INC Fidye Yazılımı: 2026’da 830 Kurbanla Siber Güvenlik Tehdidi
INC fidye yazılımı, 2026 itibarıyla siber suç dünyasında önemli bir oyuncu haline gelerek, Ağustos 2023’ten bu yana 830’dan fazla kurumu hedef aldı. Bu durum, Türkiye’deki işletmelerin de dikkatli olması gerektiğini gösteriyor.
INC Fidye Yazılımının Yükselişi ve Evrimi
Siber güvenlik araştırmacıları, INC fidye yazılımının başlangıçtaki mütevazı operasyonlarından, 2026’da en üretken siber suç gruplarından biri haline gelme sürecini haritalandırdı. Bu hızlı yükselişin arkasında, LockBit gibi büyük oyuncuların operasyonlarının sekteye uğraması ve BlackCat gibi grupların kapatılması yatıyor. Bu boşluk, INC’nin kendisini daha görünür kılmasını ve çevrimiçi suç dünyasındaki suç ortaklarının alternatif arayışlarına yanıt vermesini sağladı. Acronis araştırmacısı Darrel Virtusio’nun belirttiği gibi, bu durum INC için önemli bir büyüme fırsatı yarattı. ABD merkezli kuruluşlar, INC’nin kurbanlarının %65’inden fazlasını oluştururken; hukuk hizmetleri, üretim, inşaat, teknoloji ve sağlık hizmetleri en çok hedef alınan sektörler arasında yer alıyor. Bu istatistikler, küresel bir tehdidin farklı coğrafyalardaki ve sektörlerdeki işletmeleri nasıl orantısız bir şekilde etkileyebileceğini gözler önüne seriyor. INC’nin bu denli geniş bir kitleye ulaşması, siber savunma stratejilerinin ne kadar kapsamlı olması gerektiği sorusunu da beraberinde getiriyor. Bu tür tehditlere karşı koyabilmek için proaktif önlemler almak artık bir lüks değil, bir zorunluluk haline gelmiş durumda. Peki, INC gibi fidye yazılımlarının bu denli başarılı olmasının ardında yatan teknik detaylar neler?
Teknik Yenilikler: Rust ile Yeniden Yazılan Şifreleyiciler ve Veeam Hedeflemesi
INC fidye yazılımının en dikkat çekici teknik ilerlemelerinden biri, Windows ve Linux/ESXi şifreleyicilerinin Rust programlama dilinde yeniden yazılması oldu. Bu geçiş, çapraz platform geliştirme süreçlerini kolaylaştırmanın yanı sıra, tersine mühendislik çabalarına karşı daha dirençli bir yapı sunuyor. Bu, siber suçluların daha hızlı ve daha verimli bir şekilde yeni varyantlar üretebilmelerini sağlıyor. Ayrıca, INC saldırılarının güncellenmiş bir kimlik bilgisi çıkarma aracı kullanması dikkat çekiyor. Bu araç, özellikle tuzlanmış DPAPI kimlik bilgisi şifrelemesini kullanan daha yeni Veeam yedekleme konuşlandırmalarını hedef alabiliyor. Veeam, dünya genelinde olduğu gibi Türkiye’deki birçok şirketin de kritik veri yedekleme çözümlerinden biri. Bu tür sistemlerin hedef alınması, şirketlerin felaket kurtarma kapasitelerini doğrudan tehdit ediyor. 2024 Mayıs’ında INC’nin Windows ve Linux sürümlerinin siber suç yeraltı dünyasında satışa sunulması, Lynx ve Sinobi gibi ‘önemli kod örtüşmesi’ bulunan ilgili fidye yazılım ailelerinin ortaya çıkmasına neden oldu. Bu durum, INC markasının kendisini sürekli evrimleştirirken, kodlarının farklı gruplar tarafından da benimsendiğini gösteriyor. Bu karmaşık tehdit ortamında, şirketlerin sadece INC’ye değil, onun türevlerine karşı da tetikte olması gerekiyor. Bu teknik yetenekler, INC’yi sadece yaygın değil, aynı zamanda adaptif ve zorlu bir rakip haline getiriyor. Sızma ve şifreleme süreçlerini hızlandırmak için kullanılan çoklu iş parçacığı ve kısmi şifreleme gibi yöntemler, saldırıların süresini kısaltarak tepki verme imkanını daraltıyor. Bu durum, Türkiye’deki KOBİ’ler başta olmak üzere, kaynakları kısıtlı olan işletmeler için ek bir risk teşkil ediyor.
Saldırı Zinciri Detayları: İlk Erişimden Veri Sızdırmaya
INC fidye yazılımı saldırıları, genellikle çok çeşitli araç ve tekniklerin bir kombinasyonunu kullanarak ilerliyor. Saldırganlar ilk erişimi sağlamak için hedefli kimlik avı e-postaları, yasadışı aracılardan (IAB’ler) temin edilen hesap kimlik bilgileri veya Citrix Netscaler (CVE-2023-3519 ve CVE-2025-5777), Fortinet EMS (CVE-2023-48788) ve SimpleHelp (CVE-2024-57727) gibi dışa dönük uygulamalardaki güvenlik açıklarının istismarı gibi yöntemleri kullanıyor. Güvenlik açığına sahip sistemlerin güncel olmaması, saldırganlar için kolay bir giriş kapısı oluşturuyor. İlk erişim sağlandıktan sonra, saldırganlar ele geçirilen ortamdan hassas kimlik bilgilerini topluyor. Ardından, uzaktan masaüstü protokolü (RDP) ve PsExec gibi ‘living-off-the-land’ ikili programlarını (LOLBins) kullanarak ağ içinde yan hareket ediyorlar. Bu, mevcut sistem araçlarını kötüye kullanarak tespit edilme riskini azaltmalarını sağlıyor. Sistem savunmalarını zayıflatmak için filwfp.sys, filnk.sys, fildds.sys gibi sürücüleri kullanarak ‘kendi savunmasız sürücünüzü getirme’ (BYOVD) tekniğini uyguluyorlar. Komuta ve kontrol (C2) için Cobalt Strike, AnyDesk, ScreenConnect ve TeamViewer gibi popüler uzaktan erişim araçları kullanılıyor. Veri sızdırma aşamasında ise, şifrelenmiş arşivler halinde hazırlanan verileri Rclone aracılığıyla dışarı aktarıyorlar. Bu karmaşık ve aşamalı saldırı zinciri, Türkiye’deki şirketlerin de karşı karşıya kalabileceği gerçek dünya tehditlerini yansıtıyor. Siber güvenlik ekiplerinin, bu zincirin her bir halkasını anlayarak savunma stratejilerini geliştirmesi büyük önem taşıyor.
INC’nin Başarı Faktörleri ve Sektörel Etkisi
INC fidye yazılımının bu denli başarılı olmasının altında yatan temel nedenlerden biri, ileri düzeyde özel araçlara veya karmaşık taktiklere ihtiyaç duymadan, yaygın olarak bilinen teknikleri takip ederek ölçeklenebilmeleri. Bu durum, siber suç gruplarının sürekli bir kurban akışı yaratmasına olanak tanıyor. Sektörün genel eğilimi, karmaşıklıktan ziyade verimliliğe odaklanıldığını gösteriyor. Veri derlemesi yapan ZeroFox’un bulguları, INC fidye yazılımının 2024’ün ilk çeyreğinde en önde gelen dördüncü fidye yazılım grubu olarak ortaya çıktığını gösteriyor. Bu sıralama, INC’nin operasyonel kapasitesini ve pazar payını açıkça ortaya koyuyor. Türkiye’deki teknoloji ve finans sektörleri gibi hızla gelişen ve dijitalleşen alanlarda faaliyet gösteren şirketler, bu tür gelişmiş tehditlere karşı daha savunmasız olabilirler. Bu nedenle, siber güvenlik yatırımlarını artırmak ve çalışanları sürekli olarak eğitmek hayati önem taşıyor. INC’nin sürekli evrilen yapısı ve kullandığı çeşitli teknikler, siber güvenlik profesyonelleri için sürekli bir öğrenme ve adaptasyon süreci gerektiriyor. Peki, bu tür tehditlere karşı ne gibi somut adımlar atılmalı?
Peki INC Fidye Yazılımı ile Ne Yapmalısınız?
INC fidye yazılımı gibi gelişmiş ve adaptif tehditlerle mücadele etmek için çok katmanlı bir güvenlik yaklaşımı benimsemek şart. Öncelikle, tüm sistemlerinizi ve uygulamalarınızı düzenli olarak güncellemek, bilinen güvenlik açıklarının istismar edilmesini engeller. Özellikle Citrix Netscaler, Fortinet EMS ve SimpleHelp gibi dışa dönük sistemlerdeki yamaları geciktirmemek büyük önem taşıyor. Veeam gibi yedekleme çözümlerinin güvenliğini sağlamak ve DPAPI şifrelemesinin güncel olmasına dikkat etmek kritik önemde. Kimlik bilgisi güvenliği, saldırganların ağ içinde hareket etmesini zorlaştırmak için çok faktörlü kimlik doğrulama (MFA) gibi ek katmanlarla güçlendirilmelidir. Saldırı tespit ve müdahale (EDR) çözümleri, şüpheli aktiviteleri ve LOLBins gibi kötü amaçlı kullanılan sistem araçlarını tespit etmede yardımcı olabilir. Ayrıca, çalışanlara yönelik düzenli kimlik avı ve sosyal mühendislik farkındalık eğitimleri, ilk erişim vektörlerini zayıflatmada etkili olacaktır. Siber olaylara müdahale planınızın güncel ve test edilmiş olması, bir saldırı durumunda hızlı ve etkili bir şekilde hareket etmenizi sağlar. Türkiye’deki şirketler için, yerel siber güvenlik uzmanlarıyla işbirliği yapmak ve sektöre özgü tehditlere karşı önlemler almak da faydalı olacaktır. Unutmayın, siber güvenlik sadece teknolojiyle değil, aynı zamanda insan faktörü ve sürekli dikkatle ilgilidir.
