Ransomware Tracing Nedir? Blockchain Analizi Kripto Fidye Ödemelerini Nasıl Ortaya Çıkarır

## Ransomware Tracing Nedir? Ransomware tracing, saldırganların kurbanlardan talep ettiği kripto para ödemelerinin blockchain üzerindeki yolculuğunu adım adım takip etme sürecidir. Chainalysis'in 2024 Kripto Suç Raporu'na göre ransomware ödemeleri 2023 yılında **1,1 milyar dolar** eşiğini aşarak rekor kırdı. En çarpıcı örneklerden biri **Colonial Pipeline** vakasıdır: 4,4 milyon dolar fidye ödendi, FBI bu paranın 2,3 milyon dolarlık kısmını blockchain izleme yoluyla geri kazandı. ## Ransomware Ödemeleri Blockchain'de Nasıl Akar? Kurban genellikle tek kullanımlık Bitcoin veya Monero adresine ödeme yapar. Ardından saldırganlar peeling chain, Monero'ya dönüşüm, mixer/tumbler kullanımı ve chain-hopping teknikleriyle izlerini kaybettirmeye çalışır. ChipMixer, kapatılmadan önce **3 milyar dolar**'ı aşkın kripto işlemi üzerinden geçmiştir. ## Öne Çıkan Ransomware Grupları | Grup | Tahmini Toplam Hasar | Hedef Sektörler | Öne Çıkan Özellikler | |------|---------------------|-----------------|----------------------| | **LockBit** | 1 milyar $+ | Sağlık, finans, lojistik | RaaS modeli, 200+ bağlı saldırgan | | **ALPHV / BlackCat** | 300 milyon $+ | Sağlık, kritik altyapı | Rust ile yazılmış, üçlü gasp | | **Cl0p** | 500 milyon $+ | Finans, tedarik zinciri | MOVEit ve GoAnywhere istismarı | | **REvil** | 200 milyon $+ | Teknoloji, perakende | Kaseya VSA saldırısı | | **Conti** | 180 milyon $+ | Devlet kurumları, sağlık | Costa Rica hükümetini çökertti | | **Hive** | 100 milyon $+ | Hastaneler, enerji | FBI tarafından 2023'te kaldırıldı | ## OFAC Yaptırımlarının Boyutu OFAC'ın SDN listesinde yer alan bir gruba ödeme yapan kuruluşlar, **işlem başına 1 milyon dolar**'ı aşan idari para cezasıyla karşılaşabilir. Kasıt olmasa bile yaptırım ihlali gerçekleşebilir (strict liability ilkesi). ## Blockchain Analiz Teknikleri CIOH kümeleme, varlık atıfı (entity attribution), zaman damgası analizi ve 10-hop tracing başlıca tekniklerdir. Colonial Pipeline vakasında FBI, 63,7 Bitcoin'i bir dizi transferden geçirildikten sonra özel anahtarına sahip olduğu bir cüzdanda yakalamıştır. ## Defy, Ransomware Takibini Nasıl Mümkün Kılıyor? Defy Live AML, LockBit, ALPHV, Cl0p, REvil, Conti ve Hive dahil 50'den fazla ransomware grubuna ait cüzdan adreslerini kapsayan veritabanı üzerinde gerçek zamanlı tarama yapar. 10-hop zincir izleme ile dolaylı ransomware bağlantıları tespit edilir. OFAC/SDN entegrasyonu, mixer ve chain-hopping tespiti ve otomatik STR raporlama özellikleri ile borsalar ve VASP'lar ransomware riskinden korunur.