İçereği Atla

Ransomware Öncesi Keşif Aşaması: Saldırgan Ağa Girmeden Önce Ne Yapar?

Ransomware saldırıları çoğu zaman “bir anda olmuş” gibi görünse de gerçekte haftalar hatta aylar süren bir hazırlık sürecinin sonucudur. Fidye yazılımı çalıştırılmadan önce saldırganlar, hedef kurum hakkında kapsamlı bir keşif (reconnaissance) faaliyeti yürütür. Bu aşama, saldırının başarısını ve talep edilecek fidyenin miktarını doğrudan belirler.
31 Mayıs 2026 yazan
Ransomware Öncesi Keşif Aşaması: Saldırgan Ağa Girmeden Önce Ne Yapar?
Amina KAPTAN
 

Keşif Aşaması Nedir ve Neden Kritiktir?

Keşif aşaması, saldırganın hedef sistemi tanımaya çalıştığı en erken ve en sessiz fazdır. Bu aşamada amaç:

    1. Hedefin teknik kapasitesini anlamak
    2. Savunma mekanizmalarını tespit etmek
    3. En az dirençle en fazla etkiyi yaratacak yolu belirlemek

Saldırganlar için ransomware, son hamledir. Asıl emek, bu hamleden önce harcanır.

Açık Kaynak İstihbaratı (OSINT) Toplama

Saldırganlar çoğu zaman sisteme girmeden önce, tamamen herkese açık kaynaklardan bilgi toplar.

Toplanan Bilgiler

    1. Alan adları ve alt alan adları
    2. Kullanılan teknolojiler
    3. Çalışan e-posta formatları
    4. Organizasyon yapısı

Kaynaklar

    1. Kurumsal web sitesi
    2. LinkedIn profilleri
    3. GitHub, GitLab gibi kod platformları
    4. Veri sızıntısı arşivleri

Savunma Açısından Önem

Fazla teknik detay paylaşan web siteleri ve sosyal medya hesapları, saldırgan için ücretsiz keşif aracıdır.

Dışa Açık Servislerin Haritalanması

Saldırganlar, hedef kuruma ait internet üzerinden erişilebilen sistemleri analiz eder.

Odaklanılan Noktalar

    1. VPN servisleri
    2. Web uygulamaları
    3. Mail sunucuları
    4. Uzaktan erişim servisleri

Amaç, en zayıf giriş noktasını tespit etmektir.

Risk

Güncel olmayan, yanlış yapılandırılmış veya unutulmuş bir servis, tüm ağın kapısını açabilir.

Kimlik Bilgisi Toplama ve Doğrulama

Ransomware saldırılarının büyük bir kısmı, geçerli kullanıcı hesapları üzerinden başlar.

Yaygın Yöntemler

    1. Daha önce sızdırılmış e-posta/parola kombinasyonlarının test edilmesi
    2. Phishing ile elde edilen bilgiler
    3. Zayıf parola politikalarının istismarı

Neden Önemli?

Geçerli bir hesap kullanıldığında:

    1. Güvenlik sistemleri alarm üretmeyebilir
    2. Erişim “meşru kullanıcı” gibi görünür

Güvenlik Kontrollerinin Analizi

Saldırganlar, hedef ağda hangi güvenlik çözümlerinin kullanıldığını anlamaya çalışır.

İncelenen Unsurlar

    1. Endpoint güvenlik çözümleri
    2. EDR / XDR varlığı
    3. Loglama ve izleme mekanizmaları
    4. Ağ segmentasyonu

Amaç, tespit edilmeden ilerleyebilecekleri bir yol bulmaktır.

İç Ağ Yapısının Zihinsel Haritasını Çıkarma

Saldırgan henüz ransomware çalıştırmadan önce, ağın nasıl yapılandığını anlamak ister.

Öğrenilmeye Çalışılanlar

    1. Kritik sunucuların konumu
    2. Dosya sunucuları
    3. Yedekleme sistemleri
    4. Etki alanı yapısı

Bu bilgiler, saldırının en yıkıcı noktada başlatılmasını sağlar.

Yetki Seviyelerinin ve Hedeflerin Belirlenmesi

Keşif aşamasının en kritik adımlarından biri, hangi hesapların daha değerli olduğunu belirlemektir.

Hedeflenen Hesaplar

    1. Domain admin benzeri yüksek yetkili hesaplar
    2. IT personeli hesapları
    3. Backup sistemlerine erişimi olan kullanıcılar

Yüksek yetki, daha kısa sürede daha büyük hasar anlamına gelir.

Yedekleme ve Kurtarma Kabiliyetinin Değerlendirilmesi

Modern ransomware grupları, yedekleri devre dışı bırakmadan saldırıyı başlatmaz.

Keşif Soruları

    1. Yedekler nerede tutuluyor?
    2. Offline veya immutable backup var mı?
    3. Geri dönüş süresi ne kadar?

Amaç, kurumu fidye ödemeye mecbur bırakmaktır.

Sessiz Kalma ve Sabır Stratejisi

Keşif aşamasında saldırganlar:

    1. Düşük hızda hareket eder
    2. Gürültü üretmez
    3. Alışılmış kullanıcı davranışlarını taklit eder

Bu nedenle keşif fazı, en zor tespit edilen dönemdir.

Kurumlar Keşif Aşamasını Nasıl Fark Edebilir?

Erken Uyarı Göstergeleri

    1. Normal dışı ama başarısız giriş denemeleri
    2. Farklı ülkelerden gelen login talepleri
    3. Daha önce kullanılmayan hesapların aktifleşmesi
    4. Anormal ağ tarama aktiviteleri

Alınabilecek Önlemler

    1. MFA zorunluluğu
    2. Merkezi loglama ve SIEM
    3. Anomali tabanlı izleme
    4. Periyodik erişim gözden geçirme

Sonuç: Ransomware Bir An Değil, Bir Süreçtir

Ransomware saldırısı, tek bir tıklama ile başlamaz. Asıl savaş, fidye yazılımı çalıştırılmadan önce verilir. Keşif aşamasını fark edebilen kurumlar, saldırıyı henüz başlamadan durdurabilir.

Unutulmamalıdır ki:

Ransomware’in en pahalı kısmı fidye değil, hazırlıksız yakalanmaktır.

Ransomware Öncesi Keşif Aşaması: Saldırgan Ağa Girmeden Önce Ne Yapar?
Amina KAPTAN 31 Mayıs 2026
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment