Giriş
Gentlemen ransomware grubunun, sistem savunmalarını etkisiz hale getirmek için kullanılan EDR (Endpoint Detection and Response) öldürücüleri geliştirdiği ve bu durumun siber güvenlikte ciddi bir tehdit oluşturduğu açıktır. Bu tür tehditlerin artışı, sanal ortamdaki güvenliğin korunmasını zorlaştırmaktadır.
Saldırı Nasıl Çalışıyor?
Gentlemen’ın EDR öldürücü araçları, GentleKiller olarak bilinen bir çerçeve etrafında şekillenmiştir. Güvenlik araştırmacısı Jakub Souček, bu araçların üçüncü taraf veya sızdırılmış araçlar olan HexKiller, ThrottleBlood ve HavocKiller gibi yazılımları içerdiğini belirtmektedir. Bu araçlar, sahte sürüm bilgileri ve kopyalanmış sertifikalar kullanarak güvenlik yazılımlarını taklit etmektedir.
Bu grubun, yeni keşfedilen PoC (Proof of Concept) açıklarını hızla kullanabilme yeteneği, onları siber tehdit ortamında öne çıkaran bir diğer özelliktir.
Etkilenen Sistemler
Gentlemen, BYOVD (Bring Your Own Vulnerable Driver) saldırı tekniğini kullanarak, aşağıdaki sürücüleri hedef alıyor:
- Kaspersky (“eb.sys”)
- FACEIT Anti-Cheat (“nseckrnl.sys”)
- Valorant (“GameDriverX64.sys”)
- Javelin (“stpm_old.sys” veya “stpm_new.sys”)
- WatchDog (“dmx.sys”)
- Ağ Engelleyici (“360netmon_wfp.sys”)
- Temizleyici (“IMFForceDelete.sys”)
- G11 (“PoisonX.sys”)
Bu sürücülerin yanı sıra, PoisonX.sys sürücüsünün birkaç ayında BYOVD saldırıları ile kullanıldığı belgelenmiştir. ESET, Gentlemen’ın teknik olarak en çevik RaaS grubu olduğunu ve kullanıcıların EDR korumalarını aşmak için geliştirdiği birçok teknik ile dikkat çektiğini belirtmektedir.
Çözüm ve Korunma
Sistem yöneticilerine, aşağıdaki önlemleri almaları önerilmektedir:
- UEFI Forbidden Signature Database (DBX) güncellemelerini uygulayarak etkili sürücü imzalarını geçersiz kılmak.
- Sistemlerinizi güvenlik güncellemeleriyle sürekli olarak güncel tutmak.
- Affected vendor imzalı uygulamaları devre dışı bırakmak.
ESET ayrıca, OxideHarvest olarak adlandırılan ve popüler tarayıcılarından veri toplayabilen bir Rust tabanlı kimlik bilgisi çalıcı tespit etmiştir.
Sonuç
Güvenlik tehditleri gün geçtikçe artmaktadır. Okuyuculara, sistemlerini hemen güncelleyerek ve tavsiye edilen önlemleri alarak bu tehditlere karşı önlem almaları gerektiği hatırlatılır. Ayrıca, şüpheli etkinlikleri izlemek ve geçerli güvenlik uygulamalarını kullanmak, potansiyel saldırılara karşı kritik bir koruma sağlar.
