Kaspersky’nin Global Araştırma ve Analiz Ekibi (GReAT), son dönemde faaliyetlerini hızla artıran “The Gentlemen” adlı fidye yazılımı grubuna ilişkin yeni bir araştırma yayımladı. Araştırma, grubun saldırılarında kullandığı araç setini genişlettiğini ve fidye yazılımını devreye almadan önce hedef sistemlerde kontrol sağlamak için özel geliştirilmiş yeni zararlı yazılımlar kullandığını ortaya koydu.
Araştırmaya göre saldırganlar, fidye yazılımını çalıştırmadan önce hedef sistemlere özel olarak geliştirilen bir arka kapı (backdoor) yerleştiriyor. Bunun yanında yeni bir fidye yazılımı yürütülebilir dosyasının da kullanıldığı belirlendi. Grup; üretim, bilişim hizmetleri, sağlık, finansal hizmetler, inşaat ve lojistik başta olmak üzere dünya genelinde birçok sektörü hedef alıyor. Kaspersky’nin fidye yazılımı eğilimlerine ilişkin yayımladığı son raporda da 2025 yılına ait dikkat çekici veriler yer aldı. Kaspersky Security Network verilerine göre, fidye yazılımı saldırılarından etkilenen kuruluş oranının en yüksek olduğu bölge yüzde 8,13 ile Latin Amerika oldu. Bu bölgeyi yüzde 7,89 ile Asya-Pasifik, yüzde 7,62 ile Afrika, yüzde 7,27 ile Orta Doğu, yüzde 5,91 ile Bağımsız Devletler Topluluğu (BDT) ve yüzde 3,82 ile Avrupa izledi.
İlk olarak 2025 yılının ortalarında ortaya çıktığı değerlendirilen The Gentlemen, “Fidye Yazılımı Hizmeti” (Ransomware-as-a-Service - RaaS) modeliyle faaliyet gösteren gruplar arasında hızla büyüyen yapılardan biri olarak öne çıkıyor. Araştırmaya göre grup ve bağlı operatörleri, hedef sistemlere çoğunlukla internete açık servislerde bulunan güvenlik açıklarını istismar ederek ya da ele geçirilmiş kullanıcı bilgilerini kullanarak erişim sağlıyor. Kaspersky araştırmacıları, bazı kurban sistemlerine fidye yazılımı bulaştırılmadan uzun süre önce erişildiğini tespit etti. Araştırmada, bu ilk erişimin doğrudan The Gentlemen tarafından değil, büyük olasılıkla İlk Erişim Aracıları (Initial Access Brokers-IAB) olarak bilinen farklı tehdit aktörleri tarafından sağlanmış olabileceği değerlendirildi. Bu durumun, grubun değerli fikri mülkiyete sahip kuruluşlara daha kolay ulaşabilmek için bu aracılarla iş birliği yapabileceğine işaret ettiği belirtildi.
Araştırmada ayrıca grubun birçok RaaS operasyonundan farklı olarak özel geliştirilmiş araçlar ve esnek sızma yöntemleri kullandığına dikkat çekildi. Buna göre saldırganlar, fidye yazılımını devreye almadan yaklaşık bir gün önce hedef sistemlere Go programlama diliyle geliştirilen ve daha önce bilinmeyen özel bir arka kapı yerleştiriyor. Söz konusu zararlı yazılımın sistem ve ağ bilgilerini topladığı, tespit edilmemek için konsol penceresini gizlediği, saldırganlarla çift yönlü iletişim kurabildiği, uzaktan gönderilen komutları çalıştırabildiği ve keşif faaliyetleri gerçekleştirebildiği belirlendi. Bu sayede saldırganların ele geçirilen sistemlerde faaliyetlerini genişletebildiği ve saldırıları hedef ortama göre şekillendirebildiği ifade edildi.
Kaspersky araştırmacıları ayrıca C programlama diliyle geliştirilen yeni bir fidye yazılımı varyantı da tespit etti. Araştırmada, bugüne kadar ağırlıklı olarak farklı platformlarda çalışabilen Go tabanlı fidye yazılımı kullanan grubun, bu kez doğrudan Windows sistemlerini hedef alan yeni bir varyantı gerçek kurban ortamlarında test ettiği değerlendirildi. Bunun da grubun teknik araç setini genişletme çalışmalarının bir parçası olduğu kaydedildi. Araştırmanın dikkat çeken bulgularından biri de saldırganların, saldırı sırasında Kaspersky güvenlik çözümlerini sistemden kaldırmak amacıyla şirketin resmi kaldırma aracı “kavrmvr.exe”yi kullanmaya çalışması oldu. Ancak Kaspersky güvenlik yazılımının aktif kalmaya devam ettiği ve bu girişimi zararlı faaliyet olarak tespit ederek engellediği aktarıldı.
Kaspersky GReAT Kıdemli Güvenlik Uzmanı Fatih Şensoy, The Gentlemen grubunun siber suç ekosisteminde kısa sürede dikkat çeken aktörlerden biri haline geldiğini belirterek, grubun yeni iş ortakları edinmeye devam ettiğini ve yüksek profilli saldırılar gerçekleştirdiğini söyledi. Şensoy, C tabanlı yeni fidye yazılımı varyantlarının test edilmesinin grubun teknik yeteneklerini geliştirmeye devam ettiğini gösterdiğini ifade ederek, bunun gelecekte daha istikrarlı ve ölçeklenebilir saldırı zincirlerinin ortaya çıkabileceğine işaret ettiğini dile getirdi. Kuruluşların fidye yazılımı tehditlerine karşı zafiyet yönetimi ve sistem sıkılaştırma (hardening) çalışmalarına öncelik vermesi gerektiğini vurguladı.
Araştırmada şirketlere yönelik çeşitli güvenlik önerilerine de yer verildi. Buna göre kurumların kullandıkları tüm yazılımları güncel tutmaları, ağ içerisindeki yatay hareketleri ve veri sızdırma girişimlerini izlemeleri, dışarı yönlü ağ trafiğini yakından takip etmeleri ve saldırganların erişemeyeceği çevrim dışı (offline) yedekleme sistemleri oluşturmaları önerildi. Bunun yanında kurumların gelişmiş tehdit tespiti, analiz ve olay müdahalesi sağlayan anti-APT ve EDR çözümlerinden yararlanmaları, güvenlik operasyon merkezlerinin güncel tehdit istihbaratıyla desteklenmesi ve ekiplerin düzenli eğitimlerle yetkinliklerinin artırılması gerektiği ifade edildi.