Veri hırsızlığını gelişmiş şifreleme protokolleriyle birleştiren acımasız bir çifte gasp modeli kullanan ve “Beyler” olarak bilinen yeni ve sofistike bir fidye yazılımı grubu, küresel kurumsal güvenlik için önemli bir tehdit olarak ortaya çıktı.
İlk olarak Ağustos 2025’te tanımlanan grup, faaliyetlerini hızla artırdı ve Kuzey Amerika, Güney Amerika, Orta Doğu ve Asya-Pasifik (APAC) bölgesindeki 17 ülkedeki kuruluşları etkiledi.
Saldırganlar öncelikle imalat, inşaat, sağlık ve sigorta gibi kritik sektörlerdeki orta ve büyük ölçekli işletmeleri hedef alıyor.
Beyler, ayrım gözetmeyen kampanyalar yerine yüksek hedefli saldırılarla öne çıkıyor.
Güvenlik araştırmacıları, hızlı genişlemesi ve karmaşık iç yayılım prosedürleri nedeniyle onu 2025 sonlarında ortaya çıkan en aktif tehditlerden biri olarak sınıflandırdı.
Grup, güvenlik çözümlerini kapatmak için Grup İlkesi Nesnesi (GPO) manipülasyonu ve Kendi Savunmasız Sürücünüzü Getirin (BYOVD) teknikleri de dahil olmak üzere gelişmiş kalıcı tehditlerin (APT’ler) karakteristik taktiklerini kullanıyor.
Fidye yazılımı bir ağa girdiğinde savunma önlemlerini sekteye uğratmak için tasarlanmış kesin bir başlangıç rutini uygular.
Buna Windows Defender’ın devre dışı bırakılması, Veeam gibi yedekleme hizmetlerinin sonlandırılması ve dosyaların şifreleme aşamasında kilitlenmediğinden emin olmak için MSSQL ve MongoDB gibi veritabanı işlemlerinin durdurulması da dahildir.
Kötü amaçlı yazılım aynı zamanda olay sonrası adli incelemeyi engellemek için sistem günlüklerini ve izlerini de siliyor. Şu anda uyumlu bir birim olarak faaliyet göstermesine rağmen, Gentlemen’in Hizmet Olarak Fidye Yazılımı (RaaS) modelini mi kullandığı yoksa feshedilmiş bir suç örgütünün yeniden markalaşması mı olduğu belirsizliğini koruyor.
Teknik Gelişmişlik
Go programlama dilinde geliştirilen Gentlemen fidye yazılımı, üst düzey anti-analiz davranışları sergiliyor. Bu türün tanımlayıcı bir özelliği, yürütme sonrasında belirli bir parola argümanına ihtiyaç duymasıdır.
Komut satırı aracılığıyla doğru parola sağlanmazsa, kötü amaçlı yazılım hemen sonlandırılır. Bu arıza güvenliği, güvenlik araştırmacılarının ve otomatik sanal alanların kontrolsüz ortamlardaki yükü analiz etmesini önler.
Fidye yazılımı, çeşitli komut satırı argümanları aracılığıyla etkisi üzerinde ayrıntılı bir kontrol sunarak operatörlerin şifreleme hızlarını, hedef dizinleri ve ağ yayılma yöntemlerini belirlemesine olanak tanır.
Bağımsız Değişken Açıklama
| Argüman | Tanım |
|---|---|
| –şifre GEÇİŞ | Fidye yazılımını çalıştırmak için gerekli şifre; yanlış olması durumunda fesih gerçekleşir. |
| –yol DIRS | Şifreleme için hedeflenecek belirli dizinleri ve diskleri belirtir. |
| –T MIN | Şifreleme işlemi başlamadan önce bir gecikme zamanlayıcısı ayarlar. |
| -sessiz | Dosyaların şifrelendikten sonra yeniden adlandırılmasını engeller. |
| –sistem | Şifrelemeyi yalnızca yerel sürücülerle sınırlar. |
| –paylaşımlar | Yalnızca eşlenen ağ sürücülerini ve kullanılabilir UNC paylaşımlarını hedefler. |
| -tam dolu | Hem yerel sürücülerin hem de ağ paylaşımlarının hedeflemesini birleştirir. |
| -hızlı | Hızlı etki için dosya içeriğinin %9’unu şifreler. |
| –süper hızlı | Dosya içeriğinin %3’ünü şifreler. |
| –ultra hızlı | Dosya içeriğinin yalnızca %1’ini şifreler. |
Gelişmiş Şifreleme Mekanizmaları
Gentlemen’in kriptografik mimarisi sağlamdır ve X25519 ve XChaCha20 algoritmalarının bir kombinasyonunu kullanır.
Kötü amaçlı yazılım, şifrelemenin ardından README-GENTLEMEN.txt başlıklı bir fidye notu bırakarak kurbanın müzakerelere katılmaması halinde çalınan verilerin Veri Sızıntı Sitesine (DLS) sızdırılmasıyla tehdit ediyor.
Kötü amaçlı yazılım, bellekteki yerleşik bir genel anahtarın kodunu çözer ve rastgele bir sayı ve X25519 işlemlerini kullanarak paylaşılan bir sır oluşturur.
Gentlemen fidye yazılımı, dosya boyutuna göre şifreleme hedefini değiştirir. Dosya boyutu 0x100000 bayttan (yaklaşık 1 MB) küçükse dosyanın tamamı şifrelenir.
Bu paylaşılan sır, gerçek dosya şifrelemesini gerçekleştiren XChaCha20 akış şifresinin anahtarını türetir.
Benzersiz bir şekilde, kötü amaçlı yazılım, şifrelediği her dosya için yeni bir anahtar ve tek seferlik bir anahtar oluşturarak, tehdit aktörünün özel anahtarı olmadan şifre çözmenin zorluğunu en üst düzeye çıkarır.
Gentlemen, büyük veri kümelerindeki performansı optimize etmek için aralıklı bir şifreleme stratejisi kullanır. 1 MB’tan küçük dosyalar tamamen şifrelenirken, daha büyük dosyalar belirli bölümlerin seçici olarak şifrelenmesine tabi tutulur.
Güvenlik ekiplerine, bu tehdidi erken tespit etmek için bu özel yürütme parametrelerini ve anormal GPO etkinliklerini izlemeleri tavsiye edilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.