Sadece Bir "Virüs" Değil, Bir İş Modeli
Fidye yazılımları (Ransomware) artık rastgele bulaşan virüsler değil, organize suç örgütleri tarafından yönetilen milyar dolarlık bir endüstridir (Ransomware-as-a-Service). Saldırganlar hedeflerini özenle seçer, aylarca içeride bekler ve en çok can yakacak anda düğmeye basar.
İlk Erişim (Initial Access) Vektörleri
Saldırganlar içeriye nasıl giriyor?
1. RDP Brute Force (%50+)
Dış dünyaya açık bırakılan Uzak Masaüstü (3389) portlarına yapılan şifre deneme saldırıları. En yaygın giriş kapısıdır.
2. Phishing (Oltalama)
"Fatura.pdf.exe" gibi maskelenmiş dosyalar veya sahte Microsoft 365 giriş sayfaları ile kullanıcı kimlik bilgisi çalma.
3. Yazılım Açıkları
Yama yapılmamış VPN cihazları (Fortinet, Pulse Secure vb.) veya Exchange sunucuları üzerindeki zafiyetler (ProxyLogon).
Saldırı Aşamaları
- Keşif (Reconnaissance): Saldırgan ağdaki Domain Controller'ı, yedek sunucularını ve kritik veritabanlarını haritalandırır.
- Yetki Yükseltme (Privilege Escalation): Admin haklarını ele geçirir.
- Veri Sızdırma (Exfiltration): Dosyaları şifrelemeden önce, veritabınlarını kendi sunucularına kopyalar.
- Şifreleme (Encryption): Son aşamada, mesai saatleri dışında (Genelde Cuma gecesi) tüm sistemleri aynı anda şifreler.
Çifte Şantaj (Double Extortion)
Eskiden sadece "Dosyaları açmak için para ver" denirdi. Artık yedekleriniz olsa bile kurtulamazsınız. Saldırganlar: "Eğer parayı ödemezsen, şifrelemeden önce çaldığımız müşteri verilerini (KVKK) Dark Web'de yayınlarız" tehdidinde bulunur. Bu nedenle sadece yedekleme değil, "Veri Sızıntısı Tespiti" de kritik önem taşır.