Gentlemen fidye yazılımı operatörleri, savunmaları devre dışı bırakmak için çoklu EDR öldürücü araçlar kullanıyor

Gentlemen fidye yazılımı operatörleri, son dönemde savunma sistemlerini aşmak için daha sofistike yöntemler geliştiriyor. Fidye yazılımı pazarında aktif olarak hizmet veren bu grup, saldırılarını gerçekleştiren iştirakçilere destek olmak amacıyla çeşitli EDR (Endpoint Detection and Response) öldürücü araçlar sunuyor. Bu araçlar, özellikle saldırının erken aşamalarında devreye girerek güvenlik yazılımlarını devre dışı bırakmayı ve fidye yazılımının hedef sistemlerde sorunsuzca çalışmasını sağlamayı hedefliyor. Bu durum, kurumsal ağların savunma mekanizmalarının ne kadar hızlı evrildiğini ve tehdit aktörlerinin bu savunmaları nasıl aşmaya çalıştığını gözler önüne seriyor.

Gentlemen fidye yazılımının en çok kullandığı araçlardan biri olan "GentleKiller", araştırmacılar tarafından tanımlanan bir EDR öldürücü araç. Bu aracın en az sekiz farklı varyantı bulunuyor ve bu varyantlar, Kaspersky, Valorant, Javelin ve WatchDog gibi meşru güvenlik ürünlerini taklit ediyor. Araçlar, "bring your own vulnerable driver" (BYOVD) tekniğini kullanarak kernel düzeyinde ayrıcalıklar elde ediyor ve bu sayede güvenlik motorlarını devre dışı bırakıyor. ESET araştırmacıları tarafından yapılan analizler, GentleKiller varyantlarının ortak dize yapıları, kod gizleme teknikleri ve hedeflediği süreçlerin benzerliğini ortaya koyuyor. Bu da araçların, yeni güvenlik açıklarının silahlandırılmasına olanak tanıyan esnek bir yapıya sahip olduğunu gösteriyor.

Gentlemen fidye yazılımı operatörleri, saldırılarında yalnızca GentleKiller aracına güvenmiyor. ESET araştırmacıları, grup tarafından kullanılan EDR öldürücü araç koleksiyonunda en az üç farklı dış kaynaklı aracın da yer aldığını belirtiyor. Bu araçların eklenme amacı, GentleKiller'in etkinliğinin sınırlı olduğu durumlarda yedekleme sağlamak, saldırıların izini karmaşıklaştırmak veya belirli senaryolarda daha etkili sonuçlar elde etmek olabilir. Bu çeşitlilik, tehdit aktörlerinin savunma sistemlerine karşı çok katmanlı bir saldırı stratejisi izlediğini gösteriyor.

EDR öldürücü araçların çalışma mekanizması, saldırganların sistemlere sızmasını kolaylaştırıyor. Bu araçlar, genellikle güvenlik yazılımlarının sürecini durdurmak, algılama motorlarını devre dışı bırakmak ve hatta kernel düzeyinde kontrolleri ele geçirmek için tasarlanıyor. GentleKiller gibi araçlar, meşru güvenlik ürünlerini taklit ederek sistemdeki güvenlik yazılımlarını yanıltabiliyor ve bu sayede saldırganların sistemde daha uzun süre kalmasına olanak tanıyor. Ayrıca, bu araçların ticari paketleme araçları olan Enigma ve Themida ile korunması, analizlerini zorlaştırıyor ve güvenlik araştırmacılarının bu tehditleri tespit etmesini engelliyor.

Gentlemen fidye yazılımı operatörleri, saldırılarında meşru yazılımlardan çalınmış dijital imzaları da kullanıyor. Bu imzalar, saldırıların meşru yazılımlar gibi görünmesini sağlayarak güvenlik sistemlerinin bu saldırıları tespit etmesini zorlaştırıyor. Ancak, araştırmacılar tarafından yapılan incelemelerde bu imzaların geçersiz olduğu ortaya çıkıyor. Bu durum, tehdit aktörlerinin saldırıların izini karmaşıklaştırmak için çeşitli yöntemler kullandığını gösteriyor.

Gentlemen fidye yazılımının hedeflediği güvenlik ürünlerinin sayısı oldukça geniş. ESET araştırmacıları, GentleKiller'ın Microsoft, CrowdStrike, SentinelOne, Palo Alto, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix ve Kaspersky gibi yaklaşık 48 farklı güvenlik ürünüyle ilişkili 400'den fazla süreci hedef aldığını belirtiyor. Bu geniş hedef yelpazesi, Gentlemen fidye yazılımının saldırılarında neredeyse tüm popüler güvenlik çözümlerini bypass etmeyi amaçladığını gösteriyor. Bu durum, güvenlik ekiplerinin çok çeşitli savunma mekanizmalarına sahip olmalarını ve saldırıların herhangi bir aşamada tespit edilmesini sağlamalarını zorunlu kılıyor.

EDR öldürücü araçların kullanımı, fidye yazılımı saldırılarının başarısını önemli ölçüde artırıyor. Bu araçlar sayesinde saldırganlar, güvenlik sistemlerini devre dışı bırakarak fidye yazılımını hedef sistemlere yükleyebiliyor ve verileri şifreleyebiliyor. Bu durum, özellikle kurumsal ağlarda ciddi veri kayıplarına ve operasyonel duruşmalara yol açabiliyor. Bu nedenle, kuruluşların savunma stratejilerini sürekli olarak güncellemeleri ve yeni tehditlere karşı hazırlıklı olmaları gerekiyor.

Gentlemen fidye yazılımının kullanımına ilişkin bir diğer önemli nokta, araçların esnekliğidir. GentleKiller varyantlarının ortak kod yapıları ve esnek tasarımları, tehdit aktörlerinin yeni güvenlik açıklarını hızla silahlandırabilmesine olanak tanıyor. Bu durum, saldırıların sürekli olarak evrim geçirdiğini ve savunma sistemlerinin de buna paralel olarak gelişmesi gerektiğini gösteriyor. Araştırmacılar, bu esnekliğin tehdit aktörlerine saldırı stratejilerini hızla değiştirme ve yeni savunma mekanizmalarını bypass etme olanağı sağladığını belirtiyor.

Güvenlik ekipleri için bu gelişmeler, savunma stratejilerini yeniden değerlendirmeleri gerektiğini gösteriyor. EDR sistemlerinin yanı sıra, saldırıların erken aşamalarında kullanılan araçların tespit edilmesi ve engellenmesi önem kazanıyor. Bu nedenle, kuruluşların yalnızca geleneksel güvenlik çözümlerine değil, aynı zamanda saldırı yüzeyini azaltmaya ve saldırıların erken tespitine yönelik stratejilere odaklanmaları gerekiyor.

EDR öldürücü araçların kullanımı, fidye yazılımı saldırılarının karmaşıklığını artırıyor. Bu araçlar, saldırganların sistemlere sızmasını kolaylaştırırken, aynı zamanda güvenlik ekiplerinin saldırıları tespit etmesini ve müdahale etmesini de zorlaştırıyor. Bu durum, güvenlik araştırmacılarının ve kuruluşların, saldırıların erken aşamalarında kullanılan araçların tespit edilmesine yönelik daha fazla kaynak ayırmalarını gerektiriyor.

Gentlemen fidye yazılımı operatörleri tarafından kullanılan EDR öldürücü araçların çeşitliliği, tehdit aktörlerinin saldırı stratejilerini sürekli olarak geliştirdiğini gösteriyor. Bu durum, güvenlik ekiplerinin de savunma stratejilerini sürekli olarak güncellemeleri ve yeni tehditlere karşı hazırlıklı olmaları gerektiğini ortaya koyuyor. Araştırmacılar, bu tehditlerin gelecekte de artarak devam edeceğini ve güvenlik ekiplerinin bu gelişmelere karşı hazırlıklı olmaları gerektiğini vurguluyor.

Bu gelişmeler ışığında, kuruluşların savunma stratejilerini gözden geçirmeleri ve EDR sistemlerinin yanı sıra saldırıların erken aşamalarında kullanılan araçların tespit edilmesine yönelik çözümler geliştirmeye odaklanmaları önem kazanıyor. Ayrıca, güvenlik ekiplerinin sürekli olarak eğitim almaları ve yeni tehditlere karşı farkındalıklarını artırmaları gerekiyor. Bu sayede, Gentlemen fidye yazılımı gibi tehditlere karşı daha etkili bir savunma sağlanabilir.

Sonuç olarak, Gentlemen fidye yazılımının EDR öldürücü araçlar kullanması, fidye yazılımı saldırılarının evrim geçirdiğini ve tehdit aktörlerinin savunma sistemlerini aşmak için sürekli olarak yeni yöntemler geliştirdiğini gösteriyor. Kuruluşların bu gelişmelere karşı hazırlıklı olmaları ve savunma stratejilerini sürekli olarak güncellemeleri, gelecekteki saldırılara karşı daha dirençli olmalarını sağlayacaktır. Bu nedenle, güvenlik ekiplerinin sürekli olarak eğitim almaları ve yeni tehditlere karşı farkındalıklarını artırmaları önem taşıyor.