Gentlemen Fidye Yazılımı Çetesi EDR Sistemlerini Nasıl Atlatıyor?

Siber güvenlik devi ESET, 2026 başından beri aktif olan fidye yazılımı (RaaS) çetesi Gentlemen'ın, uç nokta tespit ve müdahale (EDR) sistemlerini devre dışı bırakma tekniklerini analiz etti. Grup, güvenlik yazılımlarını etkisiz hale getirmede kullandığı gelişmiş araçlarla dikkat çekiyor.

Siber güvenlik alanının önde gelen firmalarından ESET, son dönemde fidye yazılımı ekosisteminde adından sıkça söz ettiren Gentlemen çetesinin saldırı yöntemlerini mercek altına aldı. Bir hizmet olarak fidye yazılımı (RaaS) modeliyle çalışan bu çete, özellikle güvenlik yazılımlarını devre dışı bırakma yetenekleriyle ön plana çıkıyor. ESET araştırmacıları, Gentlemen'ın sağlam EDR (Uç Nokta Tespit ve Müdahale) engelleme araç setini detaylı bir şekilde inceledi.

Gentlemen Çetesi Kimleri Hedefliyor?

Çoğu üst düzey fidye yazılımı grubunun aksine Gentlemen, hedeflerini yalnızca Amerika Birleşik Devletleri ile sınırlamıyor. Aksine, Güneydoğu Asya, Güney Amerika ve Batı Avrupa'daki şirketleri hedef alarak küresel bir erişim sergiliyor. Tayland, Brezilya ve Fransa gibi genellikle fidye yazılımı saldırılarında daha az görülen ülkeler de çetenin kurbanları arasında yer alıyor. Bu durum, grubun coğrafi hedeflemede farklı bir strateji izlediğini gösteriyor.

EDR Atlatma Teknikleri ve 'GentleKiller' Çerçevesi

ESET araştırmacısı Jakub Souček, Gentlemen'ın EDR sistemlerini atlatma yeteneklerinin önemine dikkat çekti. Souček, "Son aylarda Gentlemen hakkında birçok rapor yayınlansa da, bu raporlar grubun EDR katillerinin ayrıntılı bir analizine odaklanmamıştı" dedi. ESET'in sürekli olay düzeyindeki görünürlüğü sayesinde, Gentlemen'ın EDR engelleyici geliştirme uygulamalarına ilişkin benzersiz ve derinlemesine bir bakış açısı sunuldu.

Mayıs 2026'daki iç veri sızıntısı, Gentlemen'ın iç işleyişi hakkında değerli bilgiler sağladı. Bu sızıntı, ESET'in Şubat 2026'da oluşturduğu bir hipotezi de doğruladı: Gentlemen operatörleri, 'GentleKiller' adını verdikleri kendi iç çerçevelerini merkez alarak, bağlı kuruluşlarına sundukları bir EDR katilleri portföyünü aktif olarak geliştiriyor ve sürdürüyorlar. Bu özel çerçeve, grubun saldırılarını daha etkili hale getirmede kilit rol oynuyor.

Kullanılan Diğer Araçlar ve Taktikler

Gentlemen çetesi, GentleKiller'ın yanı sıra HexKiller, ThrottleBlood ve HavocKiller gibi üçüncü taraf veya sızdırılmış araçları da kullanıyor. Bu araçlar, ortak bir savunma atlatma katmanı aracılığıyla standartlaştırılıyor ve genellikle güvenlik sağlayıcılarının kimliğine bürünmek için sahte sürüm bilgileri, kopyalanmış meşru sertifikalar ve simgeler kullanılıyor. Bu taktik, kurbanların güvenlik yazılımlarını devre dışı bırakma girişimlerini fark etmesini zorlaştırıyor.

Meşru Kimlik Taklidi: Siber saldırganlar, güvenlik yazılımlarını taklit ederek güven kazanmaya çalışır.
Sertifika Kopyalama: Geçerli sertifikaların kopyalanması, kötü amaçlı yazılımların güvenilir görünmesini sağlar.
Sürüm Bilgisi Manipülasyonu: Sahte sürüm bilgileri, güvenlik yazılımlarının güncel olmayan bir versiyonu gibi görünmesini sağlayarak tespit edilmeyi zorlaştırır.

'Kendi Güvenlik Açığı Olan Sürücünü Getir' (BYOVD) Saldırıları

Çete ayrıca, yeni açıklanan "Bring Your Own Vulnerable Driver" (Kendi Güvenlik Açığı Olan Sürücünü Getir - BYOVD) saldırılarını da etkin bir şekilde kullanıyor. Bu tür saldırılar, meşru ancak güvenlik açığı bulunan sürücüleri kullanarak sistemde ayrıcalık elde etmeyi ve güvenlik yazılımlarını atlatmayı hedefliyor. BYOVD saldırıları, modern güvenlik çözümlerini dahi zorlayabilen gelişmiş bir tekniktir ve fidye yazılımı çetelerinin ne kadar sofistike hale geldiğini gözler önüne seriyor.

ESET'in bu kapsamlı analizi, Gentlemen çetesinin siber güvenlik tehditleri arasındaki yerini ve kullandığı karmaşık yöntemleri anlamak açısından büyük önem taşıyor. İşletmelerin ve bireylerin, bu tür gelişmiş fidye yazılımı saldırılarına karşı güncel güvenlik önlemleri alması ve EDR sistemlerinin etkinliğini sürekli kontrol etmesi hayati önem taşıyor.