Kaspersky GReAT (Global Araştırma ve Analiz Ekibi) tarafından hızla büyüyen “The Gentlemen” fidye yazılımı grubuna yönelik gerçekleştirilen yeni bir araştırma, saldırganların taktiklerini yeni ve özel yapım araçlarla geliştirdiklerini ortaya koydu.Araştırma, grubun fidye yazılımını devreye almadan önce bilgi toplamak ve ele geçirilen sistemler üzerinde kontrol sağlamak amacıyla kullanılan özel geliştirilmiş bir arka kapı (backdoor) ile yeni bir fidye yazılımı yürütülebilir dosyası kullandığını ortaya koydu. Grup, dünya genelinde üretim, BT hizmetleri, sağlık, finansal hizmetler, inşaat ve lojistik başta olmak üzere birçok sektörü hedef alıyor.
Kaspersky, fidye yazılımı eğilimlerine ilişkin yayımladığı son raporda da dikkat çekici veriler paylaştı. Kaspersky Security Network verilerine göre 2025 yılında fidye yazılımı saldırılarından etkilenen kuruluşların oranı en yüksek olan bölge yüzde 8,13 ile Latin Amerika oldu. Bu bölgeyi yüzde 7,89 ile Asya-Pasifik, yüzde 7,62 ile Afrika, yüzde 7,27 ile Orta Doğu, yüzde 5,91 ile Bağımsız Devletler Topluluğu (BDT) ve yüzde 3,82 ile Avrupa takip etti.
İlk olarak 2025 yılının ortalarında ortaya çıktığı tahmin edilen The Gentlemen, hızla büyüyen bir Fidye Yazılımı (Ransomware-as-a-Service – RaaS) hizmeti olarak öne çıkıyor. Grup ve bağlı operatörleri, hedef sistemlere ilk erişimi çoğunlukla internete açık servislerdeki güvenlik açıklarını istismar ederek veya ele geçirilmiş kimlik bilgilerini kullanarak elde ediyor. Saldırganların, değerli fikri mülkiyete sahip kuruluşlara en az çabayla erişebilmek için İlk Erişim Aracıları (Initial Access Brokers-IAB) ile iş birliği arayışında olabileceği değerlendiriliyor. Kaspersky araştırmacıları, grubun normalde kullanmadığı tekniklerle bazı kurban sistemlerine, fidye yazılımı bulaştırılmadan uzun süre önce erişim sağlandığını tespit etti. Bu durum, ilk erişimin doğrudan The Gentlemen tarafından değil, büyük olasılıkla bir IAB olmak üzere başka bir tehdit aktörü tarafından gerçekleştirilmiş olabileceğine işaret ediyor.
Birçok RaaS grubundan farklı olarak The Gentlemen, özel geliştirilmiş araçları ve esnek sızma yöntemleriyle oldukça gelişmiş teknik yetkinliklere sahip. Kaspersky araştırmacıları, saldırganların fidye yazılımını çalıştırmadan bir gün önce hedef sistemlere, Go programlama diliyle geliştirilen ve daha önce bilinmeyen özel bir arka kapı yerleştirdiğini belirledi. Bu zararlı yazılım sistem ve ağ bilgilerini topluyor, tespit edilmemek için konsol penceresini gizliyor ve saldırganlarla çift yönlü iletişim kurma, sunucu tarafından iletilen komutları çalıştırma ve keşif faaliyetleri yürütme gibi yeteneklere sahip bulunuyor. Böylece saldırganlar, ele geçirilen ortam içerisindeki faaliyetlerini genişletebiliyor ve bulunduğu ortama göre uyarlayabiliyor.
Kaspersky ayrıca, az sayıda kurumsal kurbanı etkileyen ve C diliyle yazılmış yeni bir fidye yazılımı varyantı daha keşfetti. The Gentlemen bugüne kadar ağırlıklı olarak farklı platformlarda çalışabilen Go tabanlı bir fidye yazılımı implantı kullanırken, bu yeni C tabanlı varyantın doğrudan Windows odaklı olduğu görülüyor. Bu durum, grubun teknik araç setini genişletirken yeni zararlı yazılımını gerçek mağdur ortamlarında test ettiğine işaret ediyor.
Dikkat çekici bir diğer detay ise, saldırganların eylemleri sırasında Kaspersky güvenlik çözümlerini sistemden kaldırmak amacıyla resmi kaldırma aracı olan “kavrmvr.exe”yi kullanmaya çalışması oldu. Ancak Kaspersky çözümü aktif kalmaya devam ederek saldırganların bu hamlesini engelledi ve süreci zararlı faaliyet olarak işaretledi.
Kaspersky GReAT Kıdemli Güvenlik Uzmanı Fatih Şensoy, konuya ilişkin şu değerlendirmelerde bulundu: “Tehdit ekosistemine nispeten yeni katılmış bir oyuncu olmasına rağmen The Gentlemen grubu, siber suç dünyasında hızla itibar kazanıyor, yeni iş ortakları çekiyor ve geniş yankı uyandıran saldırılar düzenliyor. C tabanlı yeni fidye yazılımı varyantlarının test edilmesi, grubun teknik kabiliyetlerini aktif olarak geliştirdiğini gösteriyor. Bu durum, yakın gelecekte daha istikrarlı ve ölçeklenebilir saldırı zincirleriyle karşılaşabileceğimiz anlamına geliyor. Kuruluşların, fidye yazılımı faaliyetlerinde artış yaşanabileceğini göz önünde bulundurarak zafiyet yönetimi ve sistem sıkılaştırma (hardening) süreçlerine öncelik vermesi, güvenlik ihlali riskinin azaltılmasına katkı sağlayacaktır.”
Kaspersky, şirketleri fidye yazılımı tehditlerine karşı korunmaları için şu önlemleri almaya çağırıyor:
- Saldırganların güvenlik açıklarından yararlanarak ağınıza sızmasını önlemek için kullandığınız tüm cihazlardaki yazılımları her zaman güncel tutun.
- Savunma stratejinizi ağ içi yatay hareketlerin (lateral movement) ve internete veri sızdırılmasının (data exfiltration) tespit edilmesine odaklayın. Siber suçluların ağınızla kurduğu bağlantıları yakalamak için dışarı giden (outgoing) trafiğe özel bir dikkat gösterin. Saldırganların müdahale edemeyeceği, ağdan izole (offline) yedekleme sistemleri kurun ve ihtiyaç anında veya acil durumlarda bu yedeklere hızlıca erişebileceğinizden emin olun.
- Şirketler; gelişmiş tehdit keşfi, analizi ve olaylara zamanında müdahale imkanı tanıyan anti-APT ve EDR (Uç Nokta Tehdit Algılama ve Yanıt) çözümleri kullanarak kendilerini koruyabilirler. Ayrıca kuruluşlar, Siber Güvenlik Operasyon Merkezleri (SOC) ekiplerine en güncel tehdit istihbaratını sağlamalı ve profesyonel eğitimlerle yetkinliklerini düzenli olarak artırmalıdır. Tüm bu koruma bileşenlerine Kaspersky Next çözümü üzerinden erişilebilir.
Rapora ilişkin ayrıntılı bilgilere Securelist.com’da yayımlanan rapordan ulaşabilirsiniz.
Kaynak: (BYZHA) Beyaz Haber Ajansı
