Cybereason Tehdit İstihbarat Ekibi, Temmuz 2025 civarında ortaya çıkan ve kendisini hızla zorlu bir tehdit aktörü olarak kabul ettiren, “Beyler” olarak bilinen karmaşık bir fidye yazılımı operasyonunu ortaya çıkardı.
İkili gasp yöntemiyle çalışan grup, hassas dosyaları şifrelerken aynı zamanda kritik iş verilerini sızdırıyor ve mağdurlar fidye taleplerine uymadığı takdirde çalınan bilgilerin karanlık web sızıntı sitelerinde yayınlanmasıyla tehdit ediyor.
Yerleşik fidye yazılımı tekniklerinin ortaya çıkan saldırı vektörleriyle birleşimi, The Gentlemen’i dünya çapındaki kuruluşlar için giderek daha kalıcı bir tehdit olarak konumlandırıyor.
Beyler, Eylül 2025’te kurban verilerini yayınlamaya başladı ve sadece iki aylık operasyonda zaten 48 güvenliği ihlal edilmiş kuruluşu yayınladıkları özel bir veri sızıntısı sitesi aracılığıyla varlıklarını kanıtladılar.
Grubun hızlı operasyonel yükselişi, fidye yazılımı geliştirme ve dağıtımındaki önemli deneyimi yansıtıyor.
PRODAFT istihbaratına göre The Gentlemen, kendi Hizmet Olarak Fidye Yazılımı (RaaS) platformunu geliştirmeden önce diğer önde gelen fidye yazılımı gruplarının kullandığı çeşitli bağlı kuruluş modellerini denedi.
Bu metodik yaklaşım, grubun operasyonel süreçleri iyileştirmesine ve gelişmiş, yapılandırılabilir saldırı yetenekleri arayan bağlı kuruluşlara hitap eden gelişmiş bir RaaS altyapısı oluşturmasına olanak sağladı.
Gelişmiş Teknik Yetenekler
The Gentlemen’in kötü amaçlı yazılım çeşitlerine yapılan son güncellemeler, Windows, Linux ve ESXi platformlarında müthiş teknik iyileştirmeler sunuyor.
Fidye yazılımı artık otomatik olarak kendi kendini yeniden başlatma ve açılışta çalıştırma işlevlerine sahip olup, tehlikeye atılmış sistemlerde kalıcılığı korumak için zamanlanmış görevlerden ve kayıt defteri girişlerinden yararlanıyor.
Şifreleme hızı yüzde 9-15 oranında artarken, kötü amaçlı yazılım artık esnek şifreleme modlarını (standart, hızlı, süper hızlı, ultra hızlı) destekliyor ve WMI, PowerShell uzaktan iletişim ve hizmet kontrol mekanizmalarını kullanarak ağlar arasında dağıtım yapıyor.
Şifreleme mimarisi, güçlü XChaCha20 ve Curve25519 algoritmalarını kullanarak güçlü dosya kilitleme yetenekleri sağlar.
Özellikle, fidye yazılımı hem çıkarılabilir sürücüleri hem de ağ paylaşımlı sürücüleri hedef alırken orijinal dosya değişiklik tarihlerini korurken, zamana dayalı algılama stratejilerinden kaçınmak için tasarlanmış bir tekniktir.
Linux sistemleri için bu varyant, ayrıcalık yükseltme yeteneklerini, otomatik önyükleme düzeyinde kalıcılığı ve kurtarma çabalarını zorlaştıran güvenli disk silme mekanizmalarını uygular.
Çok Platformlu Tehdit Ortamı
Gentlemen’in ESXi dolabı, vSAN depolama ortamları da dahil olmak üzere kümelenmiş ana bilgisayarlardaki birden fazla VMware örneğini şifrelemek için açıkça optimize edilmiş, özellikle endişe verici bir gelişmeyi temsil ediyor.
Bu hiper yönetici odaklı değişken, sanallaştırılmış altyapı güvenlik açıklarına ilişkin gelişmiş bir anlayış sergiliyor ve grubun kurumsal veri merkezlerini hassasiyetle hedefleme kapasitesini gösteriyor.
Kurtarılan örneklerin teknik analizi, sabit kodlanmış fidye notları içeren Golang tarafından yazılan yürütülebilir dosyaları ve parola kimlik doğrulaması gerektiren kapsamlı komut satırı seçeneklerini ortaya koyuyor.
Kötü amaçlı yazılım, olay sonrası incelemeleri engellemek için RDP günlüklerini, Windows Defender telemetrisini ve PowerShell geçmiş dosyalarını silerek kapsamlı adli tıp önleme rutinleri uygular. Analiz ettiğimiz dosya, Golang’da yazılmış, 64 bitlik bir Windows yürütülebilir dosyasıdır.
Ayrıca fidye yazılımı, PowerShell komutları aracılığıyla Windows Defender’ın gerçek zamanlı korumasını kapatır ve ağ keşfini ve yatay hareketi kolaylaştırmak için güvenlik duvarı kurallarını değiştirir.
RaaS İş Modeli ve Tehdit Ölçeği
Tam teşekküllü bir RaaS platformu olarak çalışan The Gentlemen, özelleştirilebilir oluşturma seçenekleri, sürekli ortaklık desteği ve altyapı yönetimi sunar.
Operasyon, Rusya ve Bağımsız Devletler Topluluğu’na karşı faaliyetleri yasaklıyor ve Doğu Avrupa merkezli fidye yazılımı grupları arasında yaygın olan bir modeli hedef alıyor.
Ortaklar, müzakere desteği ve esnek fidye talep yapılarının yanı sıra, güvenilir operatörler için EDR öldürücü yardımcı programlar ve çoklu zincir sistemleri de dahil olmak üzere özel araçlar alır.
Gelişmiş teknik yetenekler, hızlı operasyonel ölçeklendirme, ikili şantaj taktikleri ve profesyonel RaaS altyapısının birleşimi, The Gentlemen’i acil kurumsal müdahale gerektiren güvenilir, kalıcı bir tehdit olarak konumlandırıyor.
Güvenlik ekipleri, ortaya çıkan bu tehdit aktörüne maruz kalmayı azaltmak için güçlü yedekleme stratejilerinin, ağ segmentasyonunun, EDR çözümlerinin ve olay müdahale planlamasının uygulanmasına öncelik vermelidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.