Yeni Bir Tehdit: GLOBAL GROUP
Son dönemlerde siber güvenlik alanında dikkat çeken bir gelişme, GLOBAL GROUP adında yeni bir ransomware-as-a-service (RaaS) operasyonunun ortaya çıkmasıdır. İlk olarak Haziran 2025‘te ortaya çıkan GLOBAL GROUP, Avustralya, Brezilya, Avrupa ve Amerika Birleşik Devletleri‘nde birçok sektörü hedef almıştır. Bu operasyon, siber suçlular arasında “$$$” takma adıyla bilinen bir aktör tarafından duyurulmuştur.
Ransomware İle Yenilikçi Yaklaşımlar
GLOBAL GROUP, kesinlikle işinin ehli kişilerce yönetilen bir operasyon olarak tanımlanmaktadır. EclecticIQ araştırmacısı Arda Büyükkaya, bu gruptaki aktörün daha önceki ransomware operasyonlarıyla bağlantılı olduğunu belirtmektedir. BLACKLOCK adıyla bilinen bir başka RaaS hizmeti de bu operasyondan önce faaliyet göstermekteydi. Gerçekten de GLOBAL GROUP’un, BLACKLOCK’un mevcut veri sızıntı sitesinin DragonForce ransomware karteli tarafından tahrip edilmesinin ardından yeniden markalaşmış bir versiyonu olduğu düşünülmektedir.
Nasıl Çalışıyor?
GLOBAL GROUP’un finansal motivasyonları göz önüne alındığında, bu grup, siber suçlamaları elde etmenin yollarını son derece iyi biliyor. Cisco, Fortinet ve Palo Alto Networks gibi büyük şirketlere ait güvenlik açıklarını kullanarak siber saldırılar gerçekleştirmektedir. Aynı zamanda Microsoft Outlook ve RDWeb portallarında kullanılan brute-force araçlarıyla da bu erişimleri sağlamaktadır.
$$$, özellikle hukuki firmalara ait kurumsal ağlara Remote Desktop Protocol (RDP) veya web shell erişimi sağlayarak, siber saldırılarda daha fazla araç kullanabilmektedir. Bu erişimi elde ettikten sonra veri sızıntısı yapmakta, saldırılara devam etmekte ve ransomware’yi dağıtmaktadır. Başka bir deyişle, infiltrasyon aşamasını diğer tehdit aktörlerine outsource etmektedir.
Özellikleri ve Avantajları
GLOBAL GROUP’un RaaS platformu, bir müzakere portalı ve ortaklık paneli içermektedir. Bu panel, siber suçlulara, kurbanları yönetme, ransomware payloadları oluşturma ve operasyonları izleme gibi olanaklar sunmaktadır. Operasyonun bir diğer dikkat çekici unsuru ise, yaptıkları müzakerelerde kullanılan AI tabanlı sohbet botlarıdır. Bu sistem, özellikle İngilizce bilmeyen ortakların kurbanlarıyla daha etkili bir şekilde iletişim kurmalarını sağlamaktadır.
Gelir paylaşımı modeli olarak %85’e kadar pay vaat eden GLOBAL GROUP, daha fazla ortak çekmek için cazip fırsatlar sunmaktadır. Büyükkaya, bu markanın yaratılmasının, operasyonları modernize etme ve gelir akışını artırma amacı taşıdığını belirtmektedir.
Kurumsal Hedefler
Bu yeni ransomware grubu, sağlık, petrol ve gaz ekipmanları imalatı, endüstriyel makineler ve otomotiv onarımı gibi birçok sektörde aktif olarak görülmektedir. 14 Temmuz 2025 itibarıyla, GLOBAL GROUP’un Avustralya, Brezilya, Avrupa ve Amerika’da toplam 17 kurbanı bulunmaktadır.
Bunun yanı sıra, BLACKLOCK ve Mamona ile ilişkili özellikler taşıyan GLOBAL GROUP’un, eski ransomware şemalarından yeni bir evrim sürecini temsil ettiğini söyleyebiliriz. Bu bağlamda, yazılımın Go dilinde yazılması da dikkat çeken bir diğer husustur.
Diğer Ransomware Grupları ile Rekabet
GLOBAL GROUP’un ortaya çıkışı, Qilin ransomware grubunun Haziran 2025‘te en aktif RaaS operasyonu olduğunu göstermektedir. Qilin, 81 kurbanla öne çıkarken, diğer önemli oyuncular arasında Akira, Play, SafePay ve DragonForce bulunmaktadır. CYFIRMA, SafePay’in %62.5 oranında bir düşüş yaşadığını bildirirken, DragonForce’un ise saldırılarda %212.5 oranında bir artış gösterdiğini belirtmektedir.
Tüm bu gelişmelere rağmen, ransomware kurbanlarının sayısında bir azalma yaşanmıştır. Mayıs ayında 545 olan toplam rakam, Haziran’da 463’e düşmüştür. Ancak, siber tehditlerin hâlâ yüksek olduğu gözlemlenmektedir.
Gelecekteki Tehditler
Geopolitik gerilimler ve yüksek profilli siber saldırılar, siber tehditlerin riskini artırmaya devam etmektedir. Optiv‘in Global Threat Intelligence Center’ın verilerine göre, 2025 yılının ilk çeyreğinde 314 ransomware kurbanı, 74 farklı veri sızıntı sitesinde listelenmiştir. Bu da kurban sayısında %213’lük bir artışı göstermektedir.
Sonuç olarak, ransomware operatörlerinin sosyal mühendislik, yazılım açıklarından faydalanma ve tedarik zinciri saldırıları gibi eskiden beri kullanılan yöntemlere sadık kaldıkları gözlemlenmiştir. Cybersecurity, sürekli bir değişim ve adaptasyon süreci olarak karşımıza çıkmaktadır.
