2026 yılının en aktif fidye yazılımı çetelerinden biri olan The Gentlemen, iş ortaklarına kurbanların güvenlik yazılımlarını şifreleme başlamadan önce devre dışı bırakma imkanı sunan hazır bir araç seti sağlıyor. ESET'in yeni analizi, bu hizmet olarak fidye yazılımı (RaaS) operasyonunun, araştırmacıların GentleKiller adını verdiği dahili bir çerçeve etrafında inşa edilmiş EDR (uç nokta algılama ve yanıt) öldürücü paketini detaylandırıyor. GentleKiller'ın görevi, uç nokta korumasını devre dışı bırakmak. ESET, Microsoft Defender ve CrowdStrike'tan Sophos ve ESET'in kendi araçlarına kadar yaklaşık 48 güvenlik ürünündeki 400'den fazla işlemi hedef aldığını ve fidye yazılımının kontrolsüzce çalışabilmesi için bunları çekirdek düzeyinde devre dışı bırakmaya çalıştığını tespit etti.
Yöntem, 'kendi savunmasız sürücünü getir' (BYOVD) olarak adlandırılıyor. Her derleme, meşru olarak imzalanmış ancak kusurlu bir çekirdek sürücüsü yüklüyor ve ardından bunu, kullanıcı modu korumalarının erişemeyeceği çekirdek içinden güvenlik işlemlerini öldürmek için kötüye kullanıyor. ESET, her biri farklı meşru bir ürünü taklit eden, Valorant, FACEIT ve Kaspersky gibi oyun ve güvenlik markalarından alınan adlara sahip ve her biri farklı bir sürücüyü kötüye kullanan en az sekiz GentleKiller varyantı saydı. Denetimi atlatmak için ikili dosyalar, taklit ettikleri satıcıların simgelerini taşıyan, kopyalanmış ancak geçersiz dijital imzalar ve sahte sürüm ayrıntıları taşıyor ve genellikle ticari paketleyicilerle sarılıyor.
Gentlemen'i alışılmadık kılan şey, EDR öldürücüleri iş ortaklarının değil, operatörlerin inşa etmesi ve sürdürmesidir. ESET, çoğu fidye yazılımı ekibinin iş ortaklarının kendi yöntemlerini bulmasına izin verdiğini; yalnızca RansomHub gibi bir avuç ekibin bir tane sağladığını söyledi. Gentlemen ise bir portföy sunuyor: en az sekiz varyantla dahili çerçeve GentleKiller, daha önce Warlock çetesine bağlı HexKiller, MedusaLocker ve DragonForce ihlallerinde görülen ThrottleBlood ve bir Huawei ses sürücüsünü kötüye kullanan HavocKiller. Ödünç alınan üç araç, Gentlemen'in paylaşılan kaçınma katmanıyla yeniden kaplandı. GentleKiller daha da hızlı hareket ediyor; operatörler yeni açıklanan sürücü açıklarını günler içinde çalışan varyantlara dönüştürüyor.
Gentlemen, 2025'in sonlarında ortaya çıktı ve eski bir Qilin iş ortağı tarafından kuruldu. İş ortaklarını alışılmadık derecede yüksek %90'lık bir payla cezbediyor. ESET, operatör tarafından yürütülen modeli kısmen, çetenin liderinin EDR öldürücü paketlerini sürdürmeyi açıkça tartıştığı Mayıs ayındaki bir veri sızıntısı yoluyla doğruladı. Alışılmadık bir şekilde, ABD'li kurbanlara odaklanmıyor; hedeflerini açıkta kalan FortiGate yapılandırmalarına göre Güneydoğu Asya, Güney Amerika ve Batı Avrupa'dan seçiyor. ESET, GentleKiller'ın nasıl çalıştığını anlamanın, savunucuların henüz inşa edilmemiş varyantlara karşı bile hazırlıklı olmasına yardımcı olduğunu söyledi. Pratikte, bu tür BYOVD saldırılarına karşı savunmalar, bilinen savunmasız sürücüleri engellemeye ve korunan bir güvenlik işlemi aniden kapatıldığında uyarı vermeye odaklanıyor.