Ücretsiz Bulut Danışmanlığı
+90 850 346 4821
Bana Ulaşın
Bana Ulaşın
  • Home
  • Alan Adı
  • Siber Güvenlik Tehditlerinde Artış ve Ransomware Saldırıları
siber-guvenlik-tehditlerinde-artis-ve-ransomware-saldirilari

Siber Güvenlik Tehditlerinde Artış ve Ransomware Saldırıları

by Berkay Bulut
Alan Adı Hosting WordPress
Kasım 23, 2025
12:10 pm

Sharing is caring!

Siber güvenlik tehditlerindeki artış ve ransomware gerçeği

Son birkaç yılda yaptığım her güvenlik denetiminde aynı tabloyla karşılaşıyorum: dış saldırı yüzeyi büyüyor, içerideki farkındalık ise aynı hızda artmıyor. Bunun sonucu olarak da istatistiklerde ciddi bir yükseliş görüyoruz: ransomware saldırıları artık birçok işletme için bir numaralı siber risk haline geldi. Özellikle dosya sunucuları, veri tabanı sistemleri, sanal sunucular ve yedekleme altyapıları doğrudan hedefleniyor.

Birçok firma hâlâ ransomware’i sadece “dosyalar şifreleniyor, fidye isteniyor” gibi basit bir senaryo olarak düşünüyor. Oysa güncel saldırıların çoğunda hem veriler şifreleniyor hem de dışarıya sızdırılıp çifte şantaj yapılıyor. Üstelik bu saldırılar sadece büyük kurumları hedef almıyor; 5-10 kişilik küçük ajanslardan, e-ticaret girişimlerine kadar herkes risk altında.

Bu yazıda, hem kendi projelerimde hem de yönetimini üstlendiğim sunucu ve veri merkezi ortamlarında gördüğüm gerçek vakalardan çıkardığım derslerle, ransomware saldırıları neden artıyor, nasıl çalışıyor ve <a href="https://www.DCHost.com/tr/web-hosting”>Hosting / sunucu / veri merkezi tarafında neler yaparak bu riski ciddi şekilde azaltabilirsiniz sorularına odaklanacağım.

Ransomware nedir ve nasıl çalışır?

Ransomware’in temel mantığı

Ransomware, yani fidye yazılımı, sistemdeki dosyaları güçlü şifreleme algoritmalarıyla kilitleyen ve açmak için fidye talep eden zararlı yazılım türüdür. Temel işleyişi özetle şöyle:

  • Ağınıza bir şekilde sızar (e-posta, zafiyet istismarı, zayıf şifreler vb.).
  • Ağda yanal hareket ederek dosya sunucuları, veritabanları, paylaşımlı klasörler gibi kritik noktaları keşfeder.
  • Önce yedeklerinize ve gölge kopyalara saldırır; kurtarma şansınızı düşürmeye çalışır.
  • Daha sonra dosyaları toplu şekilde şifreler ve masaüstüne fidye notu bırakır.
  • Son dönemde yaygın olarak, verileri dışarıya sızdırır ve “ödemeseniz bile ifşa ederiz” tehdidiyle ikinci bir şantaj katmanı ekler.

Bu sürecin en kritik kısmı, saldırganın genellikle uzun süre fark edilmeden içeride kalabilmesidir. Bazı vakalarda logları incelediğimizde saldırganın haftalarca yavaş yavaş keşif yaptığını, ayrıcalıkları yükselttiğini ve en uygun zamanı beklediğini görüyoruz.

Çifte şantaj ve veri sızıntısı dönemi

Eskiden ransomware saldırılarında yedeğiniz varsa görece rahattınız: sistemi temizleyip yedekten dönmek çoğu zaman yeterliydi. Artık saldırganlar bunun farkında ve oyunun kurallarını değiştirdiler. Güncel senaryolarda genellikle şu iki adımı görüyoruz:

  1. Önce kritik verileri (müşteri bilgileri, finansal kayıtlar, sözleşmeler, kişisel veriler) dışarıya sızdırıyorlar.
  2. Ardından hem verileri şifreleyip sistemi kullanılmaz hale getiriyorlar hem de sızdırdıkları verileri ifşa etmekle tehdit ediyorlar.

Bu, özellikle KVKK gibi regülasyonlar nedeniyle veri sızıntısının ciddi hukuki sonuçlara yol açtığı Türkiye gibi ülkelerde riski kat kat artırıyor. Yani artık sadece “yedeklerim var” demek yeterli değil; veri sızıntısını önleyecek ağ segmentasyonu, erişim kontrolleri ve izleme mekanizmaları da kritik hale geliyor.

Tipik bir ransomware saldırı zinciri

Birçok vakada gözlemlediğim tipik saldırı zincirini sadeleştirerek şöyle anlatabilirim:

  • Kullanıcıya hedefli bir kimlik avı e-postası gider.
  • Kullanıcı kötü niyetli eki açar veya zararlı bir bağlantıya tıklar.
  • Saldırgan, kullanıcının oturumunu veya makinesini ele geçirir.
  • Domain şifresi, paylaşımlı klasörler, RDP bilgileri gibi kritik kimlik bilgileri toplanır.
  • Ağda keşif başlar; dosya sunucuları, veritabanları, yedekleme sunucuları tespit edilir.
  • Gölge kopyalar silinir, çevrimiçi yedekler hedef alınır.
  • Yoğun olmayan bir zaman diliminde (gece, hafta sonu) toplu şifreleme süreci başlatılır.
  • Son olarak fidye notu bırakılır ve kripto para ile ödeme talep edilir.

Bu zincirin her halkasında aslında durdurma şansınız var. Güçlü e-posta güvenliğinden ağ segmentasyonuna, log analizinden yedekleme stratejilerine kadar her katman ayrı bir savunma fırsatı sunuyor.

Ransomware saldırıları neden bu kadar arttı?

Dijitalleşme ve genişleyen saldırı yüzeyi

Özellikle pandemiyle hızlanan uzaktan çalışma, bulut geçişleri, hızla açılan VPN ve RDP erişimleri saldırı yüzeyini ciddi şekilde büyüttü. Daha önce sadece iç ağdan erişilen birçok servis, bir anda internetten erişilebilir hale geldi. Üstelik bu geçişler çoğu zaman aceleyle planlandığı için:

  • Zayıf parolalar ve tek faktörlü kimlik doğrulama kullanıldı,
  • Güncellenmemiş, yamalanmamış sunucular internete açıldı,
  • Güvenlik duvarı ve WAF kuralları minimum seviyede bırakıldı.

Bu tablo, ransomware grupları için adeta açık kapı etkisi yarattı. Özellikle RDP portu açık, eski işletim sistemleri kullanan, yedekleme stratejisi zayıf küçük ve orta ölçekli şirketler kolay hedef haline geldi.

Ransomware artık organize bir “iş modeli”

Ransomware saldırıları artık bireysel hackerların hobi projesi değil; tam anlamıyla organize bir siber suç ekonomisi haline geldi. RaaS (Ransomware as a Service) denen modelde:

  • Bir grup fidye yazılımını geliştiriyor ve altyapısını sağlıyor,
  • Başka gruplar veya bireyler bu altyapıyı kiralayıp saldırıları sahada gerçekleştiriyor,
  • Toplanan fidyeler belirli bir oranda paylaşılıyor.

Bu modelin sonucu olarak, teknik bilgisi sınırlı gruplar bile çok sofistike araçlara erişebiliyor. Yani tehditin seviyesi artarken, saldırgan sayısı da çoğalıyor. Bu da doğal olarak istatistiklere “ransomware saldırılarında patlama” olarak yansıyor.

Ransomware saldırı vektörleri: Nereden sızıyorlar?

Kimlik avı e-postaları ve e-posta güvenliği

Çoğu vakada başlangıç noktası hâlâ basit bir e-posta. Özellikle muhasebe, insan kaynakları, satış ekiplerine giden “fatura”, “teklif”, “özgeçmiş” görünümlü iletiler çok yaygın. Burada iki katmanlı bir savunma yaklaşımı gerekiyor:

  • Sunucu tarafında güçlü bir e-posta güvenlik politikası,
  • Kullanıcı tarafında düzenli siber güvenlik farkındalık eğitimleri.

Alan adınızı kullanarak profesyonel e-posta çalıştırıyorsanız, SPF, DKIM ve DMARC kayıtlarınızı mutlaka doğru yapılandırın. Bu, sahte e-postaların itibarınızı zedelemesini ve çalışanlarınızın kafasını karıştırmasını önemli ölçüde azaltır. Bu konuda detaylı teknik adımları, kendi hazırladığım alan adı ile profesyonel e-posta ve SPF, DKIM, DMARC ayarları rehberinde bulabilirsiniz.

Zayıf sunucu, RDP ve yönetim arabirimleri

Sunucu tarafında en sık gördüğüm problem, doğrudan internete açık, zayıf şifreli RDP veya SSH erişimleri. Hatta bazen standart portlar hiç değiştirilmemiş, fail2ban benzeri koruma mekanizmaları yok, iki faktörlü kimlik doğrulama uygulanmamış oluyor.

VPS veya Fiziksel Sunucu işletiyorsanız, mutlaka:

  • Varsayılan portları değiştirin veya erişimi VPN arkasına alın,
  • Güçlü parola + MFA (iki faktörlü kimlik doğrulama) kullanın,
  • Firewall kuralları ile sadece belirli IP aralıklarına izin verin,
  • Düzenli olarak güncelleme ve yama yönetimi yapın.

VPS tarafında yeni başladıysanız, adım adım sertleştirme için hazırladığım VPS sunucu güvenliği uygulamalı rehberine göz atmanızı özellikle öneririm.

Web uygulaması açıkları ve CMS güvenliği

WordPress, Joomla, Drupal gibi içerik yönetim sistemleri yaygınlıkları nedeniyle saldırganların en çok incelediği hedeflerden. Eski temalar, güncellenmeyen eklentiler, zayıf yönetici şifreleri; saldırganın içeri girmesi için fazlasıyla yeterli.

Özellikle WordPress kullanan sitelerde şu hatalar çok sık karşıma çıkıyor:

  • “admin” kullanıcı adıyla yönetici hesabı bırakmak,
  • Güncellemeleri manuel ertelemek ve aylarca versiyon geçmemek,
  • İhtiyaç olmayan eklentileri kurup, sonra kaldırmadan bırakmak,
  • Güvenlik eklentisi, WAF veya rate limit gibi korumaları kullanmamak.

WordPress güvenliği konusunda daha derinleşmek isterseniz, WordPress güvenliği ve saldırılara karşı korunma rehberinde adım adım yapmanız gerekenleri detaylandırmıştım.

Sunucu, hosting ve veri merkezinde ransomware’e karşı alınması gereken önlemler

Temel sertleştirme ve ağ segmentasyonu

Bana göre ransomware’e karşı en kritik savunma katmanlarından biri, iyi planlanmış bir ağ segmentasyonu ve minimum yetki prensibidir. Tüm sunucuların, istemcilerin ve servislerin tek bir düz ağda olduğu ortamlarda bir makine düştüğünde, saldırganın tüm ortamı ele geçirmesi çok kolay oluyor.

Önerdiğim temel yaklaşımlar:

  • Uygulama sunucuları, veritabanları, yedekleme sistemleri ve kullanıcı bilgisayarlarını farklı VLAN’lara ayırın.
  • Her segment arasında sadece gerçekten ihtiyaç duyulan port ve protokollere izin verin.
  • Yönetim arabirimlerini (RDP, SSH, panel erişimleri) ayrı bir yönetim ağına alın.
  • Zero Trust yaklaşımını adım adım uygulamaya başlayın; hiçbir trafiği varsayılan olarak “güvenli” kabul etmeyin.

Veri merkezi ortamlarında Zero Trust mimarisini uygulamak istiyorsanız, veri merkezlerinde Zero Trust benimsemesi için hazırladığım rehber güzel bir başlangıç noktası olabilir.

Yedekleme stratejisi: 3-2-1 kuralı ve offline kopyalar

Ransomware saldırılarında asıl felaketi belirleyen şey genellikle yedekleme stratejisinin kalitesi oluyor. Ne yazık ki birçok vakada yedeklerin ya hiç çalışmadığını ya da saldırgan tarafından silindiğini görüyoruz. Benim kendi projelerimde de uyguladığım temel kural şu: 3-2-1 yedekleme kuralı.

  • En az 3 kopya veri (orijinal + 2 yedek),
  • En az 2 farklı ortam (örneğin disk + bulut veya farklı storage sistemleri),
  • En az 1 kopya offline veya sadece tek yönlü erişilebilir (immutability / WORM) olmalı.

Yedeklerinizi aynı ağa bağlı, yazma yetkisi olan bir dosya sunucusunda tutuyorsanız, ransomware için fazladan bir hedef vermiş oluyorsunuz. Yedekleme konusunu daha sistematik ele almak için hazırladığım sunucu yedekleme stratejileri ve ipuçları yazısına mutlaka göz atın.

Daha büyük ölçekli veri merkezi ortamlarında ise, sadece yedekleme değil, veri kurtarma çözümleri ve felaket kurtarma planları ile de bu yapıyı desteklemek gerekiyor.

İzleme, loglama ve anomali tespiti

Ransomware saldırıları çoğu zaman bir anda patlamaz; öncesinde haftalar süren keşif, deneme-yanılma ve yanal hareket faaliyetleri olur. Bu yüzden güçlü bir loglama ve izleme altyapısı kritik:

  • Sunucularda başarısız oturum açma denemelerini, RDP/SSH bağlantılarını, yönetici yetkisi yükseltme girişimlerini izleyin.
  • Dosya sunucularında olağandışı dosya silme/değiştirme hızlarını tespit eden çözümler kullanın.
  • Firewall ve WAF loglarını merkezi bir yerde toplayın, korelasyon kuralları oluşturun.
  • Şüpheli aktiviteler için SMS, e-posta veya anlık bildirimlerle alarm üretin.

İster kendi veri merkezinizde, ister DCHost gibi güvenlik odaklı hosting sağlayıcılarında sunucu barındırıyor olun; loglama ve izleme sorumluluğunu tamamen dışarıya bırakmamak gerekiyor. Hizmet aldığınız yerde nelerin izlendiğini, hangi logların tutulduğunu, retention sürelerini mutlaka netleştirin.

Veri merkezi seviyesinde ek önlemler

Eğer kendi veri merkezinizi işletiyorsanız veya kritik sistemleriniz co-location ortamlarında barınıyorsa, iş sadece sunucu sertleştirme ile bitmiyor. Ağ sınır güvenliği, DDoS koruması, IPS/IDS sistemleri, fiziksel güvenlik gibi katmanlar da devreye giriyor. Bu konuyu daha geniş bir çerçeveden ele aldığım veri merkezlerinde siber saldırılara karşı alınması gereken önlemler yazısını da inceleyebilirsiniz.

Küçük ve orta ölçekli işletmeler için pratik ransomware kontrol listesi

Teoride her şeyi bilmek güzel ama günlük koşuşturmanın içinde nereden başlayacağını bilememek çok normal. O yüzden kendi müşterilerim için kullandığım sadeleştirilmiş bir ransomware kontrol listesini burada paylaşmak istiyorum. Bunu bir proje toplantısına götürüp IT ekibinizle tek tek üzerinden geçebilirsiniz.

Altyapı ve sistem tarafı

  • Tüm sunucu ve istemcilerde güncel işletim sistemi ve güvenlik yamaları yüklü mü?
  • RDP, SSH, panel erişimleri mümkünse VPN arkasında mı, değilse IP kısıtlaması uygulanıyor mu?
  • Tüm kritik hesaplarda MFA (iki faktörlü kimlik doğrulama) aktif mi?
  • Yerel admin hakları minimum seviyede mi, kullanıcılar günlük işlerinde admin hesabı kullanmıyor mu?
  • Antivirüs/EDR çözümleri merkezi olarak yönetiliyor ve logları izleniyor mu?

Yedekleme ve kurtarma

  • 3-2-1 kuralına uygun bir yedekleme stratejiniz var mı?
  • En az bir yedek kopyanız offline veya değiştirilemez (immutable) formatta tutuluyor mu?
  • Yedeklerinizi sadece almakla kalmayıp, düzenli olarak geri dönüş testleri yapıyor musunuz?
  • Yedekleme sunucuları ve depolama alanları ayrı bir ağ segmentinde mi?

Kullanıcı farkındalığı ve süreçler

  • Personeliniz yılda en az bir kez siber güvenlik ve kimlik avı eğitimi alıyor mu?
  • Şüpheli e-posta, dosya veya bağlantı gördüklerinde ne yapacaklarını net biliyorlar mı?
  • Ransomware olayı yaşanırsa, kimin hangi adımları atacağı yazılı bir olay müdahale planında tanımlı mı?
  • Hukuki, KVKK ve iletişim boyutları için önceden hazırlanmış şablonlarınız, kriz iletişim planınız var mı?

Hosting ve bulut tarafı

  • Hosting sağlayıcınızın güvenlik politikalarını ve sorumluluk sınırlarını net olarak biliyor musunuz?
  • Web siteniz için HTTPS, güvenli SSL sertifikası ve düzenli güncelleme süreçleri tanımlı mı?
  • Paylaşımlı hosting kullanıyorsanız, kritik uygulamalar için izolasyonu yüksek bir VPS veya dedicated mimariye geçmeyi değerlendirdiniz mi?
  • DCHost gibi güvenlik odaklı ve yedekleme politikalarını şeffaf paylaşan bir hizmet sağlayıcıyla çalışıyor musunuz?

Web siteniz ve hosting ortamınız için genel güvenlik önlemlerini toparladığım web hosting güvenliği için öneriler yazısındaki adımları da bu kontrol listesiyle birlikte değerlendirmenizi tavsiye ederim.

Sonuç ve öneriler

Ransomware artık sadece teknik bir risk değil; iş sürekliliği, itibar, hukuki sorumluluk ve hatta şirketin varlığını tehdit eden bütünsel bir problem. İyi haber şu ki, bu tehdidi tamamen sıfırlamasak da, doğru adımlarla etkisini dramatik şekilde azaltmak elimizde.

Özetlemek gerekirse:

  • Saldırı yüzeyinizi küçültün: Gereksiz açık portları, servisleri ve eski sistemleri kapatın.
  • Kimlik ve erişim yönetimini güçlendirin: MFA, minimum yetki, ayrıcalıklı hesap yönetimi.
  • Sağlam bir yedekleme ve felaket kurtarma stratejisi kurun; sadece almakla değil, geri dönmekle de ilgilenin.
  • Veri merkezi ve ağ mimarinizi segmentasyon ve Zero Trust bakış açısıyla yeniden düşünün.
  • Kullanıcı eğitimi ve farkındalığına yatırım yapın; en zayıf halka çoğu zaman insan.

Eğer şu an elinizde net bir plan yoksa, ilk adım olarak mevcut durumunuzu dürüstçe analiz edip basit bir aksiyon listesi çıkarmak bile büyük fark yaratır. İsterseniz önce e-posta güvenliği ve SPF/DKIM/DMARC yapılandırmalarınızdan başlayabilir, ardından HTTP’den HTTPS’ye geçiş ve SSL gibi düşük asılı meyveleri toplayabilirsiniz. Sonrasında sunucu güvenliği, yedekleme ve veri merkezi stratejilerinizi bir bütün olarak ele almak çok daha kolay olacaktır.

Benim yaklaşımım her zaman şu: Ransomware saldırıları “acaba gelir mi” değil, “ne zaman ve ne kadar hazırlıklı yakalanırız” sorusudur. Altyapınızı, süreçlerinizi ve ekiplerinizi bu bakış açısıyla tasarladığınızda, en kötü senaryoda bile oyuna sıfırdan başlamak yerine sadece birkaç adım geri gitmiş olursunuz.

Berkay Bulut

More posts by Berkay Bulut
Yeni Paylaşılanlar
Clear Filters
Featured image for How to Choose Data Center Location and Server Region for Better SEO and Website Speed article
How to Choose Data Center Location and Server Region for Better SEO and Website Speed
Alan Adı Hosting WordPress
By Berkay Bulut
 - 
23 Kasım 2025
How to Choose Data Center Location and Server Region for Better SEO and Website Speed

Choosing the right data center location and server region is one of those decisions that quietly shapes everything about your…

Read More
Veri Merkezi Lokasyonu ve Sunucu Bölgesi Seçimi konusunu açıklayan infografik
Veri Merkezi Lokasyonu ve Sunucu Bölgesi Seçimi
Alan Adı Hosting WordPress
By Berkay Bulut
 - 
23 Kasım 2025
Veri Merkezi Lokasyonu ve Sunucu Bölgesi Seçimi

Veri Merkezi Lokasyonu ve Sunucu Bölgesi Seçimi Neden Bu Kadar Önemli? Bir web projesi planlarken genelde alan adı, tema, SEO…

Read More

Yorum Yapın

Bağlantılı Makaleler