12 Mayıs Uluslararası Fidye Yazılımıyla Mücadele Günü vesilesiyle yayımlanan raporla, 2025 yılına damga vuran fidye yazılımı trendlerini değerlendirirken, 2026’daki tehdit ortamına dair kritik öngörülerini kamuoyuyla paylaşıldı.
Kaspersky Security Network verilerine göre, 2025 yılında fidye yazılımı saldırılarının kurumsal düzeyde en yoğun görüldüğü bölge yüzde 8,13 ile Latin Amerika oldu. Bu bölgeyi sırasıyla Asya-Pasifik (yüzde 7,89), Afrika (yüzde 7,62), Orta Doğu (yüzde 7,27), Bağımsız Devletler Topluluğu (BDT, yüzde 5,91) ve Avrupa (yüzde 3,82) takip etti. Raporda; “şifreleme içermeyen” (encryption-less) şantaj odaklı saldırılardaki artış, fidye yazılımı gruplarının kuantum sonrası kriptografi (post-quantum cryptography) kullanımı ve siber suçluların ele geçirilen veri setleri ile kimlik bilgilerini yaymak için Telegram kanallarını sistematik bir şekilde kullanmaya devam etmesi öne çıkan başlıklar arasında yer alıyor.
2025 yılında fidye yazılımı saldırılarına maruz kalan kuruluşların genel oranında 2024’e kıyasla hafif bir düşüş görülse de saldırganların operasyonlarını endüstriyel ölçekte organize etmesi, sızma yöntemlerini otomatikleştirmesi ve sistemleri şifrelemek yerine hassas verileri çalıp sızdırmaya daha fazla odaklanması nedeniyle kullanıcılar açısından risk yüksek seviyesini koruyor.
2025’in öne çıkan eğilimlerinden biri de, uç nokta güvenlik çözümlerini devre dışı bırakmak amacıyla tasarlanan EDR “killer” araçlarının kullanımındaki artış oldu. Saldırganlar, kötü amaçlı yazılımı çalıştırmadan önce güvenlik çözümlerini etkisiz hale getiren bu araçları artık saldırıların standart bir parçası olarak kullanıyor. Bu durum, saldırıların daha planlı ve sistematik hale geldiğini gösteriyor.
Araştırmacılar ayrıca, bazı fidye yazılımı ailelerinin post-kuantum kriptografi standartlarını benimsemeye başladığını tespit etti. Kaspersky’nin daha önce öngördüğü bu gelişme, gelecekte kuantum bilgisayarlar tarafından çözümlenmesi zor olabilecek şifreleme yöntemlerine doğru kaygı verici bir geçişe işaret ediyor.
Yeraltı forumları ve mesajlaşma platformları üzerinden önceden ele geçirilmiş kurumsal erişimleri satan siber suç aracıları olarak bilinen Initial Access Broker’ların (IAB) rolü de giderek büyüyor. Uzaktan cihaz yönetimine imkan tanıyan RDWeb portalları, fidye yazılımı gruplarının “Access-as-a-Service” modeliyle saldırıları endüstriyel ölçekte yürütmeye devam etmesi nedeniyle daha fazla hedef alınıyor. Bu durum, fidye yazılımı saldırıları gerçekleştirme eşiğini düşürüyor.
Telegram kanalları ve dark web forumları, fidye yazılımı saldırıları sonucunda ele geçirilenler de dahil olmak üzere, çalınmış veri setleri ve erişim bilgilerinin dağıtımı ile satışı için kullanılmaya devam ediyor. Tehdit aktörlerinin fidye yazılımı hizmetlerini tanıttığı ve hizmet güncellemeleri paylaştığı büyük yeraltı forumlarından biri olan RAMP, Ocak 2026’da yetkililer tarafından kapatıldı. Sızdırılmış ve ele geçirilmiş verilerin paylaşıldığı bir diğer yeraltı forumu LeakBase ise Mart 2026’da operasyon dışı bırakıldı. Ancak kolluk kuvvetleri dark web platformları ve veri sızıntısı sitelerine yönelik operasyonlarını sürdürse de, benzer platformların zaman içinde yeniden ortaya çıkabileceği belirtiliyor.
Fidye yazılımı saldırılarında öne çıkan aktörler
Kaspersky, veri sızıntısı sitelerine dayanan analizinde, RansomHub operasyonlarının çökertilmesinin ardından Qilin’i 2025’in en baskın “hizmet olarak fidye yazılımı” (RaaS) operatörü olarak belirledi. Clop en aktif ikinci grup olurken, Akira üçüncü sırada yer aldı.
2025 yılında birçok büyük fidye yazılımı grubunun faaliyetlerini sonlandırmasına rağmen, yeni aktörler ortaya çıkmaya devam ediyor. 2026’ya bakıldığında ise hızlı büyümesi, organize yapısı ve veri odaklı şantaj yöntemlerine artan ilgisi nedeniyle Gentlemen grubu en dikkat çekici yeni tehdit aktörlerinden biri olarak öne çıkıyor. Grubun, geçmişte diğer büyük fidye yazılımı operasyonlarında yer almış saldırganları da içerdiği değerlendiriliyor. Gentlemen, fidye yazılımı ekosistemindeki daha geniş dönüşümün de bir örneğini oluşturuyor. Bu dönüşüm, yüksek gürültü yaratan kaotik saldırılardan; hassas verilerin çalınmasına, itibar kaybı ve regülasyon baskısı üzerinden şantaja dayalı, ölçeklenebilir ve iş modeli gibi çalışan operasyonlara geçişi ifade ediyor.
Kaspersky GReAT Baş Güvenlik Araştırmacısı Fabio Assolini şunları söyledi:
“Fidye yazılımları, çalınan veriler üzerinden gelir elde etmeye, savunma mekanizmalarını devre dışı bırakmaya ve saldırıları kurumsal bir verimlilikle ölçeklendirmeye odaklanan son derece organize bir ekosisteme dönüştü. Tehdit aktörleri; meşru araçları kötüye kullanma, uzaktan erişim altyapılarını istismar etme ve hatta post-kuantum kriptografiyi beklenenden çok daha erken benimseme konusunda hızla adapte oluyor. Fidye Yazılımıyla Mücadele Günü’nün amacı, fidye yazılımlarının oluşturduğu tehditlere yönelik küresel farkındalığı artırmak ve önleme ile müdahale konusunda en iyi uygulamaları teşvik etmektir. Bu nedenle tüm kullanıcıları katmanlı savunma stratejileri oluşturmaya, yedekleme yatırımlarını artırmaya ve siber okuryazarlık seviyelerini güçlendirmeye davet ediyoruz.”
