PromptLock’un Ortaya Çıkışı: AI Destekli Fidye Yazılımının Yeni Çağı

PromptLock fidye yazılımı, üretken yapay zekanın saldırgan tarafa geçtiği ilk olgun örnek olarak güvenlik gündemine oturdu. DarkReading’in haberinde ayrıntılandırılan bu örnek, OpenAI’nin açık ağırlıklı gpt-oss:20b modelini yerel Ollama API üzerinden kullanarak her çalıştırmada farklı Lua kodu üreten polimorfik bir kötü amaçlı yazılım iskeletini ortaya koyuyor. Henüz bir araştırma projesi olsa da, hem teknik bariyeri düşürmesi hem de IoC tabanlı tespiti anlamsızlaştırması nedeniyle savunma tarafında ciddi bir dönüm noktası kabul ediliyor.

Olay yalnızca tek bir örneğin kamuya açılması değil, geniş bir ai saldırı dalgası içinde yapay zeka destekli fidye yazılımının nasıl konumlandığının da bir özeti. CNBC’nin aktardığı Palo Alto Networks değerlendirmesi, bu tip saldırıların yeni norm haline geldiğini söylerken Anthropic CEO’sunun “tehlike anı” çıkışı da aynı eksene oturuyor. Aşağıda PromptLock’un teknik çekirdeğinden Türkiye’deki KOBİ etkisine kadar olayın tüm katmanlarını ele alıyoruz.

PromptLock’un Teknik Çekirdeği: AI Destekli Fidye Yazılımının Anatomisi

PromptLock fidye yazılımı, klasik fidye yazılım iskeletinden iki temel noktada ayrışıyor. Birincisi, saldırı zincirinde kullanılan kod parçalarının çoğunluğu derlenmiş ve sabit bir ikili dosyadan değil, çalışma anında üretken bir dil modelinden geliyor. İkincisi, üretilen kodun bir Lua yorumlayıcısı içinde çalıştırılması, hem hedef sistemde derleme adımı bırakmamayı hem de farklı işletim sistemi sürümlerinde aynı mantığın hızlıca uyarlanmasını mümkün kılıyor. Sonuçta savunma tarafı, alıştığı imza tabanlı korelasyon yerine her örnekte yeniden şekillenen bir saldırı yüzeyiyle karşılaşıyor.

DarkReading’in PromptLock fidye yazılımı analizi, örneğin keşfedildiğinde dosya sızdırma (exfiltration) ve dosya şifreleme adımlarının zaten gerçekleştirilebildiğini, geliştirici notlarında ise dosya yok etme (destruction) modülünün yol haritasında olduğunu vurguluyor. Araştırmacılar bu yapının laboratuvar şartlarında bir konsept kanıtı olarak hazırlandığını söylüyor; fakat aynı şablonu kötü niyetli aktörlerin kopyalayıp finans odaklı versiyonlara dönüştürmesi yalnızca zaman meselesi olarak görülüyor.

Geleneksel fidye yazılımlarında saldırgan, hedeflenen kuruluşun makinesine düşen bir yükleyiciyi C2 sunucusundan getirir ve şifreleme rutinini başlatır. PromptLock modelinde ise yükleyici, çalıştığı makinenin üzerindeki yerel modele bağlanıp yeni betikler ürettiği için ağ trafiğinin önemli kısmı meşru görünür: model çıktısı belirli bir uzak sunucuya değil, aynı makinedeki Ollama soketine gider. Bu yapı, klasik EDR (uç nokta tespit ve müdahale) çözümlerinin alışkın olduğu “şüpheli dış IP’ye bağlanıyor” sinyalini büyük ölçüde söndürüyor.

Bir başka önemli nokta, kötü amaçlı yazılımın “kişiliksizliği”. Saldırgan tarafından önceden yazılan tek şey bir sistem komutu (prompt) ve birkaç yardımcı fonksiyon. Modelin her seferinde farklı bir Lua kodu yazması, kötü yazılım örneklerinin neredeyse hiçbir zaman aynı baytları taşımamasıyla sonuçlanıyor. Statik analizle hazırlanan kural setleri bu nedenle kısa sürede demode oluyor; saldırı imzaları “hash” düzeyinde değil, “davranış” düzeyinde yakalanmak zorunda kalıyor.

gpt-oss Lokal Model Kullanımı ve Ollama Sapması

Saldırı senaryosunun çekirdeğindeki gpt-oss:20b modeli, OpenAI’nin açık ağırlık olarak yayımladığı orta ölçekli bir dil modeli. Tek başına ne kötü ne iyi; saldırgan, modelin yerel olarak çalıştırılabilmesini kötüye kullanıyor. Ollama gibi yerel çıkarım katmanları, kurumsal kullanıcılar için “veri dışarı çıkmasın” güvencesi sunduğu için yaygınlaşmıştı. PromptLock’un mantığı tam da bu meşru altyapıyı silah olarak kullanmak üzerine kurulu.

Yerel modelin saldırgan açısından üç avantajı var. İlki, internet bağlantısı olmadan da çalışabilmesi: hedeflenen sistem hava boşluklu olsa bile, daha önce kurulmuş bir model üzerinde Lua üretimi mümkün. İkincisi, ticari API’lerin politika filtrelerinin devre dışı kalması: bulut tarafındaki “zararlı kod yazma” engelleri yerel kopyada bulunmuyor. Üçüncüsü, ücretlendirmenin olmaması: aktör binlerce hedef için tek bir model kopyasını kullanabiliyor, ekonomik bariyer sıfıra yaklaşıyor.

Bu manzara, kurumların yerel model dağıtımına bakışını değiştirecek. Daha önce tek başına bir uyumluluk meselesi olan yerel çalıştırma, artık aynı anda iki yönlü bir risk taşıyor: hem meşru iş yüklerinde veri sızıntısını engelliyor, hem de kötü niyetli aktörler için ideal saldırı altyapısına dönüşüyor. CISO’ların önümüzdeki dönemde yapması gereken, yerel modellerin envanterini çıkarmak ve hangi süreçlerin Ollama benzeri soketlere bağlandığını izlemek olacak. Aynı tartışma, daha geniş çerçevede devlet sponsorlu saldırı dosyalarında da kendine yer buldu.

Lua Script ile Polimorfik Yapı

↑ Başa dön

PromptLock’un Lua tercih etmesi, üst düzey bir mühendislik kararı. Lua, gömülü sistemlerden oyun motorlarına kadar pek çok yerde meşru olarak çalışan bir betik dili olduğu için, kurumsal beyaz listelerde sık karşılaşılır. Saldırgan, Lua yorumlayıcısını paket içine gömüyor ve modelin ürettiği her yeni betiği bu yorumlayıcıyla çalıştırıyor. Sonuç olarak hedef sistemde “yeni bir EXE indirildi” gibi tetikleyici bir olay yaşanmıyor; aynı yorumlayıcının farklı betikleri çalıştırması, davranışsal sensörler için bile kırılgan bir sinyal oluşturuyor.

Polimorfik yapı, fidye yazılımı dünyasında yeni değil; on yıllar önce de motorları sürekli kendi kodlarını şifreleyen örnekler vardı. Ancak o eski polimorfik motorlar yine de aynı temel mantığı çalıştırırdı; saldırı zincirinin omurgası sabitti. PromptLock’ta ise sadece kod baytları değil, kullanılan algoritmaların seçimi, dosya gezintisi mantığı, hatta hangi dizinlerin önce taranacağı gibi karar adımları da örnekten örneğe değişebiliyor. Bu, savunma için “neyi tespit edeceğini” bilmenin gittikçe zorlaşması anlamına geliyor.

Lua tabanlı polimorfizmin bir diğer etkisi, telemetri tarafında. Endpoint sensörlerinin gönderdiği veriler, klasik bir fidye yazılımı için “şu PE dosyası şu süreyi taradı” şeklinde gelirken yeni modelde “Lua yorumlayıcısı sıra dışı kararlar veriyor” gibi soyut bir gözleme dönüşüyor. SOC ekiplerinin bu soyut gözlemi anlamlı bir alarma çevirmesi için davranış grafiği oluşturan, süreç soy ağacını izleyen araçlara ihtiyaç var. Bu çerçeve, otomasyon tarafında çalışmaya başlayan otonom soc savunma hattının da en önemli yatırım gerekçesi.

IoC Tespit Zorluğu: Klasik Savunma Neden Çöküyor

Bilgi güvenliği topluluğu yıllardır IoC (indicator of compromise) paylaşımıyla beslenir. Bir saldırı tespit edildiğinde MD5 hash’leri, dosya adları, mutex isimleri, C2 alan adları kayıt altına alınır; aynı imza listesi diğer kuruluşlara dağıtılır. PromptLock’un getirdiği değişiklik, bu paylaşım modelinin temel varsayımını sarsıyor: her yeni çalıştırmada hash farklı, dosya yolu farklı, hatta saldırı zinciri içindeki adımların sırası farklı.

Bu durum, savunma için iki paralel cephe açıyor. Birincisi, statik IoC tabanlı kurumsal ürünlerin (klasik antivirüs, basit IDS imzaları) tek başına yetmeyeceğinin nihai olarak kabul edilmesi. İkincisi, “tehdit istihbaratı” başlığının yeniden tanımlanması: artık paylaşılması gereken şey hash değil, modelin nasıl yönlendirildiği (prompt deseni), hangi yerel kütüphaneleri kullandığı, hangi soketleri açtığı gibi davranışsal şablonlar. Bu, geleneksel ISAC paylaşımlarının altyapısını ciddi biçimde dönüştürecek.

Tablo, PromptLock öncesi ve sonrası savunma postürünü kıyaslamak açısından açıklayıcı:

Bu kıyas, neden CISO’ların “alıştığımız savunma yetmiyor” demek zorunda kaldığını da açıklıyor. Tedarikçi taraflı çözümler arayanların, “AI ile zenginleştirilmiş EDR” mesajını klasik pazarlama söylemi olarak değil, gerçek bir mimari tercih olarak değerlendirmesi gerekiyor.

Araştırma vs Üretim Saldırı Farkı

PromptLock’un şu anki halinin bir araştırma projesi olması, savunma tarafında rehavete yol açmamalı. Güvenlik tarihinde benzer örnekler çoktur: bir konsept kanıtı yayımlanır, birkaç ay sonra forum aktörleri aynı kodu finansal motivasyonla yeniden paketler. Üstelik bu sefer, polimorfik üretim mantığı tek bir modelde hazır olduğu için kopyalama ve özelleştirme adımı, eski örneklerle kıyaslanmayacak kadar hızlı işliyor.

Araştırma örneğinde dosya sızdırma ve dosya şifreleme rutinleri çalışıyor; ancak henüz yıkıcı modüller (wiper) eklenmemiş. Yol haritasında dosya yok etme bulunduğunun açıklanması, savunma uzmanlarını üç tipte gelecek senaryoya hazırlanmaya itiyor: (1) klasik şifreleme + sızdırma, (2) sızdırma odaklı şantaj, (3) yıkıcı sabotaj. Aynı iskeletin bu üç senaryoya da kolayca uyarlanabilmesi, “AI fidye yazılım” kategorisinin neden bir saldırı türü değil, saldırı çerçevesi olarak konumlandığını gösteriyor.

Bir başka önemli ayrım, motivasyon tarafında. Araştırmacılar zafiyet ifşa kurallarına göre hareket eder; üretim aktörleri ise hızlı para ve kalıcı erişim peşindedir. Bu nedenle “araştırma örneği piyasaya çıkmaz” varsayımı, kuruluşların izleme stratejisinde aşırı iyimser bir varsayım. Aksine, kamuya açılan her örneğin altı ay içinde forumlarda en az bir “geliştirilmiş sürümünün” boy gösterdiğini, geçmiş veri sızıntısı çetelerinin tarihçesinden biliyoruz.

Saldırı Bariyerini Düşürmesi: PromptLock Fidye Ekosistemini Nasıl Değiştirir

↑ Başa dön

Yapay zeka destekli kötü amaçlı yazılım tartışmasının kalbinde basit bir denklem var: yeterlilik düştükçe saldırgan havuzu büyür. Bir saldırının teknik bariyeri ne kadar yüksekse, o saldırıyı yapabilecek aktör sayısı o kadar azdır. PromptLock’un getirdiği şey, tam da bu bariyeri masaüstü becerisine indirgemesi. Yerel modeli kurabilen, basit Lua mantığını anlayabilen bir aktör, eskiden ileri seviye olarak görülen polimorfik motoru üretebiliyor. Bu mantık, yapay zekanın saldırgan kanadıyla ilgili önceki tartışmaların temelini de oluşturuyordu; önceki yazımız dosyasında işlediğimiz prompt enjeksiyonu çerçevesi de buraya bağlanıyor.

Sektör araştırmaları bu eğilimi destekliyor. DarkReading’in fidye yazılımının AI hızına geçişine dair analizinde paylaşılan anket sonuçlarına göre saldırganların yüzde yetmiş sekize yakını AI tabanlı fidye yazılımının daha etkili olduğunu söylüyor. Aynı çalışma, savunma tarafının da AI destekli tespit araçlarına ciddi bütçe ayırdığını gösteriyor; fakat saldırı ile savunma arasındaki “araç fiyatı” makası saldırgan lehine açılmış durumda.

Pratik açıdan bu, KOBİ ölçekli kuruluşların ve hatta sivil toplum örgütlerinin de hedef yelpazesine girmesi anlamına geliyor. Eskiden ileri saldırılar, geri dönüşü yüksek hedefler için ayrılırdı; çünkü her saldırı saatlerce mühendislik gerektirirdi. Şimdi aynı altyapı yüzlerce küçük hedefe paralel olarak salınabiliyor. Sigortacılar bunu fiyatlandırmaya başladı; siber poliçelerin alt limitleri yükselirken muafiyetlerin de genişlediği görülüyor.

Palo Alto’nun “Yeni Norm” Uyarısı ve Sektör Söylemi

Mayıs ortasında Palo Alto Networks’ün CNBC değerlendirmesi yapay zeka tabanlı saldırıların artık istisnai değil yapısal hale geldiğini, kurumsal güvenlik mimarisinin bu varsayımla yeniden çizilmesi gerektiğini söyledi. Şirketin baş güvenlik mimarı, AI hızının savunma tarafında otomasyon ve insan oranı arasındaki dengeyi yeniden düşünmeyi zorunlu kıldığını ifade ediyor. Aynı dönemde Anthropic CEO’sunun “tehlike anı” çıkışı, sektör söyleminin bireysel firma uyarısından makro tehdit değerlendirmesine geçişini sembolize ediyor.

MIT Technology Review’un çevrimiçi dolandırıcılıkta AI ölçeği dosyası ise sosyal mühendislik tarafının da benzer biçimde dönüştüğünü gösteriyor. PromptLock’un teknik tarafıyla bu sosyal mühendislik dalgası birleştiğinde, bir aktörün hem ikna metnini hem zararlı yükü hem de pazarlık aşamasını AI ile besleyebildiği bir saldırı zinciri ortaya çıkıyor. Tek bir aktör, eskiden bir ekip işi olan kampanyayı tek başına yürütebilir hale geldi.

“Yeni norm” söylemi pratik anlamda iki şey gerektiriyor. Birincisi, savunma tarafında yatırım önceliklerinin yeniden sıralanması: imza güncelleme bütçesinden davranış analizine, statik IoC paylaşımından prompt davranış şablonu paylaşımına geçiş. İkincisi, regülasyon tarafında: açık ağırlık modellerin kötüye kullanım risklerini sınırlandıracak şeffaf çerçevelerin tasarlanması. Avrupa Birliği AI Act’in revize edici sürümleri ve ABD’deki eyalet bazlı düzenlemeler, bu konuya ilk yanıtları vermeye başladı.

Türkiye’deki KOBİ Açısından: Pratik Etki ve Hazırlık

Türkiye’de küçük ve orta büyüklükteki işletmeler, fidye yazılımı saldırılarında uzun süredir görmezden gelinen bir kategori değildi; bilinçli olarak hedeflenmiyordu çünkü saldırı başına maliyet, beklenen fidye geri dönüşünü karşılamıyordu. PromptLock modeli bu denklemi tersine çeviriyor. Aktör, tek prompt iskeletini binlerce KOBİ’ye paralel uygulayabilir hale gelince, küçük ölçekli muhasebe firmasından dişçi kliniğine kadar geniş bir hedef bandı oluşuyor.

Pratik hazırlık önerileri şu başlıklar altında toparlanabilir:

• Yerel model envanteri: Kurum içinde Ollama, LM Studio, vLLM benzeri yerel çıkarım servisleri çalışıyor mu, hangi makinelerde, hangi sürümler? Bu envanter belirsiz kaldığı sürece PromptLock benzeri saldırılarda kör nokta oluşur.
• Davranış tabanlı EDR: Klasik antivirüs sözleşmesi yenilenirken davranışsal tespit ve süreç soy ağacı izleme özelliklerinin gerçek anlamda çalıştığından emin olun. Ürün adı değil, davranış kuralları önemli.
• Yedekleme ve geri dönüş tatbikatı: AI fidye yazılım çağında veri geri dönüş süresi (RTO) kısalıkça fidye baskısı azalır. Üç ayda bir kapsamlı kurtarma tatbikatı, basit bir not olmaktan çıkarılmalı.
• Çalışan farkındalığı: Sosyal mühendislik tarafı AI ile geliştiği için, eski “imla hatalı oltalama maili” eğitimleri eskidi. Yeni eğitimler AI ile üretilmiş örnekleri içermeli.
• Tedarik zinciri sözleşmeleri: Bulut tedarikçileri, yazılım sağlayıcıları ve yönetilen hizmet firmalarıyla yapılan sözleşmelerde, AI tabanlı tehdit hesaplamasının nasıl yapıldığı açıkça belirtilmeli.
• Sigorta klozları: Siber sigorta poliçesi alınırken AI tabanlı saldırıların kapsam dışı bırakılıp bırakılmadığı dikkatle incelenmeli; muafiyet alanları KOBİ için ölümcül olabilir.

Aynı liste, daha küçük ölçekli kuruluşların da maliyetten kaçınma refleksiyle gözden kaçırdığı kalemler. Oysa PromptLock benzeri bir saldırının ilk uğradığı yerler, genellikle güvenlik mühendisi olmayan KOBİ’ler oluyor. Genel kamuoyunun güncel siber güvenlik haberleri akışını takip etmesi de bu farkındalığı canlı tutmanın en pratik yolu.

Tedarikçi Ekosisteminin Tepkisi ve Yakın Vadeli Beklentiler

↑ Başa dön

Büyük güvenlik tedarikçileri, PromptLock haberinin akabinde “AI fidye yazılım” söylemini ürün kataloglarına işlemeye başladı. Bu eğilim hem CISO’lar için bilgi gürültüsünü artırıyor hem de gerçek olgun ürünleri pazarlama söyleminden ayırt etmeyi zorlaştırıyor. Önümüzdeki birkaç çeyrekte beklediğimiz somut hareketler arasında şunlar var:

1. EDR ürünlerinde yerel model soketlerini izleyen modüllerin standartlaşması.
2. SIEM tarafında “prompt enjeksiyonu” ve “yerel model çağrısı” gibi yeni olay sınıflarının açılması.
3. Bulut sağlayıcılarının “yönetilen AI çıkarım hizmeti” tarafında saldırgan kullanım için ek izleme katmanları açıklaması.
4. Açık ağırlık modeli yayımlayan firmaların “kötüye kullanım izleme” beyanlarını şeffaflaştırması.
5. Düzenleyici otoritelerin, AI tabanlı saldırılar nedeniyle veri ihlali bildirim eşiklerini yeniden tanımlaması.

Bu beş hareketin tamamı, kuruluşların güvenlik mimarisini sadece reaktif değil, kapsayıcı biçimde yeniden tasarlamasını gerektiriyor. PromptLock bir uyarı atışı olarak değerlendirilirse, sonraki dalgaya hazırlık penceresi hala açık. Aksine, geçici bir başlık olarak görülürse, aynı iskeletin finansal aktör versiyonu kapıdan girdiğinde pek çok kurum hazırlıksız yakalanacak.

Sıkça Sorulan Sorular

PromptLock fidye yazılımı nedir, klasik fidye yazılımdan farkı nerede?

PromptLock, kötü amaçlı kodunun büyük bölümünü çalışma anında yerel bir dil modeline ürettiren bir fidye yazılımı iskeletidir. Klasik örneklerde kod sabittir; PromptLock’ta ise her çalıştırmada farklı Lua betiği üretilir ve bu sayede statik imza tabanlı tespit büyük ölçüde anlamsızlaşır.

Şu an gerçek bir tehdit mi, yoksa sadece araştırma örneği mi?

Mevcut örnek bir araştırma projesi olarak tanımlanıyor; dosya sızdırma ve şifreleme rutinleri çalışıyor, dosya yok etme modülü yol haritasında. Ancak güvenlik tarihindeki örüntü, kamuya açılan konsept kanıtlarının kısa süre içinde finansal motivasyonlu aktörlerce uyarlandığını gösteriyor. Bu yüzden araştırma örneği etiketi rehavete neden olmamalı.

KOBİ ölçekli bir işletme nasıl hazırlanmalı?

İlk adım yerel yapay zeka çıkarım servislerinin envanterini çıkarmak. Sonrasında davranış tabanlı EDR sözleşmesi, düzenli kurtarma tatbikatı, çalışan farkındalık eğitimi ve siber sigorta kloz incelemesi gelmeli. Tedarik zincirindeki üçüncü taraf yazılımlar da kapsam dahilinde değerlendirilmeli.

“AI hızı” söylemi pratikte ne anlama geliyor?

AI hızı, hem saldırgan tarafında kampanya başlatma süresinin saatlere inmesi hem de saldırı varyasyonunun anlık üretilmesi anlamına geliyor. Savunma tarafının bu hıza yetişmesi için imza güncelleme döngüsünden çıkıp davranış analizi, otomatik olay müdahalesi ve gerçek zamanlı tehdit istihbarat paylaşımına geçmesi gerekiyor.

Açık ağırlık modeller yasaklanmalı mı?

Yasaklamak hem teknik olarak imkansız hem de meşru kullanım açısından zararlı bir yaklaşım olur. Yapılması gereken şey, açık ağırlık ekosistemini bırakmak yerine, yerel kurulumların izlenmesi, kötüye kullanım vakalarının paylaşılması ve regülasyon tarafında şeffaf bir çerçeve oluşturmaktır. promptlock fidye dosyası, bu çerçevenin neden acil gerektiğini somut biçimde gösteriyor.

Editör notu: Bu yazıdaki teknik değerlendirmeler DarkReading, CNBC ve MIT Technology Review gibi yabancı otoriteli kaynaklara dayanılarak hazırlanmıştır. Aktarılan görüşler, yayımlandığı dönemin gözlemleri olup zaman içinde değişebilir. Bu yazı yatırım tavsiyesi değildir, bilgilendirme amaçlıdır. Kurumsal güvenlik kararlarınızda mutlaka kendi alanınızdaki uzman danışmanlık görüşünü alın. — Mehmet Kara, Teknoloji Editörü