GentleKiller EDR Çerçevesi: ‘The Gentlemen’ Zararlı Yazılım Operasyonunun Yeni Silahı
Siber güvenlik dünyasında ‘The Gentlemen’ isimli bir fidye yazılımı hizmeti (RaaS) operasyonu, sistem savunmalarını aşmak için geliştirdiği ‘GentleKiller’ adlı gelişmiş bir uç nokta tespit ve müdahale (EDR) çerçevesiyle dikkat çekiyor. Bu çerçeve, saldırganların sistemlere şifreleyiciyi dağıtmadan önce savunma mekanizmalarını devre dışı bırakmalarına olanak tanıyor. Peki, bu yeni tehdit bize ne anlatıyor?
GentleKiller EDR Çerçevesi ve EDR Sonlandırma Yetenekleri
Siber güvenlik araştırmacıları, ‘The Gentlemen’ grubunun sadece kendi geliştirdiği araçlarla yetinmeyip, aynı zamanda ‘HexKiller’, ‘ThrottleBlood’ ve ‘HavocKiller’ gibi üçüncü parti veya sızdırılmış araçları da portföyüne eklediğini belirtiyor. Bu araçların ortak noktası ise, genellikle güvenlik satıcılarını taklit eden sahte sürüm bilgileri ve kopyalanmış geçerli sertifikalarla standartlaştırılmış bir savunma atlatma katmanına sahip olmaları. ESET güvenlik araştırmacısı Jakub Souček’in paylaştığı rapora göre, bu yaklaşım, zararlı yazılımların tespit edilmesini zorlaştırıyor. Bu standartlaştırma süreci, her bir aracın kendine özgü zayıflıklarını gizlerken, genel bir saldırı vektörü oluşturuyor. Bu durum, güvenlik yazılımlarının sürekli olarak güncel kalması gerektiğinin altını çiziyor. Güvenlik firmaları, bu tür taklitçi yöntemlerle mücadele etmek için daha gelişmiş imza analizi ve davranışsal tespit algoritmaları geliştirmek zorunda kalıyor. Siber saldırganların bu denli sofistike yöntemler kullanması, savunma mekanizmalarının ne kadar dinamik olması gerektiğini bir kez daha gösteriyor. Peki, bu araçlar nasıl çalışıyor da bu kadar etkili olabiliyor?
BYOVD Saldırı Tekniğinin Hızlı Operasyonel Kullanımı
Slovak siber güvenlik şirketi ESET, ‘The Gentlemen’ grubunun özellikle ‘bring your own vulnerable driver’ (BYOVD) olarak bilinen bir saldırı tekniğine ilişkin yeni keşfedilen konsept kanıtı (PoC) açıkları operasyonel hale getirme konusundaki olağanüstü hızını da vurguluyor. Yeni yayınlanan bu tür açıkları günler içinde kullanabilir hale getirmeleri, grubun teknik çevikliğini gözler önüne seriyor. Bu, saldırı gruplarının güvenlik araştırmacılarından daha hızlı hareket edebildiği anlamına geliyor. BYOVD, kötü niyetli aktörlerin, sistemlerde zaten var olan ve güvenlik açığı taşıyan sürücüleri kötüye kullanarak kendi kodlarını çalıştırmasına dayanır. Bu yöntem, özellikle sistem çekirdeğine yakın çalışabilen sürücüler söz konusu olduğunda tehlikeli hale gelir. ‘The Gentlemen’in bu tekniği bu kadar hızlı benimsemesi, onların sürekli olarak yeni saldırı vektörlerini araştırdığını ve uyguladığını gösteriyor. Bu durum, güvenlik duvarları ve diğer savunma katmanlarının yanı sıra, sürücü güvenliği ve bütünlüğünün de ne kadar kritik olduğunu ortaya koyuyor. Siber güvenlik uzmanları, bu tür gelişmeler karşısında, işletim sistemlerinin ve sürücülerin düzenli olarak güncellenmesinin önemini vurguluyor. Ayrıca, bilinmeyen veya şüpheli sürücülerin yüklenmesini engelleyen ek güvenlik önlemlerinin de değerlendirilmesi gerekiyor. Bu hızlı adaptasyon yeteneği, grubun ne kadar tehlikeli bir tehdit oluşturduğunun bir göstergesi olarak kabul ediliyor.
‘The Gentlemen’ Operasyonunun Etki Alanı ve Kurbanları
Mart 2025’teki ortaya çıkışından bu yana, ‘The Gentlemen’ hızla yükselerek en aktif fidye yazılım gruplarından biri haline geldi. Ransomware.live verilerine göre, grup bugüne kadar 504 kurban bildirdi; bunların çoğu Güneydoğu Asya, Güney Amerika ve Batı Avrupa’da yoğunlaşıyor. Grubun operasyonlarını, Qilin gibi diğer fidye yazılım şemalarına bağlı bir ortak olarak görev yaptıktan sonra 36 yaşındaki Rus vatandaşı Alexander Andreevich Yapaev’in (namıdiğer hastalamuerte) yönettiği bildiriliyor. Bu küresel yayılım, sorunun ne kadar yaygın ve uluslararası bir boyuta ulaştığını gösteriyor. Farklı coğrafyalardaki kurbanlar, grubun küresel erişimini ve saldırı yeteneklerinin çeşitliliğini ortaya koyuyor. Bu tür operasyonlar, sadece bireysel şirketleri değil, aynı zamanda bölgesel ekonomileri ve kritik altyapıları da tehdit edebiliyor. Yapaev’in geçmişteki deneyimleri, onun daha sofistike ve geniş çaplı saldırılar planlamasına olanak tanıyor olabilir. Grubun kurban profilinin çeşitliliği—küçük işletmelerden büyük kurumlara kadar—onların hedefleme stratejilerinin ne kadar esnek olduğunu gösteriyor. Bu, herhangi bir kuruluşun potansiyel bir hedef olabileceği anlamına geliyor. Bu durum, siber güvenlik bütçelerinin artırılması ve uluslararası işbirliğinin güçlendirilmesi gerektiği gerçeğini pekiştiriyor. Veri güvenliği ve iş sürekliliği planları, bu tür tehditlere karşı hazırlıklı olmak için elzemdir.
GentleKiller’ın Teknik Detayları: 400 Güvenlik Sürecini Hedef Alıyor
ESET, ‘The Gentlemen’i, derlenmiş EDR sonlandırıcı örneklerinin tespitten kaçmasını sağlayan bir dizi teknik kullanan en teknik olarak çevik RaaS gruplarından biri olarak tanımlıyor. Bunlar arasında Enigma veya Themida ile ikili koruma ve tanınmış siber güvenlik satıcılarını taklit eden dosya adları—sürüm bilgileri, dijital imzalar ve simgeler dahil—kullanmak yer alıyor. En yaygın olanı ise sekiz farklı varyantı bulunan ve her biri farklı bir meşru ürünü taklit edip, BYOVD saldırısının bir parçası olarak farklı bir savunmasız veya kötü amaçlı sürücüyü istismar eden GentleKiller’dır. GentleKiller özel olarak, bir dizi satıcıdan 48 farklı güvenlik programıyla ilişkili 400 süreci arıyor. Her varyantın istismar ettiği sürücülerin listesi şöyledir: Kaspersky (‘eb.sys’), FACEIT Anti-Cheat (‘nseckrnl.sys’), Valorant (‘GameDriverX64.sys’), Javelin (‘stpm_old.sys’ veya ‘stpm_new.sys’), WatchDog (‘dmx.sys’), Network Blocker (‘360netmon_wfp.sys’), Cleaner (‘IMFForceDelete.sys’), G11 (‘PoisonX.sys’). Bu detaylı liste, grubun ne kadar hedefe yönelik ve sistematik bir yaklaşım benimsediğini gösteriyor. Bu sürücülerin hedef alınması, özellikle güvenlik yazılımlarının derin sistem erişimini engellemeyi amaçlıyor. Örneğin, Kaspersky’nin ‘eb.sys’ sürücüsünü hedef alması, bu popüler antivirüs çözümünün çekirdek işlevlerini baltalamayı amaçlayabilir. Benzer şekilde, oyun odaklı anti-hile sürücülerini hedef almak, oyuncuları veya oyun platformlarını hedefleyen saldırılarda bir avantaj sağlayabilir. Bu, grubun sadece genel bir fidye yazılımı yaymakla kalmayıp, aynı zamanda belirli güvenlik katmanlarını aşmak için özelleşmiş araçlar geliştirdiğini de ortaya koyuyor. Bu saldırı vektörlerinin anlaşılması, güvenlik ürünlerinin geliştiricileri için de kritik öneme sahiptir. Güvenlik satıcıları, bu tür sürücü istismarlarını tespit etmek ve önlemek için sürekli olarak kendi ürünlerini güncellemelidir. Bu rekabet, nihayetinde daha güvenli bir dijital ortam yaratma çabasının bir parçasıdır.
Peki GentleKiller EDR Çerçevesi ile Ne Yapmalısınız?
Yakın aylarda, ‘PoisonX.sys’in CrowdStrike Falcon EDR’yi sonlandırmak için kullanılanlar da dahil olmak üzere çeşitli BYOVD saldırılarıyla bağlantılı olarak kötüye kullanıldığı kaydedildi. Huntress tarafından detaylandırılan ikinci bir kampanya, bilinmeyen tehdit aktörlerinin fidye yazılımını ağa başarıyla dağıtmak için BeyondTrust Remote Support’u kullandığı bir saldırıyı içeriyordu; ancak bu, ‘PoisonX.sys’ ve ‘hrwfpdrv.sys’ aracılığıyla güvenlik araçlarını sonlandırmadan önce gerçekleşti. Bu olaylar, tehdidin ne kadar çeşitli ve adaptif olduğunu gösteriyor. Bir saldırı vektörünün engellenmesi, grubun başka bir yolu deneyeceği anlamına geliyor. Peki, bu sürekli gelişen tehdit ortamında ne gibi önlemler alınmalı? Öncelikle, tüm sistemlerinizi ve güvenlik yazılımlarınızı düzenli olarak güncellemeniz hayati önem taşıyor. Yama yönetimi, özellikle bilinen zayıflıkları hedef alan BYOVD saldırılarına karşı ilk savunma hattıdır. İkinci olarak, şüpheli sürücüleri veya uygulamaları yüklemeye karşı dikkatli olun. Tanınmış ve güvenilir kaynaklardan gelen yazılımları indirin ve kurun. Üçüncü olarak, gelişmiş tehdit algılama ve yanıt çözümlerini (EDR) benimseyin ve yapılandırın. Bu tür çözümler, şüpheli sürücü davranışlarını veya anormal süreçleri tespit etmede yardımcı olabilir. Dördüncü olarak, ağ segmentasyonu ve erişim kontrolleri gibi temel güvenlik uygulamalarını güçlendirin. Bu, bir saldırının yayılmasını sınırlamaya yardımcı olabilir. Son olarak, düzenli yedeklemeler yapın ve yedeklerinizi çevrimdışı veya ayrı bir ağda saklayın. Bu, fidye yazılımı saldırısının etkisini en aza indirecektir. ‘The Gentlemen’ gibi grupların teknik yetenekleri göz önüne alındığında, proaktif bir güvenlik duruşu benimsemek ve sürekli tetikte olmak kaçınılmazdır. Bu tür tehditlere karşı koymanın tek yolu, güncel bilgilere sahip olmak ve savunma stratejilerinizi buna göre uyarlamaktır.
