Siber saldırıların karmaşık ve sürekli evrilen doğasında, adeta bir gökyüzündeki fırtına gibi, tehdit aktörleri her zaman yeni ve güçlü araçlar geliştirmeye devam ediyor. Bu kez, Kaspersky GReAT ekibinin derinlemesine araştırması, hızla büyüyen The Gentlemen fidye yazılımı grubunun karanlık silahlarını ve taktiklerini gün yüzüne çıkardı. Bu gelişmeler, kuruluşların siber savunma stratejilerini yeniden gözden geçirmesine neden olacak kadar ciddi ve sarsıcı.
The Gentlemen grubu, hızla gelişen Ransomware-as-a-Service (RaaS) ekosisteminin en dikkat çekici isimlerinden biri haline geliyor. Grubun kullandığı teknikler ve araçlar, siber suçluların geleneksel yöntemlerin çok ötesine geçerek, daha gelişmiş, gizli ve etkili saldırılar gerçekleştirmesine imkan tanıyor. Bu saldırıların temelinde ise, hedef sistemlere giriş yapmadan önce başlatılan karmaşık ve özel olarak geliştirilmiş arka kapıların (backdoor) kullanımı bulunuyor.
### İlk Erişim ve Süreçlerin Derinlemesine Analizi
Kaspersky’nin yaptığı araştırmada, The Gentlemen’in hedef sistemlere ilk erişimi genellikle internete açık servislerdeki güvenlik açıklarını kullanarak sağladığı ortaya çıktı. Ayrıca, ele geçirilen kimlik bilgileri ve işbirliği yapılan İlk Erişim Aracılığı (Initial Access Broker – IAB) platformlarıyla da bağlantıya geçtikleri belirleniyor. Saldırganlar, ilk erişim aşamasını tamamladıktan sonra, genellikle yeni ve bilinmeyen Go tabanlı özel arka kapı yazılımını kullanarak, sistem içinde derinlemesine keşfe başlıyor.
Bu arka kapı, saldırganlara, sistem bilgilerini toplama, komutları çalıştırma ve çift yönlü iletişim kurma yeteneği kazandırıyor. Aynı zamanda, saldırganların faaliyetlerini gizli tutmak amacıyla, konsol penceresi gizleniyor ve tespit edilme olasılıkları minimize ediliyor. Bu aşamada, saldırganlar, sistem bütünlüğünü bozmadan, ortamın tamamına yayılmak ve ek zararlı araçlar yerleştirmek için hazırlık yapıyor.
### Yeni ve Özel Yapım Fidye Yazılımı Araçları
The Gentlemen ekibi, saldırılarını güçlendirmek amacıyla yeni ve özel yapım araçlar geliştirmeye devam ediyor. Bunlardan biri, C diliyle yazılmış yeni bir fidye yazılımı varyantıdır. Bu yeni varyantın, özellikle Windows sistemlerine odaklanmış olması, grubun teknik kabiliyetlerinin genişlediğine işaret ediyor.
Ayrıca, saldırganlar aslında, Go programlama diliyle geliştirilmiş çok sayıda fidye yazılımını kullanırken, bu yeni C tabanlı varyantın beta veya test aşamasında olduğunu düşünüyoruz. Bu, yeni araçların sahada uzun süre test edilerek optimize edildiğine ve yakın zamanda daha büyük çapta saldırılarda kullanılacağına işaret ediyor.
### Gizli Eylemler ve Güvenlik Yazılımını Atlama Çabaları
Yine dikkat çekici bir unsur ise, saldırganların, sistem güvenlik yazılımını devre dışı bırakmak veya sistemden tamamen kaldırmak amacıyla resmi kaldırma araçlarını kullanma girişimleridir. Ancak, Kaspersky’nin gelişmiş tehdit algılama ve önleme mekanizmaları, bu hamleleri etkisiz hale getiriyor.
Saldırganlar, sık sık, Kaspersky gibi güçlü antivirüs çözümlerinin içindeki kavrmvr.exe gibi yardımcı araçları devre dışı bırakmaya çalışırken, siber güvenlik çözümlerimizin dirençli ve sürekli güncel kalması sayesinde bu girişimler başarısız oluyor.
> Fatih Şensoy’un Yorumu:
> *”Siber suç ekosistemine yeni katılan bu grup, hızla kendine sağlam bir yer ediniyor ve teknik kabiliyetleriyle sektörde adından söz ettiriyor. Güçlü araçlar ve gelişmiş teknikler kullanmak, onların saldırılarını daha zor tespit edilebilir hale getiriyor. Kurumlar, bu tür gelişmeleri yakından takip etmeli ve siber savunma altyapılarını güçlendirmelidir.”*
### Güçlü Savunma İçin Alınması Gereken Önlemler
– Güncel Yazılım Kullanımı ve Güvenlik Açıklarını Kapatma:
Güvenlik açıklarını kapatmak, saldırganların sistemlere sızmasını engellemenin en temel adımıdır. Bütün cihazlar ve uygulamalar en güncel sürümlere yükseltilmeli.
– Etkili Güvenlik Katmanları Kurma:
Saldırganların hareketlerini izlemek ve tespit etmek için, Etkili EDR ve Anti-APT çözümleri entegre edilmeli. Özellikle, ağı içi yatay hareketleri ve veri sızıntısı girişimlerini önlemek adına detaylı ve sürekli analiz yapılmalı.
– Güçlü Yedekleme ve İzole Sistemler:
Veri kaybını önlemek için, offline ve güvenli yedekleme sistemleri kurulmalı. Felaket anlarında hızlı erişim ve sistem kurtarma süreleri minimize edilmeli.
– Saldırı Tespiti ve Zamanlı Müdahale:
Sürekli olay yönetimi ve tehdit istihbaratı, organizasyonların saldırıya hızlı yanıt vermesine olanak tanır. Gelişmiş IPS, IDS ve SIEM çözümler kullanmak, saldırganların ilk hareketlerini erkenden fark etmeyi sağlar.
*İleri seviye tehditler ve gelişmiş araçlar karşısında, güvenlik altyapınızı düzenli olarak güncelleyerek ve yetkinlikleri artırarak, siber saldırılara karşı daha sağlam durabilirsiniz.*
İlk yorum yapan olun