2026'nın en aktif fidye yazılımı çetelerinden biri, bağlı kuruluşlarına, şifreleme başlamadan önce kurbanların güvenlik yazılımlarını kapatmaları için hazır bir araç seti veriyor.
ESET'in yeni analizi, araştırmacıların GentleKiller adını verdiği şirket içi bir çerçeve etrafında oluşturulan, hizmet olarak fidye yazılımı (RaaS) operasyonu olan The Gentlemen'in uç nokta algılama ve yanıt (EDR) katil paketini ayrıntılarıyla anlattı.
GentleKiller'ın görevi uç nokta korumasını devre dışı bırakmaktır. ESET, fidye yazılımının denetlenmeden çalışabilmesi için Microsoft Defender ve CrowdStrike'dan Sophos ve ESET'in kendi araçlarına kadar yaklaşık 48 güvenlik ürününde 400'den fazla işlemi hedeflediğini ve bunları çekirdek düzeyinde devre dışı bırakmaya çalıştığını tespit etti.
Uzmanların Görüşleri
Ödünç Alınan Sürücüler, Çekirdek Gücü
Bu yönteme kendi güvenlik açığı bulunan sürücünüzü getirin (BYOVD) adı verilir. Her yapı, yasal olarak imzalanmış ancak kusurlu bir çekirdek sürücüsü yükler ve ardından kullanıcı modu korumalarının erişiminin ötesinde, çekirdeğin içindeki güvenlik süreçlerini öldürmek için bunu kötüye kullanır.
Nasıl Önlem Alınmalı?
ESET, her biri farklı bir meşru ürünü taklit eden, adları Valorant, FACEIT ve Kaspersky gibi oyunlardan ve güvenlik markalarından alınan ve her biri farklı bir sürücüyü kötüye kullanan en az sekiz GentleKiller varyantı saydı.
Denetimi atlamak için, ikili dosyalar sahte sürüm ayrıntılarını, kopyalanmış ancak geçersiz dijital imzaları ve taklit ettikleri satıcıların simgelerini genellikle ticari paketleyicilere sarılmış olarak taşır.
Önemli Gelişmeler
Devamını oku: Geçen Ayki Saldırıların %40'ını Sadece Üç Fidye Yazılımı Çetesi Oluşturdu
Tek Bir Araç Değil, Bir Paket
Gentlemen'i alışılmadık kılan şey, EDR katillerini bağlı şirketlerinin değil operatörlerinin oluşturması ve bakımını yapmasıdır. ESET, çoğu fidye yazılımı ekibinin kendilerine ait bir ekip bulmak için bağlı kuruluşlardan ayrıldığını söyledi; RansomHub gibi yalnızca birkaçı bir tane sağlıyor. Beyler eksiksiz bir portföy sunuyor:
Detaylar ve Etkileri
GentleKiller, şirket içi çerçeve, en az sekiz farklı versiyonda
HexKiller, daha önce Warlock çetesine bağlıydı
MedusaLocker ve DragonForce izinsiz girişlerinde görülen ThrottleBlood
Sonuç ve Değerlendirme
Huawei ses sürücüsünü kötüye kullanan HavocKiller
Ödünç alınan üç aletin her biri, Beyler'in ortak kaçınma katmanıyla yeniden kaplandı. GentleKiller'ın kendisi daha da hızlı hareket etti; operatörler, yeni açıklanan sürücü açıklarını piyasaya çıktıktan birkaç gün sonra çalışan değişkenlere dönüştürdü.
Beyler Operasyonunun İçinde
Beyler, 2025'in sonlarında, eski bir Qilin iştiraki tarafından kurulan bir kuruluş olarak ortaya çıktı ve alışılmadık derecede büyük bir %90'lık kesintiyle bağlı kuruluşları cezbetti.
ESET, operatör tarafından yürütülen modeli kısmen, çete liderinin EDR öldürücü paketlerin korunmasını açıkça tartıştığı bir Mayıs veri sızıntısı yoluyla doğruladı. Alışılmışın dışında, ABD'li kurbanlara odaklanmıyor; Güneydoğu Asya, Güney Amerika ve Batı Avrupa'daki hedefleri açıkta kalan FortiGate konfigürasyonları aracılığıyla seçiyor.
ESET, GentleKiller'ın nasıl çalıştığını anlamanın savunmacıların henüz oluşturulmamış varyantlara bile hazırlanmasına yardımcı olduğunu söyledi. Uygulamada, bu tür BYOVD saldırılarına karşı savunma, bilinen güvenlik açığı olan sürücülerin engellenmesine ve korunan bir güvenlik süreci aniden kapatıldığında uyarı verilmesine odaklanır.