Giriş
Gentlemen fidye yazılımı, siber saldırılarda kullanılan yenilikçi tekniklerle dikkat çekiyor. Son dönemde, sistemleri hedef alan yüksek kapasiteli bir SystemBC proxy botnetinin bulunması, bu tehditin ciddiyetini bir kez daha gözler önüne serdi.
Saldırı Nasıl Çalışıyor?
Gentlemen ransomwarenin, 2025 yılı ortalarında ortaya çıkan bir hizmet olarak sunulan yazılım modeli (RaaS) olduğu biliniyor. Bu saldırı yöntemi, hem Windows, Linux, NAS hem de BSD sistemlerini şifreleyebilen Go tabanlı bir kilitleyici ve ESXi sanallaştırıcıları için C tabanlı bir kilitleyici sunuyor.
- CVE-XXXX-XXXX: Gentilemen fidye yazılımı operasyonları için belirlenmiş bir güvenlik açığı.
- SystemBC: 2019’dan beri kullanılan bir proxy malware, SOCKS5 tunneling için tasarlanmıştır.
Check Point araştırmacıları, Gentilemen saldırılarında bir Domain Controller’dan hareketle hedef sistemlere erişim sağlandığını ve saldırganların kimlik bilgilerini araştırarak Cobalt Strike payloadlarını uzaktan sistemlere dağıttığını tespit etti. Kötü niyetli yazılım, Mimikatz kullanarak kimlik bilgilerini topladı ve iç sunuculardan fidye yazılımını sahaya sürdü.
Etkilenen Sistemler
SystemBC ile etkilenen kurbanların çoğunluğun ABD, Birleşik Krallık, Almanya, Avustralya ve Romanya’da yer aldığı belirlenmiştir. Araştırmalara göre, bu botnetin 1.570’den fazla kurbanı bulunmaktadır ve hedefi genellikle şirketlerdir.
Kaynak: Check Point
Araştırmacılar, SystemBC’nin Gentlemen ransomwarenin ekosistemindeki yerini belirleyemediklerini, ancak bu kötü amaçlı yazılımın farklı ortaklar tarafından kullanılıp kullanılmadığı konusunda kesin bir bilgiye ulaşamadıklarını ifade ediyor.
Çözüm ve Korunma
Gentlemen fidye yazılımının saldırı zinciri, şifreleme scheme’inin karma bir yapı kullandığını ortaya koydu. Hem X25519 (Diffie-Hellman) hem de XChaCha20 tabanlı bu yapı, her dosya için rastgele bir anahtar çifti oluşturmaktadır.
- Dosyalar 1 MB altına geldiğinde tamamen şifrelenmektedir.
- Daha büyük dosyalarda ise şifreli verilerin yalnızca belirli yüzdelik dilimleri hedef alınmaktadır.
Gentlemen ransomware, şifrelemeden önce veritabanlarını, yedekleme yazılımlarını ve sanallaştırma süreçlerini sonlandırmakta, shadow kopyaları ve günlükleri yok etmektedir.
Check Point, tespit edilen tehdit göstergelerinin yanı sıra, YARA kuralları ile imza tabanlı koruma sağlamakta ve savunuculara bu tür saldırılara karşı korunmaları konusunda yardımcı olmaktadır.
Sonuç
Bu tür saldırılardan korunmanın en etkili yolu, sistemlerinizi güncel tutmak ve güvenlik yamalarını zamanında uygulamaktır. Şu adımları atmanızı öneririz:
- Sistemlerinizi ve yazılımlarınızı sık sık güncelleyiniz.
- Güvenlik duvarınızı ve ağ yapılandırmalarınızı gözden geçiriniz. Gerekirse, kapatılacak portlar üzerinde çalışınız.
- Düzenli veri yedekleme ve kurtarma planları oluşturunuz.
Dijital güvenlik, sürekli bir çaba gerektiren bir alandır. Unutmayın, önlem almak her zaman en iyi savunmadır.
