2026 yılının en aktif fidye yazılımı çetelerinden biri olan The Gentlemen, ortaklarına şifreleme başlamadan önce kurbanların güvenlik yazılımlarını devre dışı bırakmak için hazır bir araç seti sağlıyor. ESET'in yeni analizi, hizmet olarak fidye yazılımı (RaaS) operasyonu olan The Gentlemen'in, araştırmacıların GentleKiller adını verdiği dahili bir çerçeve etrafında inşa edilmiş uç nokta algılama ve yanıtlama (EDR) öldürücü paketini detaylandırıyor.
GentleKiller'ın görevi, uç nokta korumasını devre dışı bırakmak. ESET, Microsoft Defender ve CrowdStrike'tan Sophos ve ESET'in kendi araçlarına kadar yaklaşık 48 güvenlik ürününde 400'den fazla işlemi hedef aldığını ve fidye yazılımının kontrolsüz bir şekilde çalışabilmesi için bunları çekirdek seviyesinde devre dışı bırakmaya çalıştığını tespit etti.
Yöntem, 'kendi savunmasız sürücünü getir' (BYOVD) olarak adlandırılıyor. Her yapı, meşru bir şekilde imzalanmış ancak kusurlu bir çekirdek sürücüsü yüklüyor ve ardından bunu, kullanıcı modu korumalarının erişemeyeceği çekirdek içinden güvenlik işlemlerini öldürmek için kötüye kullanıyor. ESET, her biri farklı bir meşru ürünü taklit eden ve Valorant, FACEIT ve Kaspersky gibi oyun ve güvenlik markalarından alınan isimlere sahip en az sekiz GentleKiller varyantı saydı.
The Gentlemen'i sıra dışı kılan şey, EDR öldürücüleri ortaklarının değil, operatörlerinin oluşturması ve sürdürmesidir. ESET, çoğu fidye yazılımı çetesinin ortaklarını kendi yöntemlerini bulmaya bıraktığını; yalnızca RansomHub gibi birkaçının bir tane sağladığını söyledi. Gentlemen ise GentleKiller, HexKiller, ThrottleBlood ve HavocKiller dahil olmak üzere bir portföy sunuyor. Gentlemen, 2025'in sonlarında ortaya çıktı ve ortaklarına alışılmadık derecede yüksek %90'lık bir pay vaat ediyor.