Gentlemen Ransomware Tehditi ve Önemi
Gentlemen ransomware-as-a-service (RaaS), son dönemde siber güvenlik alanında ciddi tehditler oluşturan bir yazılım olarak öne çıkmaktadır. Bu yazılım, iş ortaklarına yardım etmek için geliştirilmiş bir dizi endpoint detection and response (EDR) killer aracı ile dikkat çekiyor.
Saldırı Nasıl Çalışıyor?
Gentlemen çetesi, en yaygın olarak kullanılan GentleKiller adındaki özel aracı ile saldırılarına başlamaktadır. Bu araç, toplamda sekiz varyant içermekte ve Kaspersky , Valorant , Javelin ve WatchDog gibi çeşitli güvenlik ürünlerini taklit etmektedir. EDR killer’lar, saldırının başlangıç aşamalarında defansif sistemleri devre dışı bırakmak için kullanılır, bu sayede veri hırsızlığı veya şifreleme işlemleri sorunsuz bir şekilde gerçekleştirilebilir.
Bu araçlar, ‘bring your own vulnerable driver’ (BYOVD) tekniğini kullanarak yetkileri artırmakta ve güvenlik motorlarını devre dışı bırakmaktadır. ESET araştırmacılarının raporuna göre, her GentleKiller varyantı farklı zayıf sürücüleri kullanarak kernel düzeyinde yetkilere ulaşmaktadır. Ancak, tüm varyantların benzer dizeleri, aynı kod gizleme teknikleri ve benzer süreç öldürme mantıkları bulunmaktadır.
Etkilenen Sistemler
GentleKiller, Microsoft , CrowdStrike , SentinelOne , Palo Alto , Sophos , Trend Micro , ESET , Bitdefender , McAfee/Trellix ve Kaspersky gibi yaklaşık 48 güvenlik ürününe ait 400’den fazla süreci hedef alıyor. ESET ‘in tespitlerine göre, GentleKiller araçlarının ikili dosyaları ticari Enigma ve Themida paketleme ve kod koruma araçları ile korunmaktadır. Ayrıca, tehdit aktörleri geçersiz olsa da, meşru yazılımlardan çalınan dijital imzalar kullanmaktadır.
GentleKiller, yalnızca standart bir araç değil; aynı zamanda çetenin HexKiller, ThrottleBlood ve HavocKiller adındaki üç dış aracı da içermektedir. Bu araçlar, GentleKiller’ın etkinliğinin sınırlı olabileceği durumlar için ek bir önlem veya karmaşıklık sağlamak amacıyla kullanılıyor olabilir.
Çözüm ve Korunma
Gentlemen RaaS, hedeflerini FortiGate uç noktalarının yapılandırmasına göre seçmektedir. Bu durum, özellikle son zamanlarda keşfedilen “ FortiBleed ” adlı yaklaşık 74,000 FortiGate VPN kimliğinin sızdırılması ile daha da dikkat çekici hale gelmektedir. Gentlemen RaaS, Romanya’nın Oltenia enerji sağlayıcısını da hedef almış ve SystemBC proxy malware botneti ile ilişkilendirilmiştir.
Okuyucuların aşağıdaki önlemleri alması son derece önemlidir:
- Portlarınızı kapatın ve sadece gerekli olanları açık bırakın.
- Güvenlik yazılımlarınızı güncelleyin ve sistemlerinizi sürekli olarak tarayın.
- Şifrelerinizi güvenli bir şekilde yönetin ve çok faktörlü kimlik doğrulamayı etkinleştirin.
- Şüpheli faaliyetleri izleyin ve anormal durumlarda hızlıca yanıt verin.
Bu tehditlere karşı hazırlıklı olmak, etkili bir siber güvenlik stratejisinin ayrılmaz bir parçasıdır.
