bayisi) - Fildisi Sahili (1 STK) - Hindistan (PlatinumOne.in, Aralik 2025) - Tayvan (SUNNYGO.COM.TW, Aralik 2025) Sektor Bazli Dagilim - Otomobil (bayiler) - Saglik yardimi (STK'lar) - Cesitli diger sektorler Teknik Altyapi ve Saldiri Metodolojisi Sifreleme Teknolojisi **Kriptografik Yontemler** Aktif hale geldiginde, guclu kriptografik yontemler kullanarak kullanici verilerini kilitler ve sifreler cozme anahtari olmadan erisimi engeller. **Dosya Uzantisi** Sifrelenen dosyalara ".benzona" uzantisi eklenmektedir. Sistem Hazirligi: Shadow Copy Silme Fidye yazilimi, Windows'un sistem kurtarma ve yedekleme islemleri icin kullandigi Volume Shadow Copy'leri kaldirmak icin vssadmin.exe ve wmic.exe gibi prosesleri sonlandirmaktadir. Bu shadow copy'lerin ortadan kaldirmasi, kurbanlarin sistem geri yukleme noktalari veya yerlesik yedekleme mekanizmalari araciligiyla veri geri yuklemesini engellemektedir. Platform Destegi Benzona fidye yazilimi, hem Windows hem de Linux ortamlarini hedeflemekte ve bazi kampanyalarin sanalastirilmis altyapiyi da etkiledigi raporlanmaktadir. Saldiri Akisi 1. **Ilk Erisim**: Cesitli vektorler (henuz tam olarak belgelenmemis) 2. **Yedeklerin Devre Disi Birakilmasi**: Shadow copy silme 3. **Guvenlik Kontrollerinin Atlatilmasi**: Savunma engelleme 4. **Sifreleme**: Dosyalarin .benzona uzantisiyla kilitlenmesi 5. **Fidye Notu**: RECOVERY_INFO.txt birakilmasi 6. **Iletisim**: Tor tabanli chat portali uzerinden muzakere MITRE ATT&CK Eslestirmesi **Ilk Erisim (TA0001)** - T1566 - Phishing - T1078 - Valid Accounts - T1133 - External Remote Services - T1190 - Exploit Public-Facing Application **Yurutme (TA0002)** - T1059 - Command and Scripting Interpreter - T1106 - Native API - T1204 - User Execution **Kalicilik (TA0003)** - T1053 - Scheduled Task/Job - T1547 - Boot or Logon Autostart Execution **Savunma Atlatma (TA0005)** - T1027 - Obfuscated Files or Information - T1562 - Impair Defenses - T1070 - Indicator Removal - T1490 - Inhibit System Recovery (shadow copy silme) **Kimlik Bilgisi Erisimi (TA0006)** - T1003 - OS Credential Dumping - T1555 - Credentials from Password Stores **Kesif (TA0007)** - T1082 - System Information Discovery - T1083 - File and Directory Discovery - T1018 - Remote System Discovery **Yanal Hareket (TA0008)** - T1021 - Remote Services - T1570 - Lateral Tool Transfer **Toplama (TA0009)** - T1005 - Data from Local System - T1039 - Data from Network Shared Drive - T1560 - Archive Collected Data **Sizdirma (TA0010)** - T1041 - Exfiltration Over C2 Channel - T1567 - Exfiltration Over Web Service **Etki (TA0040)** - T1486 - Data Encrypted for Impact - T1490 - Inhibit System Recovery - T1489 - Service Stop Fidye Notu ve Iletisim RECOVERY_INFO.txt Enfeksiyon sirasinda "RECOVERY_INFO.txt" adinda bir fidye notu olusturulmakta ve tum sifrelenmis dosyalar yeni uzantiyla isaretlenmektedir. Fidye Notu Icerigi Fidye yaziliminin notu, kurbanları asagidaki adimlarla Tor tabanli bir chat portali uzerinden saldirganlarla iletisime gecmeye yonlendirmektedir: - Tor tarayicisinin indirilmesi icin adimlar - Benzersiz bir chat kimliginin girilmesi Operatorlerin Iddialari Operatorler su iddialarda bulunmaktadir: - Dosyalarin hem sifrelendigi hem de sizdirildigi - Dosyalarin yeniden adlandirilmamasi veya kurtarma araclarinin kullanilmamasi konusunda uyari - 72 saat icinde iletisime gecilmezse calinti verilerin sizdirılacagi veya satilacagi tehdidi Kolluk Kuvvetlerinden Kacinma Not, kolluk kuvvetlerinden kacinmayi vurgular ve kurbanları saldirganlarin muzakere sayfasina yonlendirmektedir. Cift Gasp Modeli RaaS Davranislari CYFIRMA'nin degerlendirmesi, Benzona fidye yaziliminin cift gasp modeli icinde faaliyet gosterdigini ve kurbanlari uyuma zorlamak icin hem veri sifreleme hem de veri hirsizligi kullandigini gostermektedir. Taktikleri, yerlesik ransomware-as-a-service (RaaS) davranislariyla tutarlidir ve sunlari icermektedir: - Hizli dagitim - Otomatik dosya kilitleme mekanizmalari - Tor tabanli muzakere kanallari - Yapilandirilmis sizdirma surecleri 72 Saat Ultimatom Grup, 72 saat icinde iletisime gecilmezse calinti verilerin sizdirılacagi veya satilacagi tehdidinde bulunmaktadir. Bu kisa zaman cercevesi, kurbanları hizli karar almaya zorlama amaci tasimaktadir. 2025 Fidye Yazilimi Ortami Baglami Rekor Seviyelere Yaklasma Fidye yazilimi saldirilari, Kasim 2025'te ikinci en yuksek seviyelerine ulasarak, saldiri sayisinin art arda yedinci aydir yukseldigini gostermistir. Cyble tarafindan Kasim 2025'te kaydedilen 640 fidye yazilimi saldirisi, yalnizca Subat 2025'in rekor rakamlarina ikinci dusmektedir. Verizon Raporu Verizon'un "2025 Veri Ihlali Sorusturmalari Raporu", fidye yaziliminin ihlallerin %44'unde mevcut oldugunu ve 2024 raporuna kiyasla %37 artis gosterdigini bulmustur. Buyuk organizasyonlarda fidye yazilimi ihlallerin %39'unda, kucuk ve orta olcekli isletmelerde ise %88'inde yer almistir. Kuresel Istatistikler KELA, Ocak-Eylul 2025 arasinda kuresel olarak 4.701 fidye yazilimi olayinin kaydedildigini aciklamistir - bu, 2024'un ayni donemindeki 3.219'dan %46 artistir. Bunlarin 2.332'si (%50) kritik altyapi sektorlerini hedef almis ve temel endustrilere yonelik saldirilarda yillik %34 artis gorulmustur. Korunma Stratejileri ve Oneriler Shadow Copy Koruma Benzona'nin shadow copy silme taktigi goz onune alindiginda: **VSS Izleme** - vssadmin.exe ve wmic.exe kullanimi izleyin - Volume Shadow Copy silme girişimlerini tespit edin - Uyarilar yapilandirin **Alternatif Kurtarma Mekanizmalari** - Ek kurtarma mekanizmalari uygulayin - Shadow copy'lere bagimliligi azaltin Yedekleme Stratejisi **3-2-1-1 Kurali** - 3 kopya veri - 2 farkli ortam - 1 cevrimdisi kopya - 1 degistirilemez kopya **Kurtarma Testleri** - Duzenli yedekleme dogrulama - Felaket kurtarma tatbikatlari Coklu Platform Koruma **Windows Guvenligi** - EDR cozumleri konuslandirin - .benzona uzantisi icin uyarilar yapilandirin - Sifreleme aktivitesini izleyin **Linux Guvenligi** - Linux sunucularini sertlestirin - Fidye yazilimi tespiti icin izleme yapilandirin Tor Trafigi Izleme **Ag Izleme** - Tor trafiigini tespit edin - Anormal ag aktivitesini izleyin - Bilinmeyen cikis trafigini sorgulayın 72 Saat Olay Mudahale Benzona'nin 72 saat ultimatomu goz onune alindiginda: **Hazirlik** - Olay mudahale plani hazirlayin - Iletisim stratejisi olusturun - Hukuki danismanlik iliskileri kurun **Hizli Tepki** - Olaylari hizla degerlendirin - Karar verme sureclerini onceden belirleyin Tehdit Istihbarati - Benzona IOC'lerini guvenlik araclariniza entegre edin - CYFIRMA ve diger kaynaklardan guncellemeleri takip edin - Romanya ve diger hedef bolgelerdeki aktiviteyi izleyin Gelecek Ongoruleri 2026 Beklentileri **Kuresel Genisleme** Hindistan ve Tayvan'a genisleme, grubun kuresel hedeflemeye yoneldigini gostermektedir. **RaaS Evrimi** Cift gasp modeli ve RaaS taktikleri, grubun profesyonel bir operasyon yuruttugunuu ortaya koymaktadir. **Sektor Cesitliligi** Otomobil, saglik yardimi ve diger sektorlerin hedeflenmesi, cografi ve sektor bazli genislemenin devam edecegini gostermektedir. Shadow Copy Saldiri Trendi Benzona'nin vssadmin.exe ve wmic.exe kullanimi, kurtarma mekanizmalarini hedeflemenin fidye yazilimi gruplari arasinda standart bir taktik haline geldigini vurgulamaktadir. Sonuc Benzona, 2025 sonbaharinda ortaya cikan ve cift gasp modeli icinde faaliyet gosteren yeni bir fidye yazilimi tehdididir. CYFIRMA tarafindan yeralti forumlarinin izlenmesi sirasinda kesfedilen grup, guclu kriptografik yontemler, .benzona dosya uzantisi ve Tor tabanli iletisim kanallari ile karakterize edilmektedir. Dort Romen otomobil bayisi ve Fildisi Sahili merkezli bir STK'yi iceren ilk kurban seti, grubun cesitli cografya ve sektorleri hedefledigi gostermektedir. Aralik 2025'te Hindistan ve Tayvan saldirilari, kuresel genislemenin devam ettigini ortaya koymaktadir. Shadow copy silme (vssadmin.exe ve wmic.exe), 72 saat ultimatom ve yapilandirilmis sizdirma surecleri, profesyonel bir RaaS operasyonunu isaret etmektedir. Windows ve Linux platform destegi, genis bir hedef yelpazesini mumkun kilmaktadir. Organizasyonlar, ozellikle shadow copy koruma, coklu platform guvenligi ve 72 saat olay mudahale yetenekleri alanlarinda kapsamli onlemler almalidir. Benzona'nin kisa zaman cerceveli ultimatomu, hizli karar verme ve onceden hazirlanmis olay mudahale planlarinin kritik onemini vurgulamaktadir....

Unsafe Ransomware grubu, son yıllarda önemli bir tehdit olarak bilgi teknolojileri dünyasında adını duyurmuştur. **Teknik Özellikler** Unsafe Ransomware genellikle spear-phishing email taktikleri ile dağıtılır. Bunlar genellikle Trojan atları, sahte yazılım güncellemeleri veya korsan indirme siteleri aracılığıyla yayılır. **İşleyiş** Unsafe hedeflenen bir makineye bulaştığında, öncelikle sistemdeki çeşitli dizinlere kendi dosyalarını yerleştirir. Bundan sonra, belirli dosya türlerini hedefleyerek onları şifreler. Şifrelenen dosyalar artık erişilemez hale gelir ve suçlular genellikle fidye talep eder. **Etki Alanı** Unsafe Ransomware genellikle hedef kuruluşların ağlarına bulaşır ve burada önemli verilere zarar verir. **Son İstatistikler** 2020'de, Unsafe Ransomware tarafından gerçekleştirilen saldırıların sayısında büyük bir artış görüldüğü bildirildi. **Neden Tehlikeli?** Unsafe Ransomware'nın potansiyel olarak tüm bir ağın kontrolünü ele geçirebilmesi, değerli ve hassas bilgilerin kaybına neden olabilir. **Korunma Yolları** Güncel anti-virüs yazılımı kullanmak ve risk altındaki dosyaları düzenli olarak yedeklemek, Unsafe Ransomware saldırılarına karşı korunmada etkilidir. Ayrıca, e-posta eklerini açmadan önce dikkatli olmak ve yalnızca güvendiğiniz kaynaklardan yazılım indirmek de önemlidir....

Argonauts Ransomware Grubu Hakkında Ön Bilgi Argonauts, siber güvenlik araştırmacıları tarafından belirlenen bir ransomware grubudur. Tarihçe Argonauts ransomware'ın ilk faaliyetleri 2019 yılında belirlendi. O zamandan bu yana, üyelerinin sayısı ve etki alanı konusunda tam değil sürekli bir genişleme görülüyor. Teknik Özellikler Argonauts, oldukça karmaşık teknik özelliklere sahiptir. Her türlü işletim sistemine saldırabilen birçok farklı ransomware türüne ev sahipliği yapmaktadır. İşleyiş Bilgisayar sistemleri bu tür saldırılarla enfekte olduğunda, Argonauts ransomware, belirli dosyaları şifreler ve bir fidye talep eder. Etki Alanı Argonauts, hem kurumsal hem de bireysel kullanıcılar üzerinde etkili olmuştur. Farklı coğrafyalarda faaliyet gösteren çok sayıda kuruluşa saldırdığı bilinmektedir. Son İstatistikler Son istatistiklere göre, Argonauts'un enfeksiyonları 2020'de önceki yıla göre% 150 artmıştır. Neden Tehlikeli Argonauts'un teknik becerisi ve hedef seçimindeki esneklichkeit, özellikle savunmasız örgütler için önemli bir tehdit oluşturmaktadır. Genel Hedefleri Argonauts genellikle hassas verilere sahip kuruluşlara odaklanır: Hastaneler, okullar ve çok sayıda hükümet kuruluşu. Saldırı Taktikleri Argonauts, genellikle phishing veya tıklama dolandırıcılığı yoluyla saldırıyor. Şüpheli e-postaların açılmasının sonucunda sisteme sızarak hızla yayılıyor. Önemli Olaylar 2020 yılında Argonauts'un gerçekleştirdiği en büyük saldırılardan biri bir hastane ağına yöneliktir. Bu saldırı, hizmetleri durdurmuş ve hastaları etkilemiştir. Korunma Yolları Argonauts'dan korunma yolu, güvenli siber higyen pratiği, veri yedekleme ve güncel güvenlik yazılımlarının kullanılmasıdır. Her zaman şüpheli bağlantıları ve e-postaları önlemek önemlidir....

tridentlocker...

teamxxx...

bitpaymer...

kazu...

Giriş Babuk Ransomware Grubu, dijital dünyanın en büyük tehditlerinden biri olan fidye yazılımı konusunda uzmanlaşmış bir hacker grubudur. Bilgisayar sistemlerini etkileyen bu zararlı yazılım türü, bir ağda veya cihazda mevcut olan her türlü veriyi şifreleyip kullanıcının erişimine kapanmasını sağlar ve verilerin geri kazanılabilmesi için fidye talep eder. Tarihçe Babuk Ransomware Grubu'nun tarihçesi, 2020 yılının başına kadar uzanıyor. İlk olarak bilinen kurbanlarına yönelik saldırıları Ocak 2020'de başladı. Önceleri küçük ve orta ölçekli işletmeleri hedef alırken, zamanla daha büyük kuruluşlara da saldırılar düzenlemeye başladı. Teknik Özellikler Babuk Ransomware, özgün bir şifreleme algoritması kullanır. Saldırının ilk aşamasında ağa bulaşır ve sistemdeki verileri şifreler. Saldırının ikinci aşamasında ise fidye talebi için bir mesaj gönderir. İşleyiş Babuk, genellikle bilinen güvenlik açıklarını kullanarak veya e-posta gibi elverişli araçlar aracılığıyla bir sisteme bulaşır. Daha sonra ilgili sistemdeki verileri şifreler ve bir fidye talep etmek için bir mesaj bırakır. Etki Alanı, Son İstatistikler ve Neden Tehlikeli Babuk'un hedefi genellikle büyük ölçekli işletmelerdir. Son istatistiklere göre, geliştirdikleri fidye yazılımı binlerce sistemde aktif olmuştur. Babuk potansiyel olarak bir işletmenin tüm operasyonlarını durdurabilir ve finansal kayıplara yol açabilir. Genel Hedefleri ve Saldırı Taktikleri Babuk'un genel hedefleri, genellikle savunmasız sistemlere sahip büyük ölçekli kuruluşlardır. Spear phishing saldırıları, sızma testleri ve güvenlik açıklarını kullanma gibi birçok taktik kullanmaktadırlar. Önemli Olaylar Babuk grubu, 2021 yılında geliştirdikleri ransomware ile uluslararası bir poliye teşkilatını hedef almış ve bu olay büyük bir gündem oluşturmuştur. Korunma yolları Babuk gibi tehditlerden korunmak için öncelikle güncel bir antivirüs yazılımı kullanılmalıdır. Ayrıca düzenli veri yedeklemeleri, e-posta eklerinin dikkatli açılması ve bilinmeyen kaynaklardan yazılım indirme bağlantılarına tıklanmaması gibi önlemler alınmalıdır....

radiant...

Omega fidye yazılımı grubu, siber suç dünyasında dikkat çeken ve karmaşık saldırılarıyla tanınan bir aktördür. Bu yazıda, Omega grubunun tarihçesi, kullandığı teknikler, hedefleri, iş modeli ve daha fazlasını detaylı bir şekilde inceleyeceğiz. Giriş Fidye yazılımları, kurbanların verilerini şifreleyerek veya sistemlerini kilitleyerek, belirli bir fidye karşılığında erişimi yeniden sağlamayı vaat eden kötü amaçlı yazılımlardır. Son yıllarda, bu tür saldırılar hem bireyleri hem de kurumları hedef alarak ciddi finansal ve operasyonel zararlara yol açmaktadır. Omega fidye yazılımı grubu da bu tehdit aktörlerinden biridir ve özellikle karmaşık saldırı teknikleriyle öne çıkmaktadır. Grubun Tarihçesi ve Kökenleri Omega grubunun kökenleri hakkında sınırlı bilgi bulunmaktadır; ancak siber güvenlik araştırmacıları, grubun ilk olarak 2023 yılında faaliyet göstermeye başladığını tespit etmişlerdir. Grup, kısa sürede çeşitli sektörlerdeki büyük ölçekli kuruluşları hedef alarak adını duyurmuştur. Kullanılan Teknikler ve Araçlar Omega grubu, saldırılarında gelişmiş şifreleme algoritmaları ve karmaşık dağıtım yöntemleri kullanmaktadır. Özellikle, fidye yazılımını hedef sistemlere sızdırmak için kimlik avı e-postaları, güvenlik açıklarından yararlanma ve uzak masaüstü protokollerini istismar etme gibi yöntemlere başvurmaktadır. Ayrıca, saldırılarını tespit edilmekten kaçınmak için anti-analiz ve anti-tersine mühendislik teknikleri de kullanmaktadır. Hedefler ve Operasyon Alanı Omega grubu, özellikle finans, sağlık, eğitim ve kamu sektörlerindeki büyük ölçekli kuruluşları hedef almaktadır. Coğrafi olarak ise, Kuzey Amerika, Avrupa ve Asya-Pasifik bölgelerinde faaliyet göstermektedir. Grubun hedef seçiminde, yüksek fidye ödeme kapasitesine sahip kuruluşlara öncelik verdiği gözlemlenmektedir. İş Modeli ve Finansal Yapı Omega, fidye yazılımı hizmet modeli (RaaS) kullanarak operasyonlarını yürütmektedir. Bu modelde, fidye yazılımı geliştiricileri, yazılımlarını diğer suç ortaklarına kiralayarak elde edilen fidyeden pay alırlar. Bu sayede, grup hem gelirini artırmakta hem de izini sürmeyi zorlaştırmaktadır. Kurbanlara Yaklaşım ve İletişim Omega grubu, kurbanlarıyla genellikle anonim iletişim kanalları üzerinden temas kurar. Fidye notlarında, ödeme talimatları ve süre sınırlamaları belirtilir. Ayrıca, ödeme yapılmadığı takdirde verilerin sızdırılacağı veya tamamen silineceği tehdidinde bulunurlar. Grubun Teknik Analizi Omega fidye yazılımı, dosyaları şifrelemek için genellikle AES-256 ve RSA-2048 gibi güçlü şifreleme algoritmaları kullanır. Ayrıca, sistemdeki yedekleme ve kurtarma mekanizmalarını devre dışı bırakarak kurtarma çabalarını engellemeye çalışır. Kötü amaçlı yazılımın analizi, kodunun sık sık değiştirildiğini ve tespit edilmekten kaçınmak için çeşitli obfuscation tekniklerinin kullanıldığını göstermektedir. Yasal ve Güvenlik Perspektifi Omega grubunun faaliyetleri, uluslararası hukuk ve siber güvenlik otoriteleri tarafından yakından izlenmektedir. Ancak, grubun anonim yapısı ve faaliyetlerini farklı yargı bölgelerinde yürütmesi, yasal takibi zorlaştırmaktadır. Bu nedenle, kuruluşların kendi güvenlik önlemlerini artırmaları büyük önem taşımaktadır. Toplumsal ve Ekonomik Etkiler Omega grubunun saldırıları, hedef aldığı kuruluşlarda operasyonel aksamalara, finansal kayıplara ve itibar zedelenmesine yol açmaktadır. Ayrıca, özellikle sağlık ve kamu hizmetleri gibi kritik sektörlerdeki saldırılar, toplumun geniş kesimlerini olumsuz etkileyebilmektedir. Grubun Medya ve Toplumdaki Yansıması Omega grubu, medya tarafından genellikle "yeni nesil fidye yazılımı tehdidi" olarak tanımlanmaktadır. Saldırıları, kamuoyunda siber güvenlik farkındalığının artmasına katkı sağlamış ve kuruluşları güvenlik yatırımlarını artırmaya yönlendirmiştir. Gelecek Öngörüleri Omega grubunun gelecekte de faaliyetlerini sürdürmesi ve tekniklerini daha da geliştirmesi muhtemeldir. Bu nedenle, kuruluşların proaktif güvenlik önlemleri alması, personelini eğitmesi ve siber tehdit istihbaratını yakından takip etmesi önem arz etmektedir. Sonuç Omega fidye yazılımı grubu, siber tehdit ortamında önemli bir aktör olarak varlığını sürdürmektedir. Karmaşık teknikleri ve hedef odaklı saldırılarıyla, kuruluşlar için ciddi bir tehdit oluşturmaktadır. Bu nedenle, siber güvenlik önlemlerinin sürekli olarak güncellenmesi ve farkındalığın artırılması, bu tür tehditlere karşı en etkili savunma olacaktır....

egregor...

Yanluowang Ransomware, siber saldırganların kişisel verileri şifreleyerek fidye talep ettikleri zararlı bir yazılımdır. Teknik Özellikler Yanluowang, kullanıcıların verilerini `.yanluowang` uzantılı yüksek güvenlikli şifrelerle şifreler. Şifrelenmiş verilere erişim kilidini açabilmeniz için belirli bir miktar fidye talep ederler. Çoğunlukla Bitcoin üzerinden anonim ödemeler talep edilir. İşleyiş Yanluowang genellikle zayıf şifreler, phishing e-postaları veya güvencesiz indirmeler yoluyla bulaşır. Bulaştığı anda, paylaşılan ağları ve çıkarılan disklere kadar bilgisayardaki tüm verilere erişerek şifreler. Etki Alanı Yanluowang global anlamda aktiftir ve kimseyi seçmeksizin saldırabilir. Hassas verilerin veya sistemlerin olduğu kurumlar ve bireysel kullanıcılar için büyük bir tehdit oluşturur. Son İstatistikler Son istatistiklere göre, dünya çapında her yıl binlerce kullanıcı ve işletme Yanluowang gibi fidye yazılımlarının kurbanı oluyor. İstatistikler, fidye ödemelerinin sürekli arttığını gösteriyor. Neden Tehlikeli? Yanluowang, kişisel ve mali verilerinizi ele geçirmekle kalmaz, aynı zamanda bilgisayarınızın veya ağınızın işleyişini de bozar. Şifrelenmiş verileri geri almanın güvenilir bir yolu olmadığından, bu tür bir saldırıya uğramak son derece tehlikelidir. Korunma Yolları Yanluowang Ransomware'dan korunmanın en iyi yolu, güvenilir bir anti-virüs yazılımı kullanmak ve tüm yazılımları düzenli olarak güncellemektir. Güvendiğiniz sitelerden indirme yapmak ve e-posta eklerini dikkatlice kontrol etmek de önemlidir. Üstelik, verilerinizi düzenli olarak yedeklemek, potansiyel bir fidye yazılımı saldırısına karşı en iyi savunmadır....

ValenciaLeaks ransomware grubu, bilgisayar sistemlerine sızarak verileri şifreleyen ve kullanıcılarından fidye talep eden tehditli bir yazılım topluluğudur. **Teknik Özellikler** ValenciaLeaks ransomware, genellikle spam e-postalar, sahte yazılım güncellemeleri veya tehlikeli web siteleri aracılığıyla yayılır. Verilerinizi RSA ya da AES gibi güçlü şifreleme algoritmaları kullanarak şifreler. Takip eden süreçte, fidye talepleri ve ödeme yönergelerini içeren bir fidye notu oluşturur. **İşleyiş** Ransomware, sisteminize girdikten sonra başlangıçta sizinle pek tabi ki iletişime geçmez. Fark etmeden, bütün verilerinizi şifreler ve erişiminizi engeller. Sonrasında bir fidye notu ile karşılaşırsınız. Bu not, genellikle Bitcoin gibi kripto paralar aracılığıyla ödeme yapmanızı ister. **Etki Alanı** ValenciaLeaks, genellikle küçük ve orta ölçekli işletmeler, kamu kurumları ve kişisel kullanıcılar hedef alır. Geçmişte, bu grup, küresel çapta bir dizi başarılı siber saldırı gerçekleştirmiştir. **Son İstatistikler** 2019 yılında ValenciaLeaks tarafından gerçekleştirilen saldırıların sayısı önemli ölçüde artmıştır, bu da onları bugünün en büyük siber tehditlerinden biri haline getirir. **Neden Tehlikeli?** ValenciaLeaks, genel olarak tüm dosyalarınıza erişimi engeller ve böylece veri kaybına, operasyonel aksaklıklara ve önemli mali kayıplara neden olabilir. **Korunma Yolları** Ransomware saldırılarından korunmanın en etkili yollarından biri, verilerinizi düzenli olarak yedeklemektir. Ayrıca, bilinmeyen e-postalardan gelen ekleri indirmemek ve bilgisayarınızı güncel tutmak önemli bir güvenlik önlemi olarak kabul edilir....

bqtlock...

cryptolocker...

kryptos...

minteye...