Ransomware Ekosistemindeki Değişimler
2025’in üçüncü çeyreğinde, dünya genelinde ransomware gruplarındaki artış dikkat çekmektedir. Check Point Research tarafından yayımlanan rapor, toplam 85 aktif ransomware ve fidye grubu bulunduğunu ortaya koyarak, bu alandaki en yüksek sayı olduğunu göstermektedir. Artık, ransomware-as-a-service (RaaS) pazarında sayıca çok fazla ve bağımsız grup faaliyet göstermektedir.
Fragmentasyon
Ransomware gruplarının sayısındaki bu artış, büyük RaaS’ların düşüşüyle paralel bir gelişim göstermektedir. Önceki yıllarda hâkim olan birkaç büyük grubun yerini, daha küçük ve geçici operasyonlar almıştır. Bu durum, siber güvenlik profesyonelleri için tahmin edilebilirliği azaltarak zorlu bir mücadele alanı yaratmaktadır.
Yüksek Faaliyet
Q3 2025’te, 85 farklı sızıntı sitesinde toplam 1,590 kurban rapor edilmiştir. Aylık ortalama 535 yeni sızıntı ile bu süreçteki yüksek aktivite, kolluk kuvvetlerinin yaptığı baskılara rağmen devam etmektedir. Özellikle, 14 yeni ransomware markası bu çeyrekte faaliyete geçmiştir. Bu durum, affiliate’lerin çöküşlerden sonra hızla yeniden yapılandıklarını göstermektedir.
Kolluk Kuvvetlerinin Etkisi
Birçok üst düzey örgütün, örneğin RansomHub gibi, başarılı bir şekilde çökertilmesine rağmen, ransomware hacminde anlamlı bir azalma sağlanamamıştır. Kolluk kuvvetleri genellikle altyapıyı yok etmekte veya alan adlarını ele geçirmekte, ancak saldırıları gerçekleştiren affiliate’leri etkisiz hale getirmemektedir. Bu da, daha geniş ve dayanıklı bir siber suç ekosistemi oluşturmaktadır.
LockBit’in Dönüşü
Eylül 2025’te LockBit 5.0 adıyla tanıtılan yeni versiyon, siber suç tarihindeki en kalıcı markalardan birinin geri dönüşünü simgelemektedir. LockBitSupp adlı yöneticisi, 2024 operasyonu sonrası düzenli bir şekilde geri dönüş sinyalleri vermiştir. Yeni versiyon, geliştirilmiş Windows, Linux ve ESXi varyantları, hızlandırılmış şifreleme ve her kurban için özel müzakere portalları sunmaktadır.
Rekabet Avantajı
LockBit gibi tanınmış bir markaya katılmak, küçük gruplar için sağlanamayan bir avantaj sunmaktadır: güvenilirlik. Kurbanlar, LockBit’in dikkatle yönettiği bir marka olduğuna inandıklarında, fidyeyi ödemeye daha yatkındır. Eğer LockBit, affiliate’leri çekerek yapısını yeniden oluşturursa, ransomware ekonomisinde büyük bir bölümü yeniden merkezileştirebilir.
DragonForce ve Markalaşma Stratejileri
DragonForce, kendi varlığını güçlendirmek için marka bilinirliği arayışındadır. Eylül ayında, LockBit ve Qilin ile kamuya duyurulan anlaşmalar gerçekleştirmiştir. Bu tür hamleler, ransomware pazarının daha kurumsal bir pazarlama anlayışına doğru evrildiğini göstermektedir.
Coğrafi ve Sektörel Eğilimler
2025’in üçüncü çeyreğinde, siber saldırılar özellikle belirli coğrafyalara ve sektörlere odaklanmıştır. Amerika Birleşik Devletleri, toplam kurbanların yaklaşık yarısını oluşturarak, finansal açıdan motive olan grupların en çok hedef aldığı bölge olmuştur. Ayrıca, Güney Kore’nin finans şirketlerine yönelik özel kampanyaları sayesinde dünya çapında ilk on hedefte yer alması da dikkat çekmektedir.
Gelecek Perspektifi
Ransomware ekosistemi, her ne kadar kolluk kuvvetlerinin baskısına maruz kalsa da, yapısal bir direniş göstermeye devam etmektedir. LockBit gibi büyük grupların dönüşü, potansiyel koordineli saldırıların yeniden hız kazanmasına neden olabilir. Siber güvenlik uzmanları için, markaların izlenmesi tek başına yeterli olmayacaktır; affiliate hareketliliği ve ekonomik teşviklerin izlenmesi hayati önem taşımaktadır.
