Trellix İleri Araştırma Merkezi, mayıs ayında sızdırılan LockBit SQL veritabanı dökümünü inceleyerek fidye yazılım grubunun perde arkasına ışık tuttu. Analiz sonuçları, Aralık 2024 ile Nisan 2025 arasında LockBit’in 156 farklı kurumu hedef aldığını gösterdi. Saldırıların en yoğun yaşandığı ülke ise Çin oldu. Bu durum, Çin’in üretim gücü ve sanayi altyapısıyla doğrudan ilişkilendirildi.
LockBit’in Hedef Seçimi ve Saldırı Stratejileri
Diğer fidye yazılım gruplarının aksine LockBit’in, Çin’de aktif olarak faaliyet yürütmesi dikkat çekici bulundu. Örneğin Conti ve BlackBasta gibi rakip gruplar zaman zaman Çin’de sistem taramaları yapsa da, bu sistemleri nadiren şifrelemeye cesaret ediyor. LockBit ise olası siyasi sonuçları göz ardı ederek Çin’de saldırılar düzenliyor.
ABD ise daha geniş ve dağınık bir saldırı haritasına sahip. Grup üyeleri—örneğin “baleyBeach”, “umarbishop47” ve “btcdrugdealer”—bu ülkede rastgele fırsatları değerlendirmeye odaklanıyor. Tayvan üçüncü sırada gelirken, Brezilya ve Türkiye de yoğun saldırı alan ülkeler arasında yer aldı. Swan adlı grup üyesi, Avusturya, Çekya ve İsviçre gibi Avrupa ülkelerinde dikkat çeken operasyonlara imza attı. Bu da LockBit’in farklı yasal ve coğrafi ortamlarda esnek biçimde hareket edebildiğini gösteriyor.
Sektörel Dağılım ve Pazarlık Taktikleri
Sızdırılan bilgiler, LockBit’in en çok üretim sektörünü hedef aldığını gösteriyor. Onu tüketici hizmetleri, finans ve kamu hizmetleri takip ediyor. Araştırmacılar, grup içindeki fidye pazarlıklarının detaylarını incelediğinde, LockBit’in genellikle yüksek taleplerle başlayıp ciddi oranlarda indirimlere gittiğini belirledi. Yüzde 10’dan yüzde 80’e varan indirimlerin yaygın olması, siber şantaj süreçlerinde pazarlığın sıradan bir uygulama olduğunu gözler önüne serdi.
Grubun bazı üyelerinin belirli ülke ve sektörlerde daha etkili olduğu; böylece LockBit’in içinde uzmanlık alanlarına göre ayrışmalar bulunduğu anlaşıldı.
Grubun Finansal Gerçekleri
Sızan veriler, LockBit yöneticisinin toplam fidye ödemelerinin yaklaşık yüzde 20’sini aldığına işaret ediyor. Bu oran, incelenen dönemde 456 bin dolara denk geliyor. Otomatik kayıt davetlerinden ise sadece 10-11 bin dolar arası gelir elde edilmiş. Grubun, yeraltı forumlarında iddia ettiği “ayda 100 bin dolar kazanç” ise gerçeği yansıtmıyor; araştırmacılar, bu tür rakamların abartılı sunulduğunu belirtiyor.
Geçen yıl güvenlik güçlerinin operasyonları sonucu ağır darbe alan LockBit, bazı üyelerini kaybetse de faaliyetine devam etmeye çalışıyor. Grubun yapısı ise dışarıdan göründüğü kadar organize veya kusursuz olmaktan uzak; daha çok karmaşık ve pek çok zayıf yönü olan bir yapıdan oluşuyor.
Gerçeklerle Yüzleşen Bir Siber Suç Organizasyonu
LockBit’in sızdırılan verileri, fidye yazılım dünyasında çoğu zaman dile getirilmeyen gerçekleri gün yüzüne çıkarıyor. Yasadışı kazançların abartıldığı, grubun iç işleyişinin ise sanıldığı kadar mükemmel olmadığı ortaya kondu. Sonuç olarak, LockBit’in bu verilerle açığa çıkan gerçek yüzü; dağınık, karmaşık ve zaman zaman başarısızlıklardan payını alan bir suç organizasyonu olarak tanımlanıyor.