Kaspersky’nin Global Araştırma ve Analiz Ekibi (GReAT) tarafından yayımlanan yeni bir rapor, hızla yükselen fidye yazılımı grubu ‘The Gentlemen’ hakkında çarpıcı detaylar ortaya koydu. Araştırmaya göre grup, saldırı taktiklerini tamamen kendilerine özel geliştirilmiş araçlarla donatarak siber suç dünyasında adından söz ettiriyor. Özellikle fidye yazılımını devreye sokmadan önce kullandıkları özel bir arka kapı (backdoor) ve yeni nesil bir fidye yazılımı yürütülebilir dosyası, grubun teknik yetkinliğini gözler önüne seriyor.
Hedefteki Sektörler ve Küresel Etki
The Gentlemen grubunun hedef listesi oldukça geniş. Dünya genelinde üretim, BT hizmetleri, sağlık, finansal hizmetler, inşaat ve lojistik sektörleri başta olmak üzere birçok kritik alan saldırıların odağında yer alıyor. Kaspersky Security Network verileri, 2025 yılında fidye yazılımı saldırılarından en çok etkilenen bölgenin %8,13 ile Latin Amerika olduğunu gösteriyor. Bu bölgeyi sırasıyla %7,89 ile Asya-Pasifik, %7,62 ile Afrika, %7,27 ile Orta Doğu, %5,91 ile Bağımsız Devletler Topluluğu ve %3,82 ile Avrupa takip ediyor.
Özel Geliştirilmiş Araçlar ve Sızma Yöntemleri
İlk kez 2025 yılının ortalarında ortaya çıktığı tahmin edilen The Gentlemen, bir Fidye Yazılımı Olarak Hizmet (RaaS) modeliyle faaliyet gösteriyor. Grup ve bağlı operatörleri, hedef ağlara ilk erişimi genellikle internete açık servislerdeki güvenlik açıklarını kullanarak veya çalıntı kimlik bilgileriyle sağlıyor. Araştırmacılar, saldırganların değerli fikri mülkiyete sahip kuruluşlara daha kolay erişmek için İlk Erişim Aracıları (IAB) ile iş birliği yapabileceğini düşünüyor. Kaspersky, bazı kurban sistemlerine fidye yazılımı bulaştırılmadan çok önce erişildiğini tespit etti; bu da ilk erişimin büyük olasılıkla bir IAB tarafından gerçekleştirildiğine işaret ediyor.
Diğer RaaS gruplarından farklı olarak The Gentlemen, kendine özgü araçları ve esnek sızma yöntemleriyle dikkat çekiyor. Araştırmacılar, saldırganların fidye yazılımını çalıştırmadan tam bir gün önce hedef sistemlere Go programlama diliyle yazılmış, daha önce bilinmeyen özel bir arka kapı yerleştirdiğini keşfetti. Bu zararlı yazılım, sistem ve ağ bilgilerini topluyor, tespit edilmemek için konsol penceresini gizliyor ve saldırganlarla çift yönlü iletişim kurarak komut çalıştırma ve keşif faaliyetleri yürütme yeteneklerine sahip. Böylece saldırganlar, ele geçirilen ortamda faaliyetlerini genişletebiliyor ve ortama göre uyarlayabiliyor.
Kaspersky ayrıca, az sayıda kurumsal kurbanı etkileyen C dilinde yazılmış yeni bir fidye yazılımı varyantı daha tespit etti. The Gentlemen daha önce ağırlıklı olarak Go tabanlı bir fidye yazılımı kullanırken, bu yeni varyant doğrudan Windows sistemlerini hedef alıyor. Bu durum, grubun teknik araç setini genişletirken yeni zararlı yazılımını gerçek mağdur ortamlarında test ettiğini gösteriyor.
Kaspersky Çözümleri Saldırıyı Engelledi
Dikkat çekici bir diğer detay ise saldırganların, Kaspersky güvenlik çözümlerini sistemden kaldırmak amacıyla resmi kaldırma aracı ‘kavrmvr.exe’yi kullanmaya çalışması oldu. Ancak Kaspersky çözümü aktif kalmaya devam ederek bu hamleyi engelledi ve süreci zararlı faaliyet olarak işaretledi.
Uzman Görüşü: Gelecekte Daha Karmaşık Saldırılar Bekleniyor
Kaspersky GReAT Kıdemli Güvenlik Uzmanı Fatih Şensoy, konuya ilişkin şu değerlendirmelerde bulundu:
‘Tehdit ekosistemine nispeten yeni katılmış bir oyuncu olmasına rağmen The Gentlemen grubu, siber suç dünyasında hızla itibar kazanıyor, yeni iş ortakları çekiyor ve geniş yankı uyandıran saldırılar düzenliyor. C tabanlı yeni fidye yazılımı varyantlarının test edilmesi, grubun teknik kabiliyetlerini aktif olarak geliştirdiğini gösteriyor. Bu durum, yakın gelecekte daha istikrarlı ve ölçeklenebilir saldırı zincirleriyle karşılaşabileceğimiz anlamına geliyor. Kuruluşların, fidye yazılımı faaliyetlerinde artış yaşanabileceğini göz önünde bulundurarak zafiyet yönetimi ve sistem sıkılaştırma (hardening) süreçlerine öncelik vermesi, güvenlik ihlali riskinin azaltılmasına katkı sağlayacaktır.’
Kuruluşlar İçin Önerilen Korunma Yöntemleri
Kaspersky, fidye yazılımı tehditlerine karşı şirketlere şu önlemleri almalarını tavsiye ediyor:
- Tüm cihazlardaki yazılımları güncel tutarak güvenlik açıklarının istismar edilmesini önleyin.
- Savunma stratejinizi ağ içi yatay hareketlerin ve veri sızdırma girişimlerinin tespitine odaklayın. Özellikle dışarı giden trafiği izleyin.
- Ağdan izole, offline yedekleme sistemleri kurun ve acil durumlarda bu yedeklere hızlıca erişebildiğinizden emin olun.
- Gelişmiş tehdit keşfi ve olay müdahalesi için anti-APT ve EDR çözümleri kullanın. SOC ekiplerinize güncel tehdit istihbaratı sağlayın ve düzenli eğitimlerle yetkinliklerini artırın.
Tüm bu koruma bileşenlerine Kaspersky Next çözümü üzerinden erişilebiliyor. Rapora ilişkin ayrıntılı bilgilere Securelist.com’da yayımlanan rapordan ulaşabilirsiniz.
Kaynak: Beyaz Haber Ajansı