Kaspersky GReAT (Global Araştırma ve Analiz Ekibi) tarafından süratle büyüyen “The Gentlemen” fidye yazılımı kümesine yönelik gerçekleştirilen yeni bir araştırma, saldırganların taktiklerini yeni ve özel imal araçlarla geliştirdiklerini ortaya koydu.Araştırma, kümenin fidye yazılımını devreye almadan evvel bilgi toplamak ve ele geçirilen sistemler üzerinde denetim sağlamak hedefiyle kullanılan özel geliştirilmiş bir arka kapı (backdoor) ile yeni bir fidye yazılımı yürütülebilir evrakı kullandığını ortaya koydu. Küme, dünya genelinde üretim, BT hizmetleri, sıhhat, finansal hizmetler, inşaat ve lojistik başta olmak üzere birçok kesimi maksat alıyor.
Kaspersky, fidye yazılımı eğilimlerine ait yayımladığı son raporda da dikkat alımlı datalar paylaştı. Kaspersky Security Network bilgilerine nazaran 2025 yılında fidye yazılımı hücumlarından etkilenen kuruluşların oranı en yüksek olan bölge yüzde 8,13 ile Latin Amerika oldu. Bu bölgeyi yüzde 7,89 ile Asya-Pasifik, yüzde 7,62 ile Afrika, yüzde 7,27 ile Orta Doğu, yüzde 5,91 ile Bağımsız Devletler Topluluğu (BDT) ve yüzde 3,82 ile Avrupa takip etti.
İlk olarak 2025 yılının ortalarında ortaya çıktığı iddia edilen The Gentlemen, süratle büyüyen bir Fidye Yazılımı (Ransomware-as-a-Service – RaaS) hizmeti olarak öne çıkıyor. Küme ve bağlı operatörleri, maksat sistemlere birinci erişimi çoğunlukla internete açık servislerdeki güvenlik açıklarını istismar ederek yahut ele geçirilmiş kimlik bilgilerini kullanarak elde ediyor. Saldırganların, değerli fikri mülkiyete sahip kuruluşlara en az eforla erişebilmek için İlk Erişim Aracıları (Initial Access Brokers-IAB) ile iş birliği arayışında olabileceği bedellendiriliyor. Kaspersky araştırmacıları, kümenin olağanda kullanmadığı tekniklerle birtakım kurban sistemlerine, fidye yazılımı bulaştırılmadan uzun müddet evvel erişim sağlandığını tespit etti. Bu durum, birinci erişimin direkt The Gentlemen tarafından değil, büyük olasılıkla bir IAB olmak üzere öteki bir tehdit aktörü tarafından gerçekleştirilmiş olabileceğine işaret ediyor.
Birçok RaaS kümesinden farklı olarak The Gentlemen, özel geliştirilmiş araçları ve esnek sızma yöntemleriyle oldukça gelişmiş teknik yetkinliklere sahip. Kaspersky araştırmacıları, saldırganların fidye yazılımını çalıştırmadan bir gün evvel maksat sistemlere, Go programlama lisanıyla geliştirilen ve daha evvel bilinmeyen özel bir arka kapı yerleştirdiğini belirledi. Bu ziyanlı yazılım sistem ve ağ bilgilerini topluyor, tespit edilmemek için konsol penceresini gizliyor ve saldırganlarla çift yönlü bağlantı kurma, sunucu tarafından iletilen komutları çalıştırma ve keşif faaliyetleri yürütme üzere yeteneklere sahip bulunuyor. Böylelikle saldırganlar, ele geçirilen ortam içerisindeki faaliyetlerini genişletebiliyor ve bulunduğu ortama nazaran uyarlayabiliyor.
Kaspersky ayrıyeten, az sayıda kurumsal kurbanı etkileyen ve C lisanıyla yazılmış yeni bir fidye yazılımı varyantı daha keşfetti. The Gentlemen bugüne kadar yüklü olarak farklı platformlarda çalışabilen Go tabanlı bir fidye yazılımı implantı kullanırken, bu yeni C tabanlı varyantın direkt Windows odaklı olduğu görülüyor. Bu durum, kümenin teknik araç setini genişletirken yeni ziyanlı yazılımını gerçek mağdur ortamlarında test ettiğine işaret ediyor.
Dikkat alımlı bir başka ayrıntı ise, saldırganların hareketleri sırasında Kaspersky güvenlik tahlillerini sistemden kaldırmak emeliyle resmi kaldırma aracı olan “kavrmvr.exe”yi kullanmaya çalışması oldu. Lakin Kaspersky tahlili etkin kalmaya devam ederek saldırganların bu atağını engelledi ve süreci ziyanlı faaliyet olarak işaretledi.
Kaspersky GReAT Kıdemli Güvenlik Uzmanı Fatih Şensoy, hususa ait şu değerlendirmelerde bulundu: “Tehdit ekosistemine nispeten yeni katılmış bir oyuncu olmasına rağmen The Gentlemen grubu, siber hata dünyasında süratle prestij kazanıyor, yeni iş ortakları çekiyor ve geniş yankı uyandıran taarruzlar düzenliyor. C tabanlı yeni fidye yazılımı varyantlarının test edilmesi, kümenin teknik yeteneklerini etkin olarak geliştirdiğini gösteriyor. Bu durum, yakın gelecekte daha istikrarlı ve ölçeklenebilir taarruz zincirleriyle karşılaşabileceğimiz manasına geliyor. Kuruluşların, fidye yazılımı faaliyetlerinde artış yaşanabileceğini göz önünde bulundurarak zafiyet idaresi ve sistem sıkılaştırma (hardening) süreçlerine öncelik vermesi, güvenlik ihlali riskinin azaltılmasına katkı sağlayacaktır.”
Kaspersky, şirketleri fidye yazılımı tehditlerine karşı korunmaları için şu tedbirleri almaya çağırıyor:
- Saldırganların güvenlik açıklarından yararlanarak ağınıza sızmasını önlemek için kullandığınız tüm aygıtlardaki yazılımları her vakit aktüel tutun.
- Savunma stratejinizi ağ içi yatay hareketlerin (lateral movement) ve internete data sızdırılmasının (data exfiltration) tespit edilmesine odaklayın. Siber hatalıların ağınızla kurduğu irtibatları yakalamak için dışarı giden (outgoing) trafiğe özel bir dikkat gösterin. Saldırganların müdahale edemeyeceği, ağdan izole (offline) yedekleme sistemleri kurun ve muhtaçlık anında yahut acil durumlarda bu yedeklere süratlice erişebileceğinizden emin olun.
- Şirketler; gelişmiş tehdit keşfi, tahlili ve olaylara vaktinde müdahale imkanı tanıyan anti-APT ve EDR (Uç Nokta Tehdit Algılama ve Yanıt) tahlilleri kullanarak kendilerini koruyabilirler. Ayrıyeten kuruluşlar, Siber Güvenlik Operasyon Merkezleri (SOC) takımlarına en güncel tehdit istihbaratını sağlamalı ve profesyonel eğitimlerle yetkinliklerini tertipli olarak artırmalıdır. Tüm bu müdafaa bileşenlerine Kaspersky Next çözümü üzerinden erişilebilir.
Rapora ait detaylı bilgilere Securelist.com’da yayımlanan rapordan ulaşabilirsiniz.
Kaynak: (BYZHA) Beyaz Haber Ajansı
