Fidye yazılımlarında yeni Moda Gentlemen

Her geçen gün güvenlik tehditleri yeni bir boy atlarken bu defa dünya genelinde Gentlemen krizi yaşanıyor. Neler mi yapıyor Yazımızın detayında tüm araştırmalarımızı görebileceksiniz..Şifreleme metodu olarak Gentlemen, X25519 (ECDH) ve XChaCha20'yi birleştiren çok yönlü bir kriptografik şema kullanır. Verileri şifrelemeden önce, Windows Defender'ı devre dışı bırakıyor, Veeam gibi yedekleme hizmetlerini sonlandırıyor, MSSQL ve MongoDB dahil veritabanı hizmetlerini durduruyor ve sistem loglarını silerek adli analiz izlerini yok ediyor.1 MB'den küçük dosyalar tamamen şifreleniyor ve daha büyük dosyalar hız ve etkiyi dengelemek için seçilmiş segmentler ile farklı varyantlarla şifrelemektedir.Gentlemen Ağırlıklı olarak Windows işletim sistemlerini hedef alsada Linux içinde geçerlidir.

Linux Sunucularda

  1. Web serverler
  2. Database Serverler
  3. Backup Serverler


Öncelikli Hedef Halindedir.

Windows Sunucularda:

  1. Windows Server (2016 / 2019 / 2022)
  2. Domain Controller’lar
  3. Windows workstation’lar

2025 yılının son çeyreği itibarıyla siber güvenlik tehditleri artık “tek bir zafiyet” veya “tek bir saldırı türü” etrafında şekillenmemektedir. Saldırganlar; otomasyon, yapay zekâ destekli keşif ve uzun süreli gizlenme (persistence) tekniklerini birlikte kullanmaktadır. Bu durum özellikle sistem yöneticilerinin günlük operasyonlarında güvenliği ikincil bir konu olmaktan çıkarmış, doğrudan sistem mimarisinin bir parçası hâline getirmiştir.

Bu makale, Aralık 2025 itibarıyla sahada gözlemlenen tehdit eğilimlerini ve sysadmin perspektifinden alınması gereken teknik aksiyonları ele alıyor.

1. “Sessiz İhlal” Dönemi: Gürültüsüz Saldırılar

Son dönemde dikkat çeken en önemli değişim, saldırıların yüksek gürültülü (log dolduran, servis düşüren) yöntemlerden uzaklaşmasıdır.

Teknik Gözlem

  • Saldırganlar brute-force yerine:
  • Mevcut credential’ların yeniden kullanımını
  • CI/CD hatalarını
  • Yanlış yapılandırılmış servis hesaplarını hedeflemektedir.
  • Amaç: Aylarca fark edilmeden sistemde kalmak müthiş birşey olsa gerek :)

Sysadmin İçin Çıkarım

  • Sadece “fail2ban kaç IP engelledi” metriği yeterli değildir.
  • Şunlar izlenmelidir:
  • Olağandışı ama başarılı login’ler
  • Mesai dışı admin aktiviteleri
  • Daha önce hiç çalışmamış cron job’lar

2. Otomatik Tarama + Yapay Zekâ Destekli Keşif

2025 sonu itibarıyla internet trafiğinin önemli bir kısmı insan değil, akıllı botlar tarafından üretilmektedir.

Teknik Gözlem

  • Botlar artık sadece port taramıyor:
  • HTTP response header’larından stack bilgisi çıkarıyor
  • Error mesajlarını semantik olarak analiz ediyor
  • JS dosyalarından endpoint haritası oluşturuyor

Sysadmin İçin Çıkarım

  • User-Agent engelledim” yaklaşımı yetersiz
  • Gerekenler:
  • Rate limit + behavioral analiz
  • Endpoint bazlı erişim kısıtları
  • Gereksiz hata mesajlarının kapatılması

3. Yama Yönetimi Artık Tek Başına Yeterli Değil

2025’te birçok saldırı bilinen ama yamalanmış açıklar üzerinden değil, yanlış yapılandırmalar üzerinden gerçekleşmektedir.

Teknik Gözlem

  • Güncel sistemlerde bile:
  • Açık admin panelleri
  • Gereksiz public API’ler
  • Debug modda çalışan servisler bulunuyor

Sysadmin İçin Çıkarım

  • Patch + Hardening birlikte ele alınmalı
  • Otomatik taramalar (lynis, custom script’ler) periyodik çalıştırılmalı
  • “Çalışıyor, dokunmayalım” yaklaşımı risk üretir

4. Yedekleme: Fidye Yazılımından Çok İç Tehdide Karşı

Fidye yazılımı hâlâ ciddi bir risk olsa da, 2025 sonunda yedeklerin hedef alınma nedeni sadece ransomware değildir.

Teknik Gözlem

  • Ele geçirilen bir hesapla:
  • Backup’lar siliniyor
  • Snapshot’lar bozuluyor
  • Restore yetkileri kaldırılıyor

Sysadmin İçin Çıkarım

  • Backup sistemleri:
  • Ayrı kimlik doğrulama
  • Ayrı erişim politikası
  • Immutable yapı ile korunmalı
  • Backup erişimi = prod erişimi değildir

5. Log Var Ama Kimse Bakmıyor Problemi

Birçok sistemde log toplama mevcut; fakat anlamlı analiz yok.Gerekmedikce bakılmıyor veya sadece bir dosyadan ibaret disklerde kalıyor.

Teknik Gözlem

  • Loglar genellikle:
  • Disk dolana kadar tutuluyor
  • Sadece olay sonrası bakılıyor
  • Anomali tespiti manuel değil

Sysadmin İçin Çıkarım

  • Şunlar alarm üretmeli:
  • Kısa sürede artan 401/403 oranları
  • Yeni user-agent pattern’leri
  • İlk kez görülen process çalıştırmaları
  • “Log tutuyoruz” ≠ “Güvendeyiz”

6. İnsan Faktörü Hâlâ En Zayıf Halka

Teknik önlemler gelişse de, 2025 sonunda bile ihlallerin büyük bölümü insan kaynaklıdır.

Teknik Gözlem

  • Token’ların yanlış yerde paylaşılması
  • SSH key’lerin kişisel makinelerde kontrolsüz kalması
  • Acil durum bahanesiyle yapılan yetki genişletmeleri

Sysadmin İçin Çıkarım

  • Yetki geçici olmalı
  • Her erişim gerekçelendirilmiş olmalı
  • “Sonra kaldırırız rahatlığı” ama genellikle kaldırılmaz


En büyük risk, saldırganın ne yapacağı değil; yöneticinin neyi “zararsız” sandığıdır.