2026 yılının en aktif fidye yazılımı çetelerinden biri olan The Gentlemen, affiliates'ine (ortaklarına) şifreleme başlamadan önce kurbanların güvenlik yazılımlarını devre dışı bırakmak için hazır bir araç seti sunuyor. ESET'in yeni analizi, bu RaaS (Ransomware-as-a-Service) operasyonunun, araştırmacıların GentleKiller adını verdiği bir çerçeve etrafında inşa edilmiş bir EDR (Endpoint Detection and Response) öldürme paketine sahip olduğunu ortaya koydu. GentleKiller'ın görevi, uç nokta korumasını devre dışı bırakmak. ESET, bu aracın Microsoft Defender, CrowdStrike, Sophos ve ESET'in kendi araçları da dahil olmak üzere yaklaşık 48 güvenlik ürünündeki 400'den fazla süreci hedef aldığını ve bunları kernel seviyesinde devre dışı bırakmaya çalıştığını tespit etti.
Kullanılan yöntem, 'kendi savunmasız sürücünü getir' (BYOVD) olarak adlandırılıyor. Her bir yapı, yasal olarak imzalanmış ancak güvenlik açığı bulunan bir kernel sürücüsü yüklüyor ve ardından bunu, kullanıcı modu korumalarının erişemeyeceği kernel içinden güvenlik süreçlerini öldürmek için kötüye kullanıyor. ESET, her biri farklı bir meşru ürünü taklit eden ve Valorant, FACEIT ve Kaspersky gibi oyun ve güvenlik markalarından alınan adlarla sekiz GentleKiller varyantı saydı. Her varyant, farklı bir sürücüyü kötüye kullanıyor. Denetimden kaçmak için ikili dosyalar, taklit ettikleri satıcıların simgelerini, kopyalanmış ancak geçersiz dijital imzaları ve sahte sürüm ayrıntılarını taşıyor ve genellikle ticari paketleyicilerle sarılıyor.
Gentlemen'i diğerlerinden ayıran şey, EDR öldürücüleri operatörlerin kendisinin inşa edip bakımını yapması, affiliates'in değil. ESET, çoğu fidye yazılımı ekibinin affiliates'i kendi başlarının çaresine bakmaya bıraktığını; yalnızca RansomHub gibi birkaçının bir tane sağladığını söyledi. Gentlemen ise bir portföy sunuyor: En az sekiz varyantıyla GentleKiller çerçevesi, daha önce Warlock çetesine bağlı HexKiller, MedusaLocker ve DragonForce ihlallerinde görülen ThrottleBlood ve bir Huawei ses sürücüsünü kötüye kullanan HavocKiller. Ödünç alınan üç araç, Gentlemen'in paylaşılan kaçınma katmanıyla yeniden kaplandı. GentleKiller'ın kendisi daha da hızlı hareket etti; operatörler, yeni ifşa edilen sürücü açıklarını yayınlandıktan günler sonra çalışan varyantlara dönüştürdü.
Sistem Güvenliği
Gentlemen, 2025'in sonlarında ortaya çıktı ve eski bir Qilin ortağı tarafından kuruldu. Affiliates'i alışılmadık derecede yüksek %90'lık bir payla cezbediyor. ESET, operatör tarafından yürütülen modeli kısmen, çetenin liderinin EDR öldürücü paketlerini sürdürmeyi açıkça tartıştığı bir Mayıs veri sızıntısı yoluyla doğruladı. Alışılmadık bir şekilde, ABD kurbanlarına odaklanmıyor; hedeflerini Güneydoğu Asya, Güney Amerika ve Batı Avrupa'da, açıkta kalan FortiGate yapılandırmalarına göre seçiyor.
ESET, GentleKiller'ın nasıl çalıştığını anlamanın, henüz oluşturulmamış varyantlara karşı bile savunucuların hazırlıklı olmasına yardımcı olduğunu söyledi. Pratikte, bu tür BYOVD saldırılarına karşı savunmalar, bilinen güvenlik açığı bulunan sürücüleri engellemeye ve korunan bir güvenlik süreci aniden kapatıldığında uyarı vermeye odaklanıyor. Güvenlik ekipleri, imzalı sürücü yüklemelerini izlemeli, bilinen savunmasız sürücülerin kara listesini güncel tutmalı ve anormal kernel etkinliklerini tespit edebilecek davranışsal analiz araçları kullanmalıdır.
Nasıl Önlem Alınmalı?
Gentlemen'in bu agresif yaklaşımı, fidye yazılımı ekosisteminde EDR atlatma yeteneklerinin giderek daha kritik hale geldiğini gösteriyor. Kuruluşlar, yalnızca uç nokta korumasına güvenmek yerine, çok katmanlı bir güvenlik stratejisi benimsemeli ve özellikle kernel seviyesindeki tehditlere karşı hazırlıklı olmalıdır. ESET'in analizi, bu tür saldırılara karşı proaktif önlemler almanın önemini vurguluyor.
Kaynak: infosecurity-magazine.com