Güvenlik araştırmacıları, birçok bölgedeki kuruluşlara karşı şantaj saldırıları düzenleyen yeni bir fidye yazılımı grubu Gentlemen tespit etti. Araştırmacılar, Kuzey Amerika, Güney Amerika, Asya Pasifik bölgesi ve Orta Doğu’da en az 17 ülkede grupla bağlantılı faaliyetler bildirdi. Kampanyanın kapsamı, grubun büyük ölçekte faaliyet gösterdiğini ve çok çeşitli hedeflere koordineli saldırılar yapabildiğini gösteriyor.
Grup Gentlemen ilk olarak 2025 ortasında ortaya çıktı ve hızla çeşitli sektörlerde mağdur iddia etmeye başladı. Bildirilen hedefler arasında üretim, inşaat, sağlık ve sigorta alanlarındaki kuruluşlar yer almaktadır. Analistler, bu sektörlerin genellikle sürekli sistem kullanılabilirliğine dayandığını ve hassas verileri yönettiğini, bu da onları şantaj girişimlerinde baskıyı maksimize etmek isteyen fidye yazılımı operatörleri için cazip hale getirdiğini belirtti.
Grup, dosya şifrelemeyi veri hırsızlığı ile birleştiren çift şantaj modeli kullanıyor. Bir ağa erişim sağladıktan sonra, saldırganlar kritik sistemleri şifreler ve hassas bilgileri sızdırır. Ödeme talepleri karşılanmazsa, mağdurlar çalınan verilerin kamuoyuna açıklanmasıyla tehdit edilir. Araştırmacılar, bu yaklaşımın hem operasyonel aksaklıklar hem de potansiyel hukuki veya itibar zararlı sonuçlar yaratarak kozu artırdığını belirtti.
Grubun yöntemleri üzerine yapılan araştırmalar, yüksek düzeyde teknik yeteneğe sahip olduğunu göstermektedir. Analistler, güvenlik kontrollerini aşmak için meşru sistem sürücülerinin ve koruyucu yazılımları devre dışı bırakmak için tasarlanmış özel araçların kullanıldığını gözlemledi. Saldırganlar ayrıca hedef ağları ayrıntılı olarak inceleyerek fidye yazılımını dağıtmadan önce tekniklerini karşılaştıkları ortama uyarlamalarını sağlıyor. Bu esneklik, etkilenen kuruluşlar için tespit ve kontrol altına almayı daha da zorlaştırmıştır.
Operasyonun Gentlemen bir fidye yazılımı olarak hizmet modeli kullandığına inanılıyor. Bu yapı altında, çekirdek operatörler kötü amaçlı yazılımı geliştirir ve sürdürürken, bağlı kuruluşlar mağdur ağlarına erişim sağlar veya dağıtıma yardımcı olur. Bunun karşılığında, bağlı kuruluşlar fidye ödemelerinden pay alır. Araştırmacular, bu modelin, birden fazla aktorun kendi altyapılarını sıfırdan inşa etmeden katılımını sağlayarak hızlı bir genişleme sağladığını söyledi.
Mağdurlar, gruba atfedilen saldırıların ardından önemli bir bozulma yaşadıklarını bildirdi. Şifreli sistemler, iş operasyonlarını durdurdu ve kurtarma çalışmaları devam ederken organizasyonları hizmetleri askıya almaya zorladı. Veri hırsızlığı vakalarında, kuruluşlar veri açığlığı, düzenleyici uyum ve güven kaybı gibi ek risklerle karşı karşıya kaldı. Analistler, sistemler geri getirilse bile sızdırılan veri tehdidinin devam edebileceğini söyledi.
Siber güvenlik uzmanları, bu durumun Gentlemen ortaya çıkışının fidye yazılımı faaliyetlerindeki devam eden değişiklikleri vurguladığını belirtti. Gruplar, başarı oranlarını artırmak için teknik sofistike becerileri ile gelişmiş şantaj taktiklerini giderek birleştiriyor. Uzmanlar, kuruluşlara düzenli çevrimdışı yedeklemeler, sıkı erişim kontrolleri ve olağan dışı aktiviteler için sürekli izleme gibi önleyici önlemlere odaklanmalarını tavsiye etti. Ayrıca, bir müdahale durumunda hasarı sınırlamak için olay müdahale planlamasının önemini vurguladılar.
Araştırmacılar, kampanyanın fidye yazılımının kalıcı ve gelişen bir tehdit olarak kaldığını gösterdiğini söyledi. Yeni grupların yayılması Gentlemen , siber suç operasyonlarının hızla uyum sağlayıp genişlediği ve tüm sektörlerdeki kuruluşların sürekli dikkat gerektirdiği daha geniş bir eğilimi yansıtıyor.