Siber güvenlik alanında dünya lideri olan ESET, bir hizmet olarak fidye yazılımı (RaaS) çetesi olan ve 2026 yılının başından bu yana fidye yazılımı ekosistemindeki en faal çetelerden biri olarak öne çıkan Gentlemen’in dayanıklı EDR engelleme araç setini tahlil etti.
Grup, güvenlik yazılımlarını devre dışı bırakmaya yarayan, olgun ve operatörler tarafından yönetilen bir uç nokta tespit ve müdahale (EDR) devre dışı bırakma araçları setiyle öne çıkıyor. Birçok üst seviye çetenin bilakis, Gentlemen’in kurban profili ABD merkezli değil; bunun yerine Güneydoğu Asya, Güney Amerika ve Batı Avrupa’daki kurbanları amaç alıyor. Çetenin gayeleri arasında Tayland, Brezilya ve Fransa üzere olağanda nadiren maksat alınan birtakım ülkeler de bulunuyor.
EDR katillerini takip eden ESET araştırmacısı Jakub Souček yaptığı açıklamada şunları söyledi: “Son aylarda Gentlemen ile ilgili çok sayıda rapor yayımlanmış olsa da bu raporlar kümenin EDR katillerinin detaylı bir tahliline odaklanmamıştı. ESET’in olay seviyesinde sağladığı daima görünürlük sayesinde, Gentlemen’in EDR engelleyici geliştirme uygulamalarına ait eşsiz ve derinlemesine bir bakış sunabiliyoruz. Gentlemen’in Mayıs 2026’da maruz kaldığı iç bilgi sızıntısı, kümenin iç işleyişi hakkında bize daha fazla bilgi sağladı. Bu sızıntı, Şubat 2026’da oluşturduğumuz hipotezi de doğrulamamızı sağladı: Gentlemen operatörleri, GentleKiller ismini verdiğimiz kendi iç çerçevelerini merkez alarak, bağlı kuruluşlarına sundukları bir EDR katilleri portföyünü faal olarak geliştiriyor ve sürdürüyorlar.
Buna ek olarak, küme HexKiller, ThrottleBlood ve HavocKiller üzere üçüncü taraf yahut sızdırılmış araçları da kullanıyor. Bu araçlar, ortak bir savunma atlatma katmanı aracılığıyla standartlaştırılmakta ve uydurma sürüm bilgileri ile kopyalanmış legal sertifikalar ve simgeler kullanılarak yüklü olarak güvenlik sağlayıcılarının kimliğine bürünüyor. Gentlemen ayrıyeten yeni açıklanan “Bring Your Own Vulnerable Driver” (Kendi Güvenlik Açığı Olan Sürücünü Getir) kavram ispatlarını, çoklukla kamuya açıklanmasından birkaç gün sonra, alışılmadık derecede süratli bir halde fonksiyonel hâle getirme yeteneği sergilemektedir. EDR katillerinin yanı sıra OxideHarvest ismini verdiğimiz bir kimlik bilgisi hırsızı da tespit ettik; bu araç, Gentlemen’in bağlı kuruluşlarından biri tarafından geliştirilmiş.
Bağlam olarak belirtmek gerekirse Gentlemen 2025 yılının sonlarında bir RaaS operasyonu olarak ortaya çıktı ve süratle 2026’nın birinci çeyreğinde gözlemlenen en faal fidye yazılımı çetelerinden biri hâline geldi. Çete, iş ortaklarına cömert bir biçimde yüzde 90’lık bir hisse sunuyor. Gentlemen, ikili şantaj formülünü kullanıyor — kurbanın datalarını şifrelemenin yanı sıra fidye ödenmezse dataları sızdırmakla da tehdit ediyor.
Gentlemen’i başkalarından ayıran özelliklerden biri, çetenin iş ortaklarına yalnızca şifreleyicilerden fazlasını sunmaya istekli olması — bilhassa de çete, EDR engelleyicileri de sağlıyor. Gentlemen, farklı ve şu ana kadar gereğince raporlanmamış bir yaklaşımı temsil ediyor. İş ortaklarının kendi EDR katillerini temin etmelerine güvenmek yerine, Gentlemen operatörleri iş ortakları için bir EDR katilleri portföyünü faal olarak geliştirip sürdürüyor.
Büyük RaaS operasyonlarının kurban profili, ekseriyetle operatörlerin yönlendirdiği stratejiden çok, bağlı üyelerin tercihlerine nazaran şekillenmekle birlikte yeniden de makul bir örüntü ortaya çıkma eğiliminde. Birçok büyük fidye yazılımı çetesi, açıklanan tüm kurbanların yaklaşık yarısını oluşturan ABD’ye güçlü ve kalıcı bir odaklanma sergiliyor. Gentlemen, bu eğilime karşı dikkate bedel bir istisna olarak öne çıkıyor. 2026’nın birinci çeyreğinde en etkin beş fidye yazılımı çetesi arasında yer almasına karşın kurban profili ABD’ye emsal bir odaklanma sergilemiyor. Bunun yerine, Gentlemen iş ortakları, coğrafik olarak geniş ve çeşitli bir ülke yelpazesindeki kurbanları dengeli bir biçimde hedeflemektedir; kurbanların değerli bir kısmı Güneydoğu Asya, Güney Amerika ve Batı Avrupa üzere bölgelerden geliyor.
Gentlemen operatörleri, çetenin çeşitli EDR katillerine makul bir dizi savunma atlatma tekniği uyguluyor. Bu teknikler, kaynak kod yerine derlenmiş örnekler üzerinde uygulanıyor. Bu, Gentlemen’e, çetenin kaynak koduna sahip olmadığı EDR engelleyicilerini de muhafaza seçeneği sunuyor. GentleKiller, Gentlemen ekosisteminde gözlemlenen en yaygın EDR engelleyicisi. Bugüne kadar ESET Research, her biri farklı bir legal eseri taklit eden ve farklı bir güvenlik açığı bulunan yahut berbat maksatlı sürücüyü berbata kullanan sekiz farklı varyant keşfetti. Bu yüzeysel farklılıklara karşın ESET, yüksek derecede ortak iç özelliklere sahip olmaları sebebiyle tüm bu örnekleri GentleKiller çatısı altında sınıflandırıyor. .
ESET araştırmacısı Jakub Souček açıklamalarına şu eklemeyi yaptı: “Savunma açısından bakıldığında, GentleKiller’ın nasıl çalıştığını anlamak, uzmanların savunma stratejilerini daha yeterli tasarlayabilmelerini ve Gentlemen’in EDR devre dışı bırakma cephaneliğine şimdi eklenmemiş yeni ögelere karşı bile savunma yapabilmelerini sağlar.”
Kaynak: (BYZHA) Beyaz Haber Ajansı
