EDR Killer Jadi Senjata Baru Ransomware, Ini Bahayanya

Kelompok ransomware terus mengembangkan taktik mereka dengan cara yang semakin canggih dan sulit dideteksi. Salah satu tren terbaru yang mengkhawatirkan adalah meningkatnya penggunaan alat yang dikenal sebagai “EDR killer”, yakni perangkat khusus yang dirancang untuk melumpuhkan sistem keamanan Endpoint Detection and Response (EDR). Menurut laporan terbaru dari ESET, penggunaan alat ini kini tidak lagi terbatas pada eksploitasi driver yang rentan, tetapi telah berkembang ke berbagai metode baru yang lebih kompleks.

Dalam beberapa tahun terakhir, EDR killer telah menjadi bagian penting dalam rantai serangan ransomware modern. Sebelum menjalankan malware utama yang bertugas mengenkripsi data korban, pelaku kejahatan siber biasanya terlebih dahulu menonaktifkan sistem keamanan. Dengan cara ini, mereka dapat beroperasi lebih leluasa tanpa terdeteksi oleh sistem pertahanan yang seharusnya melindungi jaringan.

Awalnya, teknik yang paling umum digunakan adalah Bring Your Own Vulnerable Driver (BYOVD). Metode ini memanfaatkan driver sistem yang memiliki celah keamanan untuk mendapatkan akses tingkat tinggi ke sistem operasi. Namun, laporan terbaru menunjukkan bahwa lanskap ancaman kini telah berkembang jauh melampaui pendekatan tersebut.

Para penyerang kini mulai beralih ke metode tanpa driver, penggunaan skrip command line yang dirancang khusus, hingga memanfaatkan perangkat lunak anti-rootkit yang sebenarnya sah. Tujuan utamanya tetap sama, yaitu mematikan atau melemahkan sistem keamanan agar serangan ransomware dapat berjalan tanpa hambatan.

Alasan utama di balik popularitas EDR killer cukup sederhana. Dibandingkan harus terus memperbarui malware agar tidak terdeteksi oleh sistem keamanan yang terus berkembang, pelaku ancaman memilih cara yang lebih efisien: menonaktifkan sistem keamanan itu sendiri. Strategi ini tidak hanya lebih mudah, tetapi juga lebih murah dan memberikan hasil yang lebih konsisten.

EDR killer memberikan “jendela kesempatan” bagi penyerang untuk menjalankan proses enkripsi data yang biasanya sangat mencolok dan mudah terdeteksi. Dengan sistem keamanan yang sudah dilumpuhkan, aktivitas tersebut menjadi jauh lebih sulit untuk dicegah.

Menariknya, laporan tersebut juga mengungkap bahwa pemilihan jenis EDR killer sering kali tidak ditentukan oleh operator utama ransomware, melainkan oleh afiliasi mereka. Dalam model ransomware-as-a-service, afiliasi bertugas menjalankan serangan di lapangan, sehingga mereka memiliki kebebasan untuk memilih alat yang paling sesuai dengan kemampuan dan kebutuhan mereka.

Hal ini menyebabkan keragaman alat yang sangat besar di dunia nyata. Setiap afiliasi dapat mengombinasikan berbagai teknik dan alat berbeda, sehingga menciptakan pola serangan yang unik dan sulit diprediksi. Bagi tim keamanan siber, kondisi ini tentu menjadi tantangan besar.

Saat ini, peneliti melacak hampir 90 jenis EDR killer yang aktif digunakan. Dari jumlah tersebut, lebih dari setengahnya masih mengandalkan teknik BYOVD dengan mengeksploitasi puluhan driver yang berbeda. Namun, tren yang berkembang menunjukkan bahwa metode lain mulai mendapatkan tempat.

Penyerang dengan kemampuan teknis yang lebih rendah biasanya menggunakan cara-cara sederhana, seperti menjalankan skrip dasar atau mem-boot sistem ke Safe Mode untuk menghindari deteksi. Sementara itu, pelaku yang lebih berpengalaman menggunakan alat yang jauh lebih canggih.

Salah satu pendekatan yang menarik adalah penggunaan program anti-rootkit yang sah. Alat seperti GMER dan PC Hunter awalnya dikembangkan untuk mendeteksi dan menghapus malware yang bersembunyi di tingkat kernel. Namun, karena memiliki hak akses yang sangat tinggi, alat ini dapat disalahgunakan untuk menghentikan proses keamanan yang sedang berjalan.

Yang lebih mengkhawatirkan adalah munculnya EDR killer tanpa driver. Berbeda dengan metode tradisional, alat seperti ini tidak perlu berinteraksi langsung dengan kernel sistem. Sebagai gantinya, mereka bekerja dengan cara memblokir komunikasi jaringan antara perangkat korban dan sistem keamanan pusat, atau bahkan memaksa perangkat lunak EDR berhenti berfungsi.

Karena tidak bergantung pada celah driver, metode ini jauh lebih sulit dideteksi oleh sistem keamanan konvensional. Ini menandai pergeseran besar dalam strategi serangan, di mana pelaku tidak lagi bergantung pada eksploitasi teknis yang spesifik, melainkan memanfaatkan kelemahan dalam arsitektur komunikasi sistem keamanan.

Dalam analisisnya, peneliti mengelompokkan pengembang EDR killer ke dalam tiga kategori utama. Pertama adalah kelompok tertutup yang mengembangkan alat mereka sendiri dari nol. Kelompok ini biasanya memiliki sumber daya besar dan kemampuan teknis tinggi. Bahkan, ada indikasi bahwa beberapa di antaranya mulai memanfaatkan kecerdasan buatan untuk mempercepat pengembangan kode.

Kategori kedua adalah pelaku yang memodifikasi kode proof-of-concept (PoC) yang tersedia secara publik. Dengan banyaknya repositori terbuka di internet, pelaku dapat dengan mudah mengambil template yang sudah jadi, lalu melakukan sedikit modifikasi agar sesuai dengan kebutuhan mereka.

Sementara itu, kategori ketiga menunjukkan perkembangan yang lebih mengkhawatirkan, yaitu munculnya pasar “EDR killer sebagai layanan”. Di pasar gelap, alat-alat ini dijual secara komersial lengkap dengan dukungan teknis, sehingga memudahkan siapa saja untuk melancarkan serangan tanpa harus memiliki kemampuan teknis yang tinggi.

Kondisi ini membuat tugas tim keamanan siber menjadi semakin kompleks. Jika sebelumnya analisis terhadap driver yang rentan dapat membantu mengidentifikasi pelaku serangan, kini pendekatan tersebut tidak lagi cukup. Satu driver bisa digunakan oleh berbagai kelompok yang berbeda, dan satu kelompok bisa berganti-ganti metode dalam setiap serangan.

Dengan semakin matangnya ekosistem EDR killer, organisasi dituntut untuk mengubah strategi pertahanan mereka. Alih-alih hanya fokus pada identifikasi celah teknis seperti driver yang rentan, pendekatan yang lebih efektif adalah memantau perilaku mencurigakan dalam sistem.

Pendekatan berbasis perilaku memungkinkan deteksi aktivitas abnormal, seperti upaya menonaktifkan layanan keamanan atau memutus komunikasi jaringan secara tiba-tiba. Dengan demikian, organisasi dapat merespons ancaman lebih cepat, bahkan ketika metode yang digunakan belum pernah terlihat sebelumnya.

Pada akhirnya, perkembangan ini menunjukkan bahwa ancaman siber terus berevolusi mengikuti kemajuan teknologi. Tanpa strategi pertahanan yang adaptif dan proaktif, organisasi berisiko menjadi korban serangan yang semakin sulit dideteksi dan dicegah.