İran Siber Saldırıları %245 Arttı: Bankacılık Sektörü Hedefte

Akamai verilerine göre İran savaşı başladığından bu yana siber saldırılar %245 arttı. Bankacılık sektörü %40 ile en çok hedef alınan sektör oldu. Stryker'da 200 bin cihaz silindi.

SH.TC Editör

18 Mart 2026

5 dk okuma

2 görüntülenme

Kinetic savaşın dijital ikizi hızla büyüyor. Akamai'nin 16 Mart 2026'da yayınladığı yeni verilere göre, ABD ve İsrail'in İran'a yönelik askeri saldırılarının başladığı Şubat sonundan bu yana siber saldırılar %245 artış gösterdi. Kampanya, kimlik avı, otomatik keşif, DDoS hazırlığı ve kritik altyapıya yönelik yıkıcı wiper saldırılarını kapsıyor. En ağır darbeyi ise bankacılık ve finansal hizmetler sektörü aldı.

Bu sadece teorik değil. 79 ülkede faaliyet gösteren 20 milyar dolarlık tıbbi teknoloji devi Stryker Corporation, İran bağlantılı Handala grubunun tek bir gecede 200.000'den fazla cihazı silmesinin ardından 11 Mart'tan beri operasyonlarını restore etmeye çalışıyor.

Akamai Verileri: Saldırılar Patladı

Akamai'nin 28 Şubat'tan bu yana küresel internet trafiği üzerindeki analizi, kötü amaçlı aktivitenin her kategorisinde dramatik bir artış ortaya koydu:

• Botnet tabanlı keşif trafiği: %70 artış
• Otomatik keşif trafiği: %65 artış
• Açık servislerin altyapı taraması: %52 artış
• Kimlik avı girişimleri: %45 artış
• DDoS öncesi keşif: %38 artış

Sektörel Dağılım:

Bankacılık ve fintech sektörü, çatışma başladığından bu yana tüm kötü amaçlı trafiğin %40'ını absorbe ederek birincil hedef haline geldi. Tam dağılım:

• Bankacılık ve Fintech: %40
• E-Ticaret: %25
• Video Oyunları: %15
• Teknoloji: %10
• Medya ve Streaming: %7
• Diğer: %3

İsimsiz bir ABD finansal hizmetler şirketi, 90 günlük dönemde İran IP alanından kaynaklanan 13 milyon paketi engelledi. 9 Şubat'ta tek bir taşma 2 milyonu aştı — bu, askeri saldırılar başlamadan önce gerçekleşti ve çatışma için önceden konumlandırma olduğunu gösteriyor.

Saldırı Trafiğinin Coğrafyası

En dikkat çekici olan, saldırı trafiğinin nereden kaynaklandığı. İran, kaynak IP'lerin sadece %14'ünü oluşturuyor. Çoğunluk şuralardan geliyor:

• Rusya: Kaynak IP'lerin %35'i
• Çin: Kaynak IP'lerin %28'i
• İran: Kaynak IP'lerin %14'ü

Akamai, bunun Rus ve Çinli tehdit aktörlerinin saldırıları yönlendirdiği anlamına gelmediğini belirtiyor. Her iki ülke de uzun süredir sınırları içinde siber suç altyapısının faaliyet göstermesine tolerans gösteriyor — hedefler yabancı olduğu sürece. İran ve İran yanlısı hacktivistler, "kötüye kullanım için tasarlanmış milyarlarca bağlantı girişimi" için Rusya ve Çin'deki proxy servislerini fırlatma rampası olarak kullanıyor.

Stryker Saldırısı: 200 Bin Cihaz Bir Gecede Silindi

Siber escalasyonun en dramatik tek saldırısı, 11 Mart 2026'da İran bağlantılı hacktivist grup Handala'nın Stryker Corporation'a yönelik yıkıcı wiper saldırısının sorumluluğunu üstlenmesiyle gerçekleşti.

Zaman Çizelgesi:

• 11 Mart: Stryker, küresel iç ağları ve Microsoft sistemlerini etkileyen siber saldırıyı açıkladı
• Aynı gün: Handala sorumluluğu üstlendi, grubun logosunu ele geçirilen Stryker giriş sayfalarına yayınladı
• 11-17 Mart: Stryker'ın operasyonları ciddi şekilde kesintiye uğradı — sipariş işleme, üretim ve sevkıyat durdu
• 17 Mart: Stryker, saldırının dahili Microsoft ortamıyla "sınırlı" olduğunu açıkladı ve internete bağlı tıbbi ürünlerin "kullanıma güvenli" olduğunu doğruladı

Etki:

Kapsam şoke ediciydi:

• 79 ülkede 200.000+ cihaz silindi
• Birden fazla tesiste üretim durdu
• Stryker hissesi saldırıdan sonraki günlerde %9 düştü
• Binlerce çalışan kurumsal sistemlerden kilitlendi
• Sipariş işleme, üretim ve sevkıyat neredeyse bir hafta durdu

Handala Grubu Kim?

Handala, İstihbarat ve Güvenlik Bakanlığı (MOIS) için bir cephe olduğuna inanılan İranlı hacktivist bir gruptur. Grup, adını ünlü bir Filistinli siyasi karikatür karakterinden alıyor ve ideolojik hizalamasını sinyal ediyor. Güvenlik araştırmacıları, Handala'nın devlet desteğiyle faaliyet gösterdiğine, hacktivist söylemi ile bir hükümet istihbarat operasyonunun teknik sophistication ve yıkıcı niyetini birleştirdiğine inanıyor.

Stryker saldırısı, İran siber stratejisinde bir kaymayı gösteriyor: Bu gruplar doğrudan askeri veya devlet altyapısını hedeflemek yerine, ekonomik tabana — sağlık, finans ve teknolojideki kritik şirketlere — maksimum kesinti ve ekonomik hasar yaratmak için saldırıyor.

AB'den Çin ve İran'a Yaptırım

16 Mart 2026'da Avrupa Birliği, AB üye devletlerine yönelik siber saldırılar gerçekleştirmekle suçlanan üç şirkete yaptırım uyguladı:

• Integrity Technology Group (Çin): Daha önce yaklaşık 65.000 cihazı ele geçiren Flax Typhoon botnet kampanyasıyla bağlantılı
• Anxun Information Technology (Çin): i-SOON olarak da bilinir, 2024'te Çin devlet ajansları tarafından kullanılan ticari hacking-for-hire servislerini ortaya çıkaran bir sızıntıda ifşa oldu
• Emennet Pasargad (İran): 2024 ABD başkanlık seçimlerini hedefleyen etki operasyonları ve AB çıkarlarına yönelik siber operasyonlarla bağlantılı

Yaptırımlar varlık dondurma ve seyahat yasaklarını içeriyor. AB, bu eylemlerin "Avrupa Birliği ve üye devletlerinin güvenliğini ve istikrarını tehdit eden kötü amaçlı siber faaliyetleri" caydırmak için gerekli olduğunu belirtti.

Bu, AB'nin mevcut jeopolitik ortamda tehditlerin yakınsamasını yansıtarak, tek bir eylemde hem Çin hem de İran siber varlıklarını aynı anda yaptırıma tabi tuttuğu ilk durumlardan biri.

Kurumlara Öneriler

Siber saldırılardaki %245'lik artış eşit dağılmıyor. Bankacılık ve finans sektörü en ağır yükü taşıyor, ancak Stryker saldırısı, küresel operasyonlara sahip herhangi bir büyük kuruluşun potansiyel hedef olduğunu gösteriyor.

Acil Öneriler:

• Coğrafi engelleme uygulayın: Kuruluşunuzun meşru kullanıcıları veya işi olmadığı bölgelerden gelen trafiği engelleyin. Akamai bunu özellikle finansal hizmetler, kamu hizmetleri ve sağlık kuruluşları için öneriyor.

• Kimlik bilgisi döndürmeyi hızlandırın: İnternete açık kimlik doğrulaması olan tüm sistemlerde, özellikle mevcut kimlik bilgilerinin benzersiz ölçekte hedeflendiği %45'lik kimlik avı girişimi artışıyla.

• DDoS hazırlığını artırın: DDoS öncesi keşifteki %38'lik artış, büyük ölçekli saldırıların planlandığını gösteriyor. DDoS azaltmanızın satın alınmış değil, aktif ve test edilmiş olduğundan emin olun.

• Microsoft ortamınızı denetleyin: Stryker saldırısı özellikle Microsoft sistemlerini hedef aldı. Active Directory güvenliğini, koşullu erişim politikalarını ve ayrıcalıklı erişim yönetimini gözden geçirin.

• Wiper malware göstergelerini izleyin: İranlı tehdit aktörleri yıkıcı malware dağıtma geçmişine sahip (Shamoon, ZeroCleare ve şimdi Handala'nın Stryker'a karşı kullandığı). Endpoint tespitinizi sadece veri sızıntısı için değil, yıkıcı davranışlar için de ayarlayın.

• Olay müdahale planlarını gözden geçirin: Devlet destekli bir düşmanın kuruluşunuzu hedefleyebileceği varsayımıyla. Stryker saldırısının hızı ve ölçeği — saatler içinde 200.000 cihaz — hızlı müdahale yetenekleri gerektirir.

Daha Büyük Resim:

Jeopolitik çatışmalar artık rutin olarak siber alana taşınıyor ve İran savaşı bunun bir istisnası değil. Bu seferki fark, saldırıların ölçeği ve endüstriyel doğası. Bu, web sitelerini deface eden bir avuç hacktivist değil — koordine, otomatik ve ekonomik kesinti amaçlı.

Silahlı çatışma bağlamında ulus-devlet ve hacktivist siber aktiviteyi hesaba katacak şekilde tehdit modellerini güncellemeyen kuruluşlar zaten geride. %245'lik artış bir uyarı — ve Akamai'nin değerlendirmesine göre, kinetik çatışma devam ettiği sürece saldırılar sadece yoğunlaşacak.

Kaynak: breached.company