— Saha defteri / 22 Nisan 2026 —

Tutulma: Fidye Yazılımının Kurban Ritüeli

Behelit titreşmeye başladığında geri dönüş yoktur. Gökyüzü yarılır, yer kıvrılır, ve dün sadık olan herkes sunağa dizilmiş bulur kendini. Modern fidye operasyonları da aynı dramatik mantığı izler. Bu yazı, bir ransomware operasyonunu Tutulma'nın beş aşamasıyla okuyor.

I. Behelit'in Çağrısı — Initial Access

Her Tutulma bir Behelit'le başlar. Sıradan bir taş gibi durur, ama doğru elde, doğru anda titrer. Saldırgan tarafında bu; bir oltalama eki, sızdırılmış bir VPN kimliği, bir ProxyShell zinciri olabilir. Önemli olan tek şey vardır: bağlantı kurulduğu an evrenin kapısı çoktan aralanmıştır.

Behelit'i taşıyan kişi her zaman saldırgan değildir. Genellikle bir kullanıcıdır — pazarlama ekibinden biri, finans birimindeki yeni asistan. Onlar farkında olmadan ritüele aday olurlar.

II. Yarılan Gökyüzü — Discovery & Lateral Movement

Operatör içeri girdiğinde sahne hemen değişmez. Casca'nın korkuyla bakındığı o ilk dakikalar gibidir: belirsiz, sessiz, ama yanlış. net group "Domain Admins", nltest /dclist:, bolca BloodHound, biraz Cobalt Strike beacon. Kara Süvari için bu aşamadaki tek imkân, anomalinin sessizliğini duyabilmektir.

"Bir şey değişti. Hava ağırlaştı. Hâlâ kimse görmüyor."

III. Kurban Çağrısı — Privilege Escalation

Tanrısal El, ritüel için kurban ister. Operatör de aynısını yapar: bir Domain Admin hesabı, bir KRBTGT hash'i, bir hypervisor şifresi. Kerberoasting, DCSync, ESXi root. Fark etmez — istenen tek şey, ağın en sevdiği şeyi sunağa çıkarmasıdır.

Griffith'in trajedisi de buradadır: ekibini kendi elleriyle kurar, sonra kendi elleriyle teslim eder. Ağı kuran admin de çoğu zaman farkında olmadan en kolay anahtarı kendi eliyle bırakır.

IV. Femto'ya Dönüşüm — Encryption

Griffith, Femto olduğunda artık geri dönüşü yoktur. AES-256-CBC anahtarı her dosyaya değdiği an, dosya artık o dosya değildir. .locked, .encrypted, .[id]-[mail] uzantıları, bir ismin geri çağrılamaz biçimde değiştiğini söyler: "Sen artık o değilsin."

Modern aktörlerin çoğu bu aşamadan önce çift şantaj uygular: önce veri sızdırma, sonra şifreleme. Yani önce kurbanın ruhunu çalar, sonra bedenini şifreler.

V. Skull Knight'ın Müdahalesi — Response

Tutulma'da yalnızca bir figür Tanrısal El'i geri itebildi: Skull Knight. Bunu yaparken Guts'ı kurtarmadı; sadece kaçacak bir aralık açtı. Olay müdahalesi de tam olarak budur. Hiçbir Incident Response ekibi olanı geri getirmez. Yapabileceği tek şey, ağın bir kısmının kurtarılması için bir saatlik bir aralık açmaktır.

• İzole et (segmentasyon, EDR containment).
• Kimliği yok say (KRBTGT iki kez döndür, parolaları sıfırla).
• Hâlâ ayakta olanı toparla (immutable backup, offline kopyalar).
• Hikâyeyi yaz (forensic timeline, sonraki saldırıya hazırlık).

Damga, Defter'e

Bir kuruluş Tutulma'dan sağ çıktığında bir Damga taşımaya başlar. Yöneticilerin gözünde, sigortacının raporunda, regülatörün sicilinde. Bu damga acıdır — ama Guts gibi, onu pusulaya çevirmek mümkündür: bir sonraki Behelit'i daha titrer titremez tanırsın.

— Kara Süvari, sabaha karşı, log dosyaları kanlı.