Infostealer Zararlıları ve KVKK Şantajları Hakkında Kritik Uyarı

Makale Konumuz: Lumma ve Benzeri Stealer Zararlı Yazılımlar ve Çalınmış Verilerin Satışı

Değerli Bilişim Profesyonelleri ve Değerli Okuyucularımız..

Sizlere Lumma ve benzeri stealer zararlı yazılımlar, “stealer log” olarak adlandırılan çalınmış verilerin satışı, KVKK şantajı gibi suç senaryolarını detaylıca ele alan kapsamlı bir yazı hazırladık. Bu makalemiz internet, açık kaynaklar ve sosyal medya paylaşımlarına dayanarak olabildiğince güncel bilgilerle kaleme alındı. Umarız faydalı bir yazı olur ve sizlerin önleyici çalışmalarınıza katkı sağlar.

Ayrıca bu oldukça önemli konuda gerekli çalışmaları yaptıktan sonra daha spesifik teknik detaylar ve örnek açıklamaları daha sonra haber sitemizde yayınlayacağız. Infostealer Zararlıları hakkında ki yazımızı bu linkten okuyabilirsiniz.

Saygılarımla
Osman SELÇOK – Genel Yayın Yönetmeni
bilişim Profesyonelleri Haber Sitesi www.bp.tr

---

Lumma ve benzeri stealer zararlı yazılımlar, “stealer log” olarak adlandırılan çalınmış verilerin satışı, KVKK şantajı gibi suç senaryoları hakkında hazırladığımız makalemiz.

Infostealer Zararlıları ve KVKK Şantajları Hakkında Kritik Uyarılar

Gelişen stealer malware ekosistemi, basit yöntemlerle toplanan hassas bilgilerin düşük maliyetle satılmasını sağlıyor. Bu durum, özellikle KVKK gibi regülasyon temelli şirketleri şantaj yapmaya açık hale getiriyor. Kurumların olası sızma durumları için hazırlıklı olması, teknik-sağlam altyapı ve yasal danışmanlık ile birlikte stratejik bir yaklaşım geliştirmesi gerekiyor.

1. Infostealer Nedir ve Nasıl Çalışır?

Infostealer (stealer) zararlı yazılım, kullanıcıların tarayıcılarında depolanan şifreler, oturum çerezleri, kredi kartı bilgileri, kripto cüzdan verileri, sistem bilgiler i ve ekran görüntüleri dahil olmak üzere geniş bir yelpazede hassas veriyi hedef alır. ( Kaynaklar: Kaynak-1, Kaynak-2, Kaynak-3 )

Bu yazılımlar genellikle şu yollarla kurban bilgisayara sızar:

• Kimlik avı linkleri veya ekleri
• Sahte “CAPTCHA” veya crack/aktivasyon sayfaları
• Discord, Telegram gibi platformlardan yayılan zararlı linkler
• Korsan yazılımlar ya da trojan-dropper’lar aracılığıyla ( Kaynaklar: Kaynak-1 )

Lumma Stealer örneğinde, bu yazılım genellikle Windows üzerinde çalışıp tarayıcı parolaları, oturum bilgileri, kripto cüzdan dosyaları ve iki faktörlü kimlik doğrulama verilerini hedef alır.
( Kaynaklar: Kaynak-1, Kaynak-2, Kaynak-3, Kaynak-4, Kaynak-5, Kaynak-6 )

---

2. Lumma & Güncel Gelişmeler

• LummaC2 adıyla da bilinen Lumma Stealer, popüler stealer yazılımlar arasında yer alıyor ve H2 2024’ten itibaren %369 artışla dünya çapında yayılım gösterdi
  ( Kaynaklar: Kaynak-1, Kaynak-2, Kaynak-3, Kaynak-4, Kaynak-5, Kaynak-6, Kaynak-7, Kaynak-8, Kaynak-9, Kaynak-10, Kaynak-11 )
• Özellikle Brezilya, Türkiye, Polonya gibi ülkelerde yaygın kullanımı tespit edildi .
• FBI, CISA ve Microsoft gibi kurumlar Mayıs 2025’te yaklaşık 2.300 kontrol domainini ele geçirdi; ancak kısa sürede faaliyetler yeniden canlandı
  ( Kaynaklar: Kaynak-1, Kaynak-2, Kaynak-3, Kaynak-4, Kaynak-5, Kaynak-6, Kaynak-7 )
• Mikrodosya boyutlu infostealer malware’lerin “malware as a service (MaaS)” modeliyle 250–1.000 $ arasında abonelikle sunulduğu, Kremlin tabanlı tehdit aktörlerinin bu ekosisteme eriştiği bildirildi.
  ( Kaynaklar: Kaynak-1, Kaynak-2 )

---

3. Stealer Log Pazarı ve Fiyatlandırma

Ele geçirilen veriler, hazırlanmış “stealer log” dosyaları halinde Telegram kanalları veya yer altı forumlarında satılıyor:

• Rus kaynaklı “Russian Market” gibi pazarlarda loglar 2–5 $ gibi sembolik fiyatlarla satışa sunuluyor
  ( Kaynaklar: Kaynak-1, Kaynak-2, Kaynak-3, Kaynak-4 )
• Birçok log dosyası, kayıp kullanıcı verileri, çerezler, oturum token’ları ve SaaS platform (Google Workspace, Zoom, Salesforce) erişim bilgileri içeriyor
  ( Kaynaklar: Kaynak-1, Kaynak-2 )
• Bu düşük fiyatlar, kurumsal düzeyde bile erişim elde eden saldırgan profili için ciddi bir finansal bariyer oluşturuyor ve büyük suç ağları için karlı bir altyapı oluşturuyor .

---

4. Şantaj Senaryosu: KVKK’ya Bildirim ve Fidye Talebi

Örneğinizdeki senaryoya göre:

1. Bir kullanıcı bilgisayarı Lumma vb. ile enfekte olur.
2. Browser’da bulunan şirket çalışan bilgileri çalınır.
3. Log dosyaları dark web/Telegram üzerinden 5 $ gibi düşük bir fiyatla satın alınır.
4. Satıcı, verilerin doğru olduğunu söyleyerek şirkete “KVKK’ya veri sızıntısı bildireceğiz, ya fatura ödeyin ya bildirime devam ederiz” şeklinde şantaj yapar.
5. Kurumlar, verilerin doğruluğu nedeniyle paniğe kapılır ve ödeme gerçekleştirebilir.

Bu senaryo özellikle Türkiye’de KVKK (Kişisel Verileri Koruma Kurumu) etkisi göz önünde bulundurulduğunda ciddi bir devasa risk oluşturuyor.

---

5. Neden Kurumlar Şantaja Razı Oluyor?

• Çalınan veriler genellikle gerçek, çalışan e‑posta/parola kombinasyonları olduğundan saldırganın elindeki örnekler inandırıcıdır
  ( Kaynaklar: Kaynak-1, Kaynak-2, Kaynak-3 )
• KVKK ihlali durumunda ceza riski, itibar kaybı ve müşteriye/yasal kurumlara bildirim zorunluluğu şirketleri baskı altında bırakır.
• Özellikle küçük ve orta ölçekli kuruluşlarda kurumsal siber güvenlik süreçleri zayıf veya eksiktir, iç görünürlük sınırlıdır.

---

6. Alınabilecek Önlemler

1. Son kullanıcılara teknolojik ve sürekli eğitim: Kimlik avı, sosyal mühendislik saldırıları konusunda farkındalık yüksek tutulmalı.
2. Güçlü EDR/AV ve tarayıcı güvenlik modülleri kullanımı: Özellikle çeşitli infostealer’lara sahip antivirüs çözümleri tercih edilmeli .
3. 2FA zorunluluğu, SSO ve sıfır güven (Zero Trust): Kişisel bilgiler ele geçse bile erişim kısmı kısıtlanabilir.
4. Olay müdahale ve tatbikat politikaları: Sızma sonrası zarar tespiti, iletişim ve raporlama prosedürleri önceden tanımlanmalı.
5. KVKK uyumlu raporlama stratejisi: İhlal durumlarında haberleşme belgelenmeli, ek şantaj ve fidye durumlarında hukuki destek alınmalı.
6. Dark web izleme, threat intel: Log satış platformları, ihlali önceden tespit etmeye yardımcı olur.

---

7. Özet ve Genel Değerlendirme

Konu	Durum
Infostealer yayılımı	Özellikle Lumma gibi araçlara bağlı olarak H2 2024–2025’te artış yaşandı. ( Kaynaklar: Kaynak-1, Kaynak-2, Kaynak-3, Kaynak-4, Kaynak-5, Kaynak-6 )
Log pazarı	Stealer loglar 2–5 $ arasında kolaylıkla satılabiliyor
Şantaj riski	KVKK tehdidi ile şirketlere ‘veri sızıntısı bildiri’ ve ödeme baskısı yapılabilir
Hukuki ve teknik çözümler	KVKK uyumlu politika, güvenlik altyapısı, eğitim ve olay müdahale şart

---

Makale Sonuç Değerlendirmesi

Gelişen stealer malware ekosistemi, basit yöntemlerle toplanan hassas bilgilerin düşük maliyetle satılmasını sağlıyor. Bu durum, özellikle KVKK gibi regülasyon temelli şirketleri şantaj yapmaya açık hale getiriyor. Kurumların olası sızma durumları için hazırlıklı olması, teknik-sağlam altyapı ve yasal danışmanlık ile birlikte stratejik bir yaklaşım geliştirmesi gerekiyor.

---

Siber Güvenlik Departmanları için Şirket / Kurum İçi Duyurular

Konu: Infostealer Zararlilari ve KVKK Santajlari Hakkinda Kritik Uyari

Son dönemde infostealer zararlı yazılımlarıyla kullanıcı bilgisayarlarından şifre, tarayıcı verisi ve ekran görüntüsü gibi hassas bilgiler ele geçirilmektedir. Bu bilgiler, Telegram ve dark web platformlarında 5-10 USD arası fiyatlarla satılmakta ve ardından kurumlarımıza yönelik veri sızıntısı yaşadınız, KVKK bildirimi yapılacak şeklinde tehdit ve şantaj vakaları yaşanmaktadır.

Tespit Edilen Tehditler:

• Lumma Stealer
• PupkinStealer
• Redline / Raccoon

Alınması Gereken Önlemler:

• Şifrelerinizi güçlü ve benzersiz belirleyin
• E-posta eklerini açmadan önce kaynağı teyit edin
• Şüpheli link ve CAPTCHA sayfalarına bilgi girmeyin
• Tüm sistemlerde EDR ve MFA kullanımını zorunlu tutun

IOC ve MITRE ATT&CK eşleşmeleriyle ilgili detaylı veri, Siber Güvenlik Departmanımız tarafından sistemlere uygulanmıştır.

Daha fazla bilgi için: Siber Güvenlik Departmanı

Infostealer Tehlikesi: Kurumsal Verileriniz Tehlikede!

Infostealer zararlı yazılımlarıyla kurum çalışanlarının şifreleri ve müşteri bilgileri sızdırılıyor.

Türkiye’de son 6 ay:

• 73 kurumsal log sızıntısı
• 1120 kişisel veri satışı

En Çok Kullanılan Zararlılar:

• LummaC2
• RedLine
• Vidar
• PupkinStealer

Tehdit Yöntemleri:

• Fake CAPTCHA
• Kimlik avı e-postaları
• Sahte kurumsal formlar

Hedeflenen Veriler:

• E-posta ve şifreler
• Tarayıcı şifreleri
• Ekran görüntüleri
• Kripto cüzdanlar

Çözüm:

• MFA
• EDR
• Güçlü parola
• E-posta kontrolü

IOC ve MITRE ATT&CK eşleşmeleri uygulanmıştır.

IOC Listesi ve MITRE ATT&CK Eşleşmeleri

IOC Örnekleri:

• PupkinStealer: %APPDATA%\Temp\Grabbers\Browser\passwords.txt
• LummaC2: Base64 PowerShell payload yürütmesi, fake .exe

MITRE ATT&CK Eşleşmeleri:

• Initial Access: T1566.001/002
• Execution: T1204.002
• Credential Access: T1555.003, T1528
• Collection: T1005, T1113
• Exfiltration: T1041, T1567.002

Incident Response Playbook

1. Deteksiyon ve Ön İzleme: IOC’leri SIEM ve EDR’e entegre edin.
2. İzolasyon: Şüpheli sistemleri ağdan ayırın, log alın.
3. Adli Analiz: Kayıt defteri, scheduled task ve PowerShell yürütmeleri inceleyin.
4. Temizlik: Zararlı dosyaları ve task’ları temizleyin. Parola reset ve MFA zorunlu.
5. Raporlama: KVKK bildirim süreçlerini başlatın.
6. Geriye Dönük Taramalar: Diğer sistemleri IOC’lerle kontrol edin.
7. Lessons Learned: Olay sonrası rapor ve personel eğitimi.

İletişim: Siber Güvenlik Departmanı [email protected] | 0850 xxx xx xx