Lasetech
siber guvenlikfidye yazilimiendpoint securityedrkucuk isletme

Fidye Yazılımı Grupları Saldırmadan Önce Güvenlik Araçlarınızı Devre Dışı Bırakıyor

Yazar: Lasetech··8 dk okuma
Paylaş:Twitter / XLinkedInWhatsApp

Fidye Yazılımı Grupları Saldırmadan Önce Güvenlik Araçlarınızı Devre Dışı Bırakıyor

Özet

  • Modern fidye yazılımı grupları, şifreleme başlamadan önce antivirüs ve EDR yazılımlarınızı devre dışı bırakıyor — mevcut güvenlik araçlarınız işe yaramaz hale geliyor.
  • Gentlemen RaaS grubu, Haziran 2026 itibarıyla (BleepingComputer) aktif olarak güncelledikleri bir EDR engelleyici araç seti kullanıyor.
  • Değiştirilemez yedekleme, ağ segmentasyonu, kurcalamaya karşı korumalı EDR ve ayrıcalıklı erişim denetimi — katmanlı savunma artık zorunluluktur.

2026'da Fidye Yazılımı Saldırıları Nasıl Değişti?

Birkaç yıl önce fidye yazılımı saldırıları oldukça kaba kuvvet içeriyordu: bir çalışanın kimlik avı tuzağına düşmesi, şifreleyici yazılımın devreye alınması, kurbanın yedekten geri yüklemeden önce ödeme yapması umudu. Güvenlik ekipleri tespit teknolojilerinde ilerledikçe, EDR çözümleri olgunlaştı ve müdahale süreleri kısaldı.

Fidye yazılımı grupları da buna uyum sağladı.

Bugün saldırılar, aylar içinde planlanan çok aşamalı operasyonlardır. Saldırganlar şifreleme başlamadan önce günlerce hatta haftalarca ağ içinde kalır; ortamı haritalandırır, yetkileri yükseltir, yedek sistemleri tespit eder — ve en kritik adımı gerçekleştirir: son hamleyi yapmadan önce güvenlik yazılımlarınızı kapatır.

Sonuç? 2026'da fidye yazılımı saldırısına uğrayan işletmelerin yüzde 78'i, saldırıdan önce savunmalarına güveniyordu (CrowdStrike Global Tehdit Raporu, 2026). Güvenlik araçları yerli yerindeydi. Sadece kapatılmıştı.

Bu teorik bir risk değil. Birden fazla aktif fidye yazılımı grubunun belgelenmiş standart operasyon prosedürüdür.

"EDR Engelleyici" Nedir? Sade Dille Açıklama

EDR (Uç Nokta Tespit ve Müdahale), cihaz davranışını gerçek zamanlı olarak izleyen, binlerce dosyayı şifrelemeye çalışan bir işlem gibi şüpheli aktiviteleri tespit eden ve tehdidi otomatik olarak izole edebilen güvenlik yazılımı kategorisidir.

EDR engelleyici (EDR killer), fidye yazılımı yükü devreye alınmadan önce EDR yazılımını devre dışı bırakmak, çökertmek veya körleştirmek için tasarlanmış bir araçtır. Banka soyulmadan önce alarm kablolarını kesmek gibi düşünün.

EDR engelleyiciler çeşitli tekniklerle çalışır:

  • Açıklı sürücü istismarı (BYOVD): Saldırganlar, çekirdek düzeyinde erişimi olan meşru ama açıklı bir donanım sürücüsü yükler; ardından güvenlik süreçlerini içeriden sonlandırmak için bu sürücüyü silah olarak kullanır. Sürücü imzalı ve meşru olduğundan çoğu güvenlik aracı bunu engelleyemez.
  • Süreç sonlandırma: Yükseltilmiş ayrıcalıklar kullanılarak EDR ajan süreçlerinin doğrudan sonlandırılması.
  • Servis manipülasyonu: Güvenlik yazılımını destekleyen Windows servislerinin devre dışı bırakılarak yeniden başlamasının engellenmesi.
  • Kurcalama koruması bypass: EDR konsol ayarlarındaki yanlış yapılandırmaların uzaktan istismar edilerek kurcalama korumasının kapatılması.

EDR bir kez körleştirilince, fidye yazılımı tek bir uyarı üretmeden dosyaları şifreleyebilir. O noktadan itibaren saldırı karanlıkta ilerler.

Vaka Analizi: Gentlemen RaaS Grubu Nasıl Çalışıyor?

BleepingComputer'ın Haziran 2026'da belgelediği Gentlemen fidye yazılımı-hizmet-olarak grubu, profesyonel fidye yazılımı operasyonlarının bugün nasıl işlediğinin çarpıcı bir örneğini sunar. Bunlar bir hacker ekibi değil; iş bölümü olan örgütlü bir suç işletmesidir.

Adım adım saldırı zinciri:

  1. İlk erişim satın alma. Gentlemen iştirakleri, ağlara sızmayı ve bu erişimi satmayı meslek edinen İlk Erişim Aracıları'ndan (IAB) ağ erişimi satın alır. Fidye yazılımı grubunun kendisi çoğu zaman ilk sızmayla hiç ilgilenmez.
  2. Keşif. Yerleşik Windows araçları kullanılarak (Living off the Land — LotL teknikleri) Active Directory haritalandırılır, alan yöneticileri tespit edilir, yedek sunucular ve EDR yönetim konsolleri konumlandırılır.
  3. Yetki yükseltme. Kimlik bilgisi toplama araçları veya yanlış yapılandırmalar istismar edilerek Domain Admin yetkisi elde edilir.
  4. EDR engelleyici devreye alma. Gentlemen'in araç seti, büyük uç nokta güvenlik ürünlerini hedef alan, aktif olarak güncellenen bir EDR engelleyici içerir. BYOVD tekniğiyle yüklenir ve güvenlik ajanlarını tüm etki alanında eş zamanlı olarak sonlandırır.
  5. Yedek imhası. Birim Gölge Kopyaları silinir. Yedekleme ajanları sonlandırılır. Ağa bağlı yedekleme hedefleri varsa ulaşılıp temizlenir.
  6. Veri sızdırma. Hassas dosyalar saldırgana ait altyapıya aktarılır; çifte gasp mümkün kılınır: öde ya da verilerini yayımlıyoruz.
  7. Fidye yazılımı dağıtımı. Savunmalar kör ve yedekler yok olduğunda, şifreleyici Grup İlkesi aracılığıyla etki alanına bağlı tüm makinelere iletilir. Şifreleme dakikalar içinde tamamlanır.
  8. Fidye talebi. Kurban, şifrelenmiş iş istasyonları ve fidye notuyla uyanır. Ödeme yapılmadan kurtarma, artık yalnızca tesis dışı, değiştirilemez yedeklerden mümkündür — eğer varsa.

Erişim sonrası tüm süreç — keşiften şifrelemeye — 24 saatten kısa sürede tamamlanabilir.

KOBİ'ler Neden Birincil Hedef?

Küçük ve orta ölçekli işletmeler yapısal bir dezavantajla karşı karşıyadır.

Daha zayıf savunma. KOBİ'lerin büyük çoğunluğunda 7/24 güvenlik operasyon merkezi, özel olay müdahale ekibi veya kurumsal kimlik yönetimi altyapısı bulunmaz. Yanlış yapılandırılmış tek bir VPN ya da yeniden kullanılan bir yönetici parolası yeterlidir.

Ödeme yapma eğilimi daha yüksek. Büyük şirketler, hukuki danışmanların ve sigorta şartlarının yönlendirmesiyle giderek daha az fidye ödüyor. Operasyonel kapatılmayla varoluşsal bir tehditle karşılaşan KOBİ'ler ise istatistiksel olarak daha hızlı ödeme yapıyor. Fidye yazılımı grupları bunu biliyor.

Fidye Yazılımı Hizmet Modeli teknik engeli ortadan kaldırdı. Gentlemen gibi grupların iştirakleri zararlı yazılım yazmayı bilmek zorunda değil. Araç setini kiralıyor, RaaS operatörlerinden destek alıyor ve başarılı fidye tahsilatlarından komisyon ödüyor. Suç havuzu artık son derece geniş.

Türkiye'deki ve İstanbul'daki KOBİ'ler de bu tablonun dışında değil. Fidye yazılımı saldırısının KOBİ'ler için ortalama kurtarma maliyeti 200.000 doları aşıyor — fidye ödenmese dahi kesinti, BT kurtarma, hukuki süreç ve iş kaybı dahil. Pek çok küçük işletme için bu rakam kapanma anlamına gelir.

KOBİ'ler İçin 7 Adımlı Fidye Yazılımı Savunma Kontrol Listesi

Aşağıdaki kontroller, yukarıda açıklanan saldırı zincirine doğrudan karşılık verir. Öncelik sırasına göre uygulayın.

  1. EDR'nizde kurcalama korumasını etkinleştirin ve denetleyin. Çoğu EDR ürününde, süreçlerin ajanı sonlandırmasını önleyen bir kurcalama koruması ayarı bulunur. Bu ayarın her uç noktada etkin olduğunu doğrulayın — yalnızca varsayılan politikada değil. EDR konsolunuzda hiçbir istisna tanımlanmadığını teyit edin.

  2. Değiştirilemez, tesis dışı yedekleme uygulayın. Yedekleme çözümünüz değiştirilemez bir katman içermeli — alan yöneticileri dahil hiçbir hesabın silemeyeceği veya değiştiremeyeceği yedekler. Geri yükleme testini üç ayda bir yapın. Yedekleriniz etki alanına bağlıysa veya SMB üzerinden erişilebilir durumdaysa, bir saldırıda imha edileceğini varsayın.

  3. Ağınızı segmentlere ayırın. Fidye yazılımı düz ağlarda makine hızında yayılır. İş istasyonları, sunucular ve yedekleme altyapısını ayrı VLAN'lara alın; aralarına güvenlik duvarı kuralları koyun. Bu, bir uç nokta ele geçirildiğinde hasarı sınırlar.

  4. En az yetki prensibini ve kademeli yönetici hesaplarını zorunlu kılın. Domain Admin hesapları günlük işlerde asla kullanılmamalıdır. Kademeli hesaplar oluşturun: standart kullanıcılar, iş istasyonu yöneticileri, sunucu yöneticileri ve alan yöneticileri — her biri yalnızca gerekli olduğu yerde kullanılsın. Bu, yanal hareketi ve yetki yükseltmeyi önemli ölçüde yavaşlatır.

  5. Agresif yama yapın ve açıklı sürücüleri envanterleyin. BYOVD saldırıları bilinen açıklı sürücülere dayanır. Microsoft bir engel listesi tutar — Windows Defender Uygulama Denetimi (WDAC) veya EDR politikanız aracılığıyla bu listenin uygulandığından emin olun. İşletim sistemlerini ve uygulamaları sıkı bir programa göre güncelleyin.

  6. EDR engelleyici göstergelerini izleyin. Güvenlik sağlayıcınızla birlikte bilinen EDR engelleyici davranışları için tespit kuralları ekleyin: açıklı sürücü yüklenmesi, toplu süreç sonlandırma ve uç nokta telemetrisinin aniden kesilmesi. Sessizleşen bir uç nokta, boşluk değil uyarıdır.

  7. Yılda en az bir kez fidye yazılımı masa başı tatbikatı yapın. Bir tatbikat saldırıyı simüle eder ve ekibinizi müdahale adımlarını gözden geçirmeye zorlar: kim kimi arar, etkilenen sistemleri ne zaman ağdan kesersiniz, sunucularınız olmadan 72 saatlik iş sürekliliği nasıl görünür? Bu soruları ilk kez yanıtladığınız an, gerçek bir olay sırasında olmamalı.

Temel Çıkarımlar

  • EDR engelleyiciler artık profesyonel fidye yazılımı saldırı zincirlerinin standart bir bileşenidir — kenar durum değil.
  • Gentlemen RaaS grubu, Haziran 2026 itibarıyla EDR engelleyici araç setini aktif olarak güncelliyor.
  • Fidye yazılımı kurbanlarının yüzde 78'inde güvenlik araçları mevcuttu; sadece saldırı öncesinde etkisizleştirilmişti.
  • 2026'da hiçbir tek araç fidye yazılımını durduramaz. Katmanlı savunma — yedekleme, segmentasyon, en az yetki, kurcalamaya karşı korumalı tespit — tek güvenilir yanıttır.
  • KOBİ'ler tercih edilen hedeftir. Ortalama kurtarma maliyeti 200.000 doları aşıyor ve RaaS düşük teknik beceriye sahip suçluların saldırı yapmasını mümkün kılıyor.

Lasetech Olarak Fidye Yazılımı Hazırlığını Farklı Tanımlıyoruz

Lasetech olarak fidye yazılımı hazırlığını yalnızca antivirüs kurulu olmak şeklinde değil; sofistike bir saldırgan aktif olarak devre dışı bırakmaya çalışırken dahi işlevini koruyan, test edilmiş katmanlı savunmalar olarak tanımlıyoruz. Bu; zorunlu kurcalama korumasıyla yapılandırılmış EDR, değiştirilemez tesis dışı yedekleme altyapısı, ihlal senaryolarına göre tasarlanmış ağ segmentasyonu ve ekibinizin gerçekten pratik yaptığı belgelenmiş bir olay müdahale planı anlamına gelir.

İstanbul ve Türkiye genelinde — küçük ofislerden çok lokasyonlu operasyonlara — işletmelerle çalışarak mevcut güvenlik duruşlarını değerlendiriyor, fidye yazılımı gruplarının istismar ettiği açıkları kapatıyor ve şifreleme başlamadan tehditleri yakalayan izleme altyapısını hayata geçiriyoruz. Fidye yazılımı olayının gerçek maliyetini bizzat gördük. Bunu önlemek için inşa ediyoruz.

Sıkça Sorulan Sorular

Fidyeyi ödemek verilerimi geri alır mı? Bazen, ama güvenilir biçimde değil. Ödeme yapan kurbanların önemli bir kısmı ya bozuk bir şifre çözücü alıyor ya da 12 ay içinde yeniden saldırıya uğruyor. Ödeme aynı zamanda gelecekteki saldırıları finanse ediyor. Değiştirilemez yedekleriniz varsa ödeme hiçbir zaman gerekmemelidir. Yoksa düzeltilmesi gereken en acil madde budur.

Antivirüs satıcımız fidye yazılımından korunduğumuzu söylüyor. Bu yeterli değil mi? Antivirüs ve temel uç nokta koruması, EDR engelleyici saldırılara karşı gerekli ama yeterli değildir. Güvenlik yazılımınız yükseltilmiş ayrıcalıklara sahip bir saldırgan tarafından sonlandırılabiliyorsa — ve kurcalama koruması doğru yapılandırılmamışsa büyük çoğunluğu sonlandırılabilir — şifreleme aşamasında sıfır koruma sağlar. Satıcınıza özellikle şunu sorun: ürünleri BYOVD sürücü saldırılarına nasıl yanıt veriyor?

EDR engelleyiciler ağımıza nasıl giriyor? Saldırganlar genellikle EDR engelleyicileri ilk erişim sağlandıktan sonra devreye alır — ilk adım olarak değil. İlk erişim genellikle kimlik avı, açıktaki RDP veya ele geçirilmiş kimlik bilgileri yoluyla gerçekleşir. Saldırı yüzeyinizi azaltmak (yama, MFA, gereksiz uzak erişimi kapatmak), saldırganların EDR engelleyici devreye alacak aşamaya ulaşma olasılığını düşürür.

Fidye yazılımı şüphesinde ilk 30 dakikada ne yapmalıyız? Etkilenen sistemleri derhal izole edin — gerekirse fiziksel olarak ağ bağlantısını kesin. Makineleri yeniden başlatmayın (şifreleme devam ediyor olabilir ve yeniden başlatmayla adli kanıtlar kaybolur). BT güvenlik sağlayıcınızı arayın. Olay müdahale planınızı devreye alın. Hangi yedeklerin mevcut ve sağlam olduğunu değerlendirmeden hiçbir ödeme yapmayın.

Fidye yazılımı hazırlığınızı değerlendirmeye hazır mısınız? Ücretsiz bir güvenlik değerlendirmesi için Lasetech ile iletişime geçin.

Bu yazı Lasetech tarafından hazırlanmıştır.

Paylaş:Twitter / XLinkedInWhatsApp
Bloga Dön

İlgili Yazılar