Sicarii RaaS MENA'yı Hedef Alıyor: Şifreleme Anahtarları İmha Ediliyor, Fidye Ödense Bile Kurtarma İmkânsız

Halcyon Ransomware Research Center (RRC), Aralık 2025'te ortaya çıkan Sicarii RaaS operasyonunu İran kaynaklı yıkıcı siber faaliyetlerin bir parçası olarak izliyor. Operasyonun en kritik özelliği, zararlı yazılımın dosyaları şifreledikten sonra kendi anahtarlarını imha etmesi; bu tasarım gereği fidye ödense dahi veri kurtarmanın hem kurban hem de operatör tarafından kalıcı olarak imkânsız hale gelmesidir. Halcyon, grubun kuruluşundan bu yana yalnızca birkaç kurban bildirdiğini, ancak son dönemde 'mümkün olan en fazla kurbanı şifrelemek' yönünde açık bir niyet beyan ettiğini raporluyor. Gözlemlenen kurban hedeflemesinin büyük bölümü META (Orta Doğu, Türkiye ve Afrika) bölgesinde yoğunlaşıyor; ABD merkezli yalnızca bir kuruluş tespit edilmiş durumda. Tüm bu gelişmeler, ABD ve İsrail'in İran'a yönelik askeri operasyonlarının ardından bölgede tırmanan siber tehdit ortamında değerlendirilmeli.

Sicarii'nin teknik mimarisi, şifreleme anahtarlarını operasyon tamamlandıktan sonra kasıtlı olarak yok edecek şekilde tasarlanmış; bu da onu geleneksel fidye yazılımlarından temelden ayırıyor. Söz konusu yapı, zararlı yazılımı finansal kazanç odaklı bir extortion aracı olmaktan çıkarıp kalıcı veri imhası hedefleyen bir 'destructionware'e dönüştürüyor. Halcyon'ın raporuna göre İran'ın siber misilleme senaryolarında bu tür araçlara başvurması bekleniyor: önce sistemlere fidye yazılımı yerleştiriliyor, ardından ya veri silme (wipe) ya da kurtarma olanağını ortadan kaldıran yıkıcı araçlar devreye sokuluyor. Bu TTP, İran'ın 2022'de Arnavutluk'a yönelik gerçekleştirdiği saldırıda —ransomware, extortion ve data-wipe taktiklerini sahte bir hacktivist grup kisvesi altında birleştirdiği— saldırıyla doğrudan örtüşüyor.

Sicarii operasyonu, Halcyon'ın takip ettiği daha geniş bir İran bağlantılı tehdit kümesinin parçasıdır. Bu küme; DDoS botnet'i HydraC2, pro-Filistin hacktivist grubu Handala ve MuddyWater APT'yi kapsıyor. MuddyWater, META bölgesini hedef alan ve RedKitten adıyla izlenen ayrı bir kampanyayla örtüşen TTP'lere sahip 'Operation Olalampo' adlı siber saldırı operasyonunu kurmuş durumda. APT34, APT35, APT39, APT42 gibi İran devlet destekli gruplar ise rejim muhaliflerini tespit etmek amacıyla büyük bireysel veri setlerine sahip kuruluşları hedef almaya devam ediyor. AWS'nin UAE ve Bahreyn veri merkezlerine yapılan kinetik saldırılar da bu koordineli faaliyet döneminde gerçekleşti ve Orta Doğu'daki birden fazla güvenlik sağlayıcısının bulut hizmetlerini sekteye uğrattı.

Finans sektörü için risk özellikle yüksektir: İran'ın geçmiş siber operasyonları ABD finans sitelerini (2011-2013) ve Las Vegas Sands Casino'yu (2014) hedef almış; Baltimore ve diğer ABD belediyelerini kilitleyen fidye saldırıları on milyonlarca dolar zarara yol açmıştır. Sicarii'nin 'anahtar imhası' tasarımı, finans kurumları için olağan iş-sürekliliği planlarını (BCP/DRP) işlevsiz kılabilir; yedekleme testinin ve offsite/immutable backup mimarisinin kritik önemi bu senaryoda katlanarak artmaktadır. Türkiye ve MENA'daki bankacılık kurumları, MuddyWater'ın Operation Olalampo kapsamında doğrudan hedef kümesinde yer almasından dolayı bu tehdidi yüksek öncelikli olarak değerlendirmelidir.