GentleKiller Çerçevesi Mağdurların Güvenlik Yazılımını Devre Dışı Bırakıyor Yazılım

GentleKiller Çerçevesi Mağdurların Güvenlik Yazılımını Devre Dışı Bırakıyor

2026'nın en aktif fidye yazılımı çetelerinden biri, bağlı kuruluşlarına, şifreleme başlamadan önce kurbanların güvenlik yazılımlarını kapatmaları için...

2026'nın en aktif fidye yazılımı çetelerinden biri, bağlı kuruluşlarına, şifreleme başlamadan önce kurbanların güvenlik yazılımlarını kapatmaları için hazır bir araç seti veriyor.

ESET'in yeni analizi, araştırmacıların GentleKiller adını verdiği şirket içi bir çerçeve etrafında oluşturulan, hizmet olarak fidye yazılımı (RaaS) operasyonu olan The Gentlemen'in uç nokta algılama ve yanıt (EDR) katil paketini ayrıntılarıyla anlattı.

GentleKiller'ın görevi uç nokta korumasını devre dışı bırakmaktır. ESET, fidye yazılımının denetlenmeden çalışabilmesi için Microsoft Defender ve CrowdStrike'dan Sophos ve ESET'in kendi araçlarına kadar yaklaşık 48 güvenlik ürününde 400'den fazla işlemi hedeflediğini ve bunları çekirdek düzeyinde devre dışı bırakmaya çalıştığını tespit etti.

Uzmanların Görüşleri

Ödünç Alınan Sürücüler, Çekirdek Gücü

Bu yönteme kendi güvenlik açığı bulunan sürücünüzü getirin (BYOVD) adı verilir. Her yapı, yasal olarak imzalanmış ancak kusurlu bir çekirdek sürücüsü yükler ve ardından kullanıcı modu korumalarının erişiminin ötesinde, çekirdeğin içindeki güvenlik süreçlerini öldürmek için bunu kötüye kullanır.

Nasıl Önlem Alınmalı?

ESET, her biri farklı bir meşru ürünü taklit eden, adları Valorant, FACEIT ve Kaspersky gibi oyunlardan ve güvenlik markalarından alınan ve her biri farklı bir sürücüyü kötüye kullanan en az sekiz GentleKiller varyantı saydı.

Denetimi atlamak için, ikili dosyalar sahte sürüm ayrıntılarını, kopyalanmış ancak geçersiz dijital imzaları ve taklit ettikleri satıcıların simgelerini genellikle ticari paketleyicilere sarılmış olarak taşır.

Önemli Gelişmeler

Devamını oku: Geçen Ayki Saldırıların %40'ını Sadece Üç Fidye Yazılımı Çetesi Oluşturdu

Tek Bir Araç Değil, Bir Paket

Gentlemen'i alışılmadık kılan şey, EDR katillerini bağlı şirketlerinin değil operatörlerinin oluşturması ve bakımını yapmasıdır. ESET, çoğu fidye yazılımı ekibinin kendilerine ait bir ekip bulmak için bağlı kuruluşlardan ayrıldığını söyledi; RansomHub gibi yalnızca birkaçı bir tane sağlıyor. Beyler eksiksiz bir portföy sunuyor:

Detaylar ve Etkileri

GentleKiller, şirket içi çerçeve, en az sekiz farklı versiyonda

HexKiller, daha önce Warlock çetesine bağlıydı

MedusaLocker ve DragonForce izinsiz girişlerinde görülen ThrottleBlood

Sonuç ve Değerlendirme

Huawei ses sürücüsünü kötüye kullanan HavocKiller

Ödünç alınan üç aletin her biri, Beyler'in ortak kaçınma katmanıyla yeniden kaplandı. GentleKiller'ın kendisi daha da hızlı hareket etti; operatörler, yeni açıklanan sürücü açıklarını piyasaya çıktıktan birkaç gün sonra çalışan değişkenlere dönüştürdü.

Beyler Operasyonunun İçinde

Beyler, 2025'in sonlarında, eski bir Qilin iştiraki tarafından kurulan bir kuruluş olarak ortaya çıktı ve alışılmadık derecede büyük bir %90'lık kesintiyle bağlı kuruluşları cezbetti.

ESET, operatör tarafından yürütülen modeli kısmen, çete liderinin EDR öldürücü paketlerin korunmasını açıkça tartıştığı bir Mayıs veri sızıntısı yoluyla doğruladı. Alışılmışın dışında, ABD'li kurbanlara odaklanmıyor; Güneydoğu Asya, Güney Amerika ve Batı Avrupa'daki hedefleri açıkta kalan FortiGate konfigürasyonları aracılığıyla seçiyor.

ESET, GentleKiller'ın nasıl çalıştığını anlamanın savunmacıların henüz oluşturulmamış varyantlara bile hazırlanmasına yardımcı olduğunu söyledi. Uygulamada, bu tür BYOVD saldırılarına karşı savunma, bilinen güvenlik açığı olan sürücülerin engellenmesine ve korunan bir güvenlik süreci aniden kapatıldığında uyarı verilmesine odaklanır.

Paylaş: