Ransomware 2026: Türkiye'deki Son Trendler ve Savunma

LockBit 4.0 hâlâ en aktif — 2024 takedown sonrası rebranded şekilde geri döndü. BlackCat/ALPHV, Cl0p (zero-day exploit uzmanı), Akira, Play ve yeni bir Türkçe konuşan grup (henüz isimsiz) Türkiye'yi hedefliyor.

2026 trendi: 'double extortion' standart oldu (dosya şifreleme + veri sızdırma ile şantaj). 'Triple extortion' artıyor — kurbanın müşterilerine mesaj atma. Sessiz uzun süreli data exfiltration (3-6 ay gizli kalıp sonra şifreleme) profesyonel saldırgan taktiği.

1. Sağlık (hastane zincirleri, lab laboratuvarları) — hayati kritik veri, ödeme olasılığı yüksek. 2. Üretim (otomotiv yan sanayi, tekstil) — production downtime toleransı düşük. 3. Lojistik (nakliye, gümrük) — tedarik zincirine etki eder, ödeme baskısı büyük. 4. Kamu (belediye, üniversite) — bütçe sınırlı ama kritik altyapı.

KOBİ'ler özel hedef — savunma daha zayıf, sigorta pasif olabilir, ödeme kararı daha hızlı. Ortalama fidye talebi Türkiye'de 2026'da $50K-$500K aralığında, 2-3 yıl öncesine göre 2x arttı.

1. VPN / RDP bug — Fortinet, Citrix zero-day'leri. 2. Phishing → initial access → lateral movement (klasik ama etkili). 3. Supply chain — yazılım tedarikçisi veya MSP üzerinden. 4. Exposed cloud services — misconfigured S3, open RDP.

Yeni trend: AI-generated spear phishing — Türkçe, kişiselleştirilmiş, grammar error yok. Hedefin LinkedIn + şirket sitesi scrape'inden sonra 'CEO'dan acil havale talebi' gibi e-posta. 2026'da %40'tan fazlası başarılı.

1) **MFA every where** — özellikle VPN, RDP, Office 365, admin panel. 2) **Offline + immutable backup** — 3-2-1 kuralı, offline kopya ve object lock (90 gün). 3) **EDR + SIEM** — endpoint + merkezi log izleme. 4) **Network segmentation** — bir parçayı ele geçirince tüm şirket düşmesin.

5) **Incident response hazırlığı** — runbook, sorumluluk matrisi, harici IR firması kontratı (IR 1 saat içinde yanıt veren). VefaSec müşterilerine 'IR retainer' sunuyor — saldırı olursa 1 saat SLA, 4 saat sahada.

Zor soru. Ödeme argümanları: operasyonu hızla kurtarır, sigortası varsa öder, rakip ve müşteri zararı azalır. Ödememe argümanları: saldırganı besler (gelecekte tekrar gelir), yasal risk (bazı ülkelerde yaptırım listesindeki gruplara ödeme suç), ödeme sonrası veri iadesi garanti değil (%30 ödemede veri geri dönmez veya tekrar sızdırılır).

FBI + Türkiye Cybercrime Unit önerisi: ÖDEMEYİN. Pratik gerçek: önce IR firmasına danışın, backup'tan kurtarma denemeyi öncelikli yapın, paralel olarak hukuki değerlendirme. Ödeme kararı asla operasyonel panikle alınmamalı.