2026 yılının en aktif fidye yazılımı çetelerinden biri olan Gentlemen, iş birlikçilerine şifreleme başlamadan önce kurbanların güvenlik yazılımlarını devre dışı bırakma yeteneği sağlayan hazır bir araç seti sunuyor. ESET'in yeni analizi, bu fidye yazılımı-hizmet-olarak (RaaS) operasyonunun, araştırmacıların GentleKiller adını verdiği dahili bir çerçeve etrafında inşa edilmiş uç nokta tespit ve yanıt (EDR) öldürücü paketini detaylandırıyor.
GentleKiller'ın görevi, uç nokta korumasını devre dışı bırakmak. ESET, Microsoft Defender ve CrowdStrike'tan Sophos ve ESET'in kendi araçlarına kadar yaklaşık 48 güvenlik ürününde 400'den fazla süreci hedef aldığını ve fidye yazılımının engellenmeden çalışabilmesi için bunları kernel seviyesinde kapatmaya çalıştığını tespit etti. Bu yöntem, 'kendi savunmasız sürücünü getir' (BYOVD) olarak adlandırılıyor. Her bir yapı, yasal olarak imzalanmış ancak kusurlu bir kernel sürücüsü yüklüyor ve ardından bunu, kullanıcı modu korumalarının erişemeyeceği kernel içinden güvenlik süreçlerini öldürmek için kötüye kullanıyor.
ESET, her biri farklı bir meşru ürünü taklit eden ve Valorant, FACEIT ve Kaspersky gibi oyun ve güvenlik markalarından alınan adlarla ve her biri farklı bir sürücüyü kötüye kullanan en az sekiz GentleKiller varyantı saydı. Denetimden kaçmak için ikili dosyalar, taklit ettikleri satıcıların simgelerini, sahte sürüm ayrıntılarını, kopyalanmış ancak geçersiz dijital imzaları taşıyor ve genellikle ticari paketleyicilere sarılıyor.
Gentlemen'i sıradışı kılan şey, EDR öldürücüleri iş birlikçilerinin değil, operatörlerinin oluşturup sürdürmesi. ESET, çoğu fidye yazılımı grubunun iş birlikçilerini kendi araçlarını bulmaya bıraktığını; yalnızca RansomHub gibi bir avuç grubun bir tane sağladığını söylüyor. Gentlemen ise eksiksiz bir portföy sunuyor: en az sekiz varyantta dahili çerçeve GentleKiller, daha önce Warlock çetesine bağlı HexKiller, MedusaLocker ve DragonForce ihlallerinde görülen ThrottleBlood ve bir Huawei ses sürücüsünü kötüye kullanan HavocKiller. Ödünç alınan üç araç, Gentlemen'in paylaşılan kaçınma katmanıyla yeniden kaplandı. GentleKiller daha da hızlı hareket etti; operatörler yeni açıklanan sürücü açıklarını günler içinde çalışan varyantlara dönüştürdü.
Gentlemen, 2025'in sonlarında ortaya çıktı ve eski bir Qilin iş birlikçisi tarafından kuruldu. İş birlikçilerini alışılmadık derecede büyük %90'lık bir payla cezbediyor. ESET, operatör tarafından yürütülen modeli kısmen bir Mayıs veri sızıntısıyla doğruladı; bu sızıntıda çetenin lideri, EDR öldürücü paketlerini sürdürdüğünü açıkça tartıştı. Sıra dışı bir şekilde, ABD'li kurbanlara odaklanmıyor; hedeflerini Güneydoğu Asya, Güney Amerika ve Batı Avrupa'da açıkta kalan FortiGate yapılandırmalarına göre seçiyor.
Detaylar ve Etkileri
ESET, GentleKiller'ın nasıl çalıştığını anlamanın, savunucuların henüz oluşturulmamış varyantlara bile hazırlanmalarına yardımcı olduğunu söyledi. Uygulamada, bu tür BYOVD saldırılarına karşı savunmalar, bilinen savunmasız sürücüleri engellemeye ve korunan bir güvenlik sürecinin aniden kapatılması durumunda uyarı vermeye odaklanıyor. Bu nedenle, kuruluşların sürücü beyaz listeleme, kernel seviyesi izleme ve davranışsal analiz gibi katmanlı savunmalar uygulaması kritik önem taşıyor.
Kaynak: infosecurity-magazine.com