ESET: Gentlemen önce güvenlik sistemlerini kapatıyor sonra saldırıyor
ESET, 2026'nın en aktif fidye yazılımı çetelerinden Gentlemen'in saldırı öncesinde güvenlik yazılımlarını devre dışı bırakan gelişmiş araçlar kullandığını açıkladı.
Haberin Özeti
- • ESET, 2026'nın en aktif fidye yazılımı gruplarından Gentlemen'in güvenlik sistemlerini devre dışı bırakan araçlarını analiz etti.
- • Çetenin saldırı öncesinde EDR yazılımlarını etkisiz hale getirerek çifte şantaj yöntemi kullandığı belirtildi.
- • Gentlemen'in özellikle Güneydoğu Asya, Güney Amerika ve Batı Avrupa'daki kuruluşları hedef aldığı açıklandı.
Siber güvenlik şirketi ESET, hizmet olarak fidye yazılımı (RaaS) modeliyle faaliyet gösteren ve 2026 yılının en aktif siber suç grupları arasında gösterilen Gentlemen çetesine ilişkin kapsamlı bir araştırma yayımladı. Araştırmada, grubun saldırı öncesinde güvenlik sistemlerini devre dışı bırakmak amacıyla geliştirdiği uç nokta tespit ve müdahale (EDR) engelleme araçları ayrıntılı şekilde incelendi.
ESET Research tarafından hazırlanan analizde, Gentlemen'in yalnızca fidye yazılımı geliştirmekle kalmadığı, aynı zamanda bağlı gruplarına güvenlik yazılımlarını etkisiz hale getirebilecek gelişmiş araçlar da sunduğu belirtildi. Çetenin özellikle Güneydoğu Asya, Güney Amerika ve Batı Avrupa'daki kuruluşları hedef aldığı, ABD'nin ise saldırıların merkezinde yer almadığı ifade edildi.
Kendi EDR araçlarını geliştiriyor
ESET araştırmacısı Jakub Souček, grubun kullandığı araçların daha önce ayrıntılı biçimde incelenmediğini belirterek şu değerlendirmede bulundu:
“Son aylarda Gentlemen ile ilgili çok sayıda rapor yayımlanmış olsa da bu raporlar grubun EDR katillerinin ayrıntılı bir analizine odaklanmamıştı. ESET’in olay düzeyinde sağladığı sürekli görünürlük sayesinde, Gentlemen’in EDR engelleyici geliştirme uygulamalarına ilişkin benzersiz ve derinlemesine bir bakış sunabiliyoruz. Gentlemen’in Mayıs 2026’da maruz kaldığı iç veri sızıntısı, grubun iç işleyişi hakkında bize daha fazla bilgi sağladı. Bu sızıntı, Şubat 2026’da oluşturduğumuz hipotezi de doğrulamamızı sağladı: Gentlemen operatörleri, GentleKiller adını verdiğimiz kendi iç çerçevelerini merkez alarak, bağlı kuruluşlarına sundukları bir EDR katilleri portföyünü aktif olarak geliştiriyor ve sürdürüyorlar."
Raporda, grubun kendi geliştirdiği GentleKiller'ın yanı sıra HexKiller, ThrottleBlood ve HavocKiller gibi üçüncü taraf araçları da kullandığı, bu yazılımların güvenlik firmalarının ürünlerini taklit edecek şekilde düzenlendiği aktarıldı.
Çifte şantaj yöntemi kullanıyor
ESET'in analizine göre Gentlemen, 2025 yılının sonlarında ortaya çıktı ve kısa sürede en aktif fidye yazılımı gruplarından biri haline geldi. Grup, iş ortaklarına fidye gelirinin yüzde 90'ını bırakırken, saldırılarda "çifte şantaj" yöntemini uyguluyor. Bu yöntemde yalnızca veriler şifrelenmiyor, fidye ödenmediği takdirde çalınan bilgilerin yayımlanacağı tehdidi de kullanılıyor.
Araştırmada ayrıca grubun, yeni ortaya çıkan güvenlik açıklarını ve "Bring Your Own Vulnerable Driver" yöntemlerini çok kısa sürede saldırılarında kullanabilecek teknik kapasiteye sahip olduğu vurgulandı.
Savunma stratejileri için önemli veriler
Jakub Souček, araştırmanın güvenlik ekipleri açısından önemli bilgiler sunduğunu belirterek şöyle konuştu:
“Savunma açısından bakıldığında, GentleKiller’ın nasıl çalıştığını anlamak, uzmanların savunma stratejilerini daha iyi tasarlayabilmelerini ve Gentlemen’in EDR devre dışı bırakma cephaneliğine henüz eklenmemiş yeni unsurlara karşı bile savunma yapabilmelerini sağlar.”
Bakmadan Geçme
