RansomHub Gunakan EDRKillShifter untuk Serang Sistem EDR

Kelompok kejahatan dunia maya yang berhubungan dengan ransomware RansomHub telah terdeteksi menggunakan alat baru yang dirancang khusus untuk menonaktifkan perangkat lunak deteksi dan EDR (Endpoint Detection and Response) pada sistem yang telah berhasil mereka susupi. Alat ini bergabung dengan rangkaian alat sejenis lainnya yang sebelumnya telah dikenal, seperti AuKill (juga dikenal sebagai AvNeutralizer) dan Terminator, yang memiliki fungsi serupa dalam menghambat operasi perangkat lunak keamanan.

Alat baru ini, yang kemudian diberi nama EDRKillShifter oleh perusahaan keamanan siber Sophos, ditemukan ketika perusahaan tersebut melakukan investigasi terhadap sebuah serangan ransomware yang gagal pada bulan Mei 2024. Alat ini pada dasarnya adalah sebuah "loader" yang dapat dieksekusi, yang berarti alat ini berfungsi sebagai mekanisme pengiriman untuk driver sah yang rentan terhadap penyalahgunaan. Metode ini sering disebut sebagai BYOVD (Bring Your Own Vulnerable Driver). Menurut Andreas Klopsch, seorang peneliti keamanan dari Sophos, alat ini dapat dikonfigurasi untuk mengirimkan berbagai jenis muatan driver yang berbeda sesuai dengan kebutuhan pelaku ancaman. Hal ini memungkinkan pelaku ancaman untuk memanfaatkan kerentanan yang ada dalam driver sah tersebut untuk tujuan jahat.

RansomHub sendiri, yang diduga merupakan versi rebranding dari ransomware Knight, pertama kali muncul pada bulan Februari 2024. Dalam aksinya, kelompok ini memanfaatkan celah keamanan yang sudah diketahui untuk mendapatkan akses awal ke sistem target. Mereka kemudian menghapus perangkat lunak desktop jarak jauh yang sah seperti Atera dan Splashtop, untuk memastikan bahwa mereka dapat mempertahankan akses yang berkelanjutan ke sistem yang mereka kompromikan.

Pada bulan Juli 2024, Microsoft mengungkapkan bahwa sindikat kejahatan siber yang terkenal, dikenal dengan nama Scattered Spider, telah menambahkan ransomware jenis RansomHub dan Qilin ke dalam gudang senjata mereka. Langkah ini menunjukkan adanya kolaborasi atau setidaknya pemanfaatan alat-alat yang sama oleh berbagai kelompok kriminal yang berbeda untuk mencapai tujuan mereka yang serupa, yaitu memeras uang dari korban mereka.

Cara kerja alat EDRKillShifter cukup canggih. File yang dapat dieksekusi dari alat ini dijalankan melalui baris perintah dan pengguna memasukkan kata sandi sebagai bagian dari perintah tertentu, file tersebut akan mendekripsi sumber daya yang tertanam di dalamnya yang disebut BIN, dan kemudian mengeksekusi sumber daya tersebut langsung di dalam memori komputer. Setelah dieksekusi, sumber daya BIN ini kemudian akan memuat dan menjalankan muatan akhir berbasis Go yang telah dikaburkan (obfuscated), yang kemudian memanfaatkan berbagai driver yang rentan untuk mendapatkan hak istimewa yang lebih tinggi di sistem, sekaligus menonaktifkan perangkat lunak EDR yang berjalan.

Peneliti dari Sophos, Andreas Klopsch, juga mencatat bahwa kode biner dari alat ini menggunakan bahasa Rusia, yang menunjukkan bahwa pembuat malware ini mungkin berasal dari Rusia, atau setidaknya mengkompilasi alat ini pada komputer dengan pengaturan lokal dalam bahasa Rusia. Lebih lanjut, semua alat pembunuh EDR yang telah dibongkar diketahui menanamkan driver yang rentan di bagian data dari sistem.

Untuk melawan ancaman ini, sangat disarankan agar sistem komputer selalu diperbarui dengan patch keamanan terbaru, serta mengaktifkan fitur perlindungan terhadap gangguan pada perangkat lunak EDR. Selain itu, penerapan kebersihan yang ketat untuk peran keamanan Windows juga menjadi kunci untuk mencegah serangan semacam ini. Menurut Klopsch, serangan seperti ini hanya dapat berhasil jika penyerang mampu meningkatkan hak istimewa mereka di dalam sistem atau jika mereka berhasil memperoleh akses ke hak administrator. Oleh karena itu, pemisahan hak istimewa antara pengguna biasa dan administrator menjadi langkah penting untuk mencegah penyerang memuat driver yang berbahaya dengan mudah.

Dengan semakin canggihnya alat-alat yang digunakan oleh kelompok kejahatan siber, kebutuhan akan langkah-langkah pencegahan yang lebih kuat dan kesadaran yang lebih tinggi akan pentingnya keamanan siber menjadi sangat krusial. Meskipun alat-alat seperti EDRKillShifter dapat memberikan tantangan baru dalam perlindungan terhadap ancaman siber, dengan strategi keamanan yang tepat, risiko tersebut dapat dikelola dan diminimalisir.