yedek aldım rahatım diyenlere kötü haber: fidye yazılımları önce yedeği vuruyor

Posted on 6 May 2026

arkadaşlar, “ben yedek alıyorum, fidye yazılımı bana bir şey yapamaz” diyenler için kötü haberlerim var. acronis’in yeni raporuna göre fidye yazılımı saldırıları başarılı oluyor çünkü saldırganlar önce yedekleri imha ediyor, sonra şifrelemeye başlıyor. yani yedek var ama yok gibi.

olay ne yani?

şöyle ki, klasik fidye yazılımı senaryosunu bilirsiniz: saldırgan içeri girer, dosyaları şifreler, para ister. ama modern saldırganlar artık daha akıllı. önce sisteme sessizce sızıyorlar, sonra yedekleme sistemlerinizi buluyorlar, ardından:

  1. yedek dosyalarını siliyorlar
  2. yedekleme yazılımını devre dışı bırakıyorlar
  3. shadow copy’leri temizliyorlar
  4. bulut yedeklerinin credential’larını çalıyorlar
  5. sonra şifrelemeye başlıyorlar

yani siz “yedeğim var” diye rahat uyurken, saldırgan zaten yedeği çöpe atmış bile.

acronis ne diyor bu konuda?

acronis’in açıklamasına göre, fidye yazılımı grupları artık yedekleme sistemlerini hedef almak için özel taktikler geliştirmiş durumda. saldırılar genelde şöyle ilerliyor:

1. keşif aşaması:

  • ağda yedekleme sunucularını buluyorlar
  • hangi yedekleme yazılımı kullanıldığını tespit ediyorlar
  • yedeklerin nerede saklandığını öğreniyorlar

2. erişim sağlama:

  • yedekleme admin hesaplarını ele geçiriyorlar
  • credential’ları çalıyorlar
  • yedekleme sunucusuna erişim sağlıyorlar

3. imha:

  • yedek dosyalarını siliyorlar
  • snapshot’ları temizliyorlar
  • yedekleme loglarını bile siliyorlar ki ne olduğunu anlamayasınız

4. şifreleme:

  • artık gönül rahatlığıyla şifrelemeye başlıyorlar
  • çünkü biliyorlar ki geri dönüş yolunuz yok

spoiler: bu yüzden fidye ödemek zorunda kalan şirketlerin çoğu aslında yedek alıyormuş, ama işte…

peki ne yapacağız agalar?

yedek stratejinizi gözden geçirin

klasik yedek almak yetmiyor artık. şunlara dikkat edin:

3-2-1-1 kuralı:

  • 3 kopya verinin olsun
  • 2 farklı ortamda saklayın (disk, tape vs)
  • 1 tanesi off-site olsun
  • 1 tanesi immutable (değiştirilemez) olsun

immutable backup denen şey çok önemli. bu yedekleri kimse silemez, değiştiremez. saldırgan admin yetkisi de alsa bir şey yapamaz.

yedekleme sistemini izole edin

# yedekleme sunucunuzu ayrı bir vlan'a alın
# firewall kurallarıyla sadece gerekli portları açın
# yedekleme trafiğini segmente edin

yedekleme sunucunuz domain admin yetkisiyle çalışmasın. ayrı bir hesap, en az yetki prensibi.

air-gapped yedek

agalar şunu yapın: en azından haftada bir kere yedek alıp fiziksel olarak ağdan koparın. eski usul tape’e yazın, diski çıkarıp kasaya koyun. saldırgan ağdan erişemeyeceği yedek varsa, siz kurtulursunuz.

# örnek offline yedek senaryosu:
# 1. yedek al
# 2. harici diske yaz
# 3. diski fiziksel olarak çıkar
# 4. güvenli yere kilitle

yedekleri test edin

arkadaşlar bunu çok önemsemiyoruz ama: yedekten geri yükleme testi yapın düzenli olarak. yoksa saldırı anında öğreniyorsunuz ki yedek bozukmuş, işe yaramıyormuş falan.

ayda bir disaster recovery tatbikatı yapın:

  • rastgele bir sunucuyu seçin
  • yedekten geri yükleyin
  • ne kadar sürdü, sorun var mı kontrol edin

monitoring ve alerting

yedekleme sisteminde şüpheli aktivite olursa anında alarm versin:

  • yedek dosyası silinmesi
  • yedekleme servisinin durdurulması
  • shadow copy temizleme girişimi
  • beklenmedik yedekleme admin girişi
# windows için shadow copy silme girişimlerini izleyin
# event id 524 (shadow copy deletion)
# vssadmin delete shadows komutu çalışırsa alarm

credential yönetimi

yedekleme sisteminin credential’larını:

  • password vault’ta saklayın
  • düzenli rotate edin
  • mfa ile koruyun
  • admin hesaplarından ayrı tutun

immutable backup nedir, nasıl yapılır?

immutable backup, yazıldıktan sonra belli bir süre boyunca hiç kimse tarafından silinemez veya değiştirilemez olan yedek demek. saldırgan admin yetkisi de alsa, bu yedeklere dokunamaz.

nasıl yapılır:

  1. s3 object lock: aws s3’te object lock özelliğini açın, compliance mode kullanın
  2. azure immutable storage: azure blob storage’da immutability policy tanımlayın
  3. acronis cyber protect: immutable backup özelliğini aktif edin
  4. veeam: immutable backup repository kullanın (linux hardened repository)

örnek veeam konfigürasyonu:

# linux sunucuya veeam backup repository kurun
# single-use credentials ile yapılandırın
# immutability'yi etkinleştirin
# saldırgan veeam console'a erişse bile bu yedekleri silemez

saldırganlar hangi yedekleme sistemlerini hedefliyor?

raporlara göre en çok hedeflenen sistemler:

  • veeam backup & replication
  • veritas backup exec
  • commvault
  • windows shadow copy
  • nas cihazları (synology, qnap)

bu sistemleri kullanıyorsanız ekstra dikkatli olun. güncel tutun, hardening yapın.

gerçek vaka örnekleri

örnek 1: bir şirket düzenli yedek alıyormuş. fidye yazılımı gelmiş, önce 3 ay boyunca sessizce ağda dolaşmış. tüm yedekleme sunucularını tespit etmiş, yedeklerin nerede olduğunu öğrenmiş. sonra bir gece tüm yedekleri silmiş, ardından şifrelemeye başlamış. şirket “yedeğimiz var” diye rahat ama yedek yok ki.

örnek 2: başka bir firma cloud’da yedek alıyormuş. saldırgan önce cloud hesabının credential’larını çalmış. sonra cloud’daki yedekleri de silmiş. hem lokal hem cloud yedek gitmiş.

kontrol listesi

hadi bakalım, şunları kontrol edin:

  • immutable backup kullanıyor musunuz?
  • yedekleme sunucusu izole mi?
  • air-gapped yedek var mı?
  • yedekten geri yükleme testi yapıyor musunuz?
  • yedekleme sistemi monitoring aktif mi?
  • yedekleme credential’ları güvende mi?
  • shadow copy deletion alert’leri var mı?
  • disaster recovery planınız güncel mi?

sonuç

arkadaşlar, “yedek alıyorum” demek artık yetmiyor. saldırganlar da biliyorlar yedek aldığınızı, o yüzden önce oraya vuruyor. yedekleme stratejinizi gözden geçirin, immutable backup kullanın, off-site ve air-gapped kopyalar tutun.

edit: bu sadece fidye yazılımı için değil, insider threat için de geçerli. kötü niyetli bir admin da yedekleri silebilir. immutable backup her türlü senaryoya karşı korur.

dikkat: yedekleme sistemini test etmeyi unutmayın. saldırı anında “yedek bozukmuş” diye öğrenmeyin.

kaynaklar

Bu içerik yapay zeka tarafından oluşturulmuştur.