Siber güvenlik alanında dünya lideri olan ESET, son dönemin en aktif fidye yazılımı çetelerinden Gentlemen’in kullandığı sofistike EDR devre dışı bırakma araçlarını mercek altına aldı. 2026 başından bu yana faaliyet gösteren çete, özellikle güvenlik yazılımlarını etkisiz hale getiren “EDR katilleri” ile dikkat çekiyor. ESET araştırmacılarının yaptığı detaylı analiz, çetenin diğer büyük rakiplerinden ayrışan bir strateji izlediğini ortaya koyuyor: ABD yerine Güneydoğu Asya, Güney Amerika ve Batı Avrupa’yı hedef alıyorlar.
Gentlemen’in Sıra Dışı Hedef Seçimi
Çoğu üst düzey fidye yazılımı çetesi, kurbanlarının yaklaşık yarısını ABD’den seçerken, Gentlemen bu alışılmış kalıbı kırarak farklı coğrafyalara yöneliyor. Tayland, Brezilya ve Fransa gibi ülkeler, çetenin sıkça hedef aldığı bölgeler arasında yer alıyor. ESET araştırmacısı Jakub Souček’e göre, bu durum çetenin iş ortaklarının tercihlerinden kaynaklanıyor ve ABD merkezli olmayan bir kurban profili oluşturuyor.
Gentlemen, bir hizmet olarak fidye yazılımı (RaaS) çetesi olarak 2025 sonlarında ortaya çıktı ve 2026’nın ilk çeyreğinde en aktif beş çeteden biri haline geldi. Çetenin en dikkat çekici özelliği, iş ortaklarına yüzde 90 gibi yüksek bir pay vermesi ve onlara sadece şifreleyiciler değil, aynı zamanda EDR devre dışı bırakma araçları da sağlaması.
EDR Katilleri ve İç Veri Sızıntısı
ESET, Gentlemen’in kendi geliştirdiği GentleKiller adlı çerçeve etrafında şekillenen bir EDR katilleri portföyü olduğunu tespit etti. Bu portföyde HexKiller, ThrottleBlood ve HavocKiller gibi üçüncü taraf veya sızdırılmış araçlar da bulunuyor. Tüm bu araçlar, ortak bir savunma atlatma katmanıyla standartlaştırılmış ve meşru güvenlik yazılımlarının kimliğine bürünecek şekilde tasarlanmış. Jakub Souček, Mayıs 2026’da yaşanan bir iç veri sızıntısının, çetenin bu araçları Şubat 2026’dan beri aktif olarak geliştirdiğini doğruladığını belirtti.
Gentlemen ayrıca, “Kendi Güvenlik Açığı Olan Sürücüyü Getir” (BYOVD) konseptini kullanarak, yeni açıklanan güvenlik açıklarını birkaç gün içinde silah haline getirme yeteneği sergiliyor. ESET, çetenin kullandığı OxideHarvest adlı bir kimlik bilgisi hırsızını da keşfetti; bu araç, bir bağlı kuruluş tarafından geliştirilmiş.
Savunma Stratejileri İçin Kritik Bilgiler
ESET araştırmacısı Jakub Souček, GentleKiller’ın nasıl çalıştığını anlamanın, savunma uzmanlarına daha etkili stratejiler geliştirme imkanı vereceğini vurguluyor. Souček, “Savunma açısından bakıldığında, GentleKiller’ın nasıl çalıştığını anlamak, uzmanların savunma stratejilerini daha iyi tasarlayabilmelerini ve Gentlemen’in EDR devre dışı bırakma cephaneliğine henüz eklenmemiş yeni unsurlara karşı bile savunma yapabilmelerini sağlar” dedi.
Gentlemen, çifte şantaj yöntemi kullanarak hem verileri şifreliyor hem de fidye ödenmezse sızdırmakla tehdit ediyor. Çetenin bu kadar hızlı büyümesinin ardında, iş ortaklarına sunduğu kapsamlı araç seti ve yüksek kar payı yatıyor. ESET’in analizi, çetenin gelecekte de benzer yöntemlerle faaliyet gösterebileceğine işaret ediyor.
Kaynak: Beyaz Haber Ajansı