Waspada! GodDamn Ransomware Nonaktifkan Antivirus Windows
- Rita Puspita Sari
- •
- 17 jam yang lalu
Ilustrasi Cyber Security
Dunia keamanan siber kembali dihadapkan pada ancaman baru setelah peneliti mengungkap kemunculan keluarga ransomware GodDamn. Malware ini dinilai memiliki kemampuan lebih canggih dibandingkan pendahulunya karena memanfaatkan driver kernel PoisonX untuk menonaktifkan perangkat lunak keamanan sebelum mengenkripsi data korban.
Laporan terbaru dari Threat Hunter Team Symantec menyebutkan bahwa GodDamn pertama kali terdeteksi beredar di dunia nyata pada 21 Mei 2026. Berdasarkan hasil analisis, ransomware tersebut diyakini bukan malware yang benar-benar baru, melainkan hasil pengembangan dari keluarga ransomware Beast, yang sebelumnya merupakan evolusi dari Monster, ransomware berbasis Delphi yang muncul pada Maret 2022.
Divisi keamanan siber Broadcom, perusahaan induk Symantec, melacak kelompok pengembang di balik rangkaian ransomware tersebut dengan nama Hyadina. Temuan ini menunjukkan bahwa kelompok tersebut terus mengembangkan teknik serangan agar mampu melewati berbagai sistem pertahanan modern yang digunakan perusahaan.
Memanfaatkan Driver PoisonX
Salah satu hal yang paling menarik perhatian peneliti adalah penggunaan PoisonX, sebuah driver kernel yang berfungsi untuk menonaktifkan perlindungan endpoint pada komputer korban.
Biasanya, solusi keamanan seperti antivirus maupun Endpoint Detection and Response (EDR) akan menjadi penghalang utama bagi ransomware. Namun GodDamn memiliki cara berbeda untuk mengatasinya. Malware ini memanfaatkan teknik Bring Your Own Vulnerable Driver (BYOVD), yaitu memasang driver yang memiliki hak akses tinggi di dalam sistem operasi agar dapat mematikan atau melemahkan perangkat keamanan.
Dalam serangan yang diamati Symantec, pelaku menjalankan sebuah aplikasi yang menyamar sebagai produk keamanan Symantec dengan nama "symantec.exe". Program tersebut kemudian memuat driver PoisonX melalui file "g11.sys", sehingga perangkat lunak keamanan pada komputer korban dapat dinonaktifkan tanpa menimbulkan kecurigaan.
Yang membuat PoisonX semakin berbahaya adalah fakta bahwa driver tersebut diduga berhasil memperoleh tanda tangan digital resmi dari Microsoft. Dengan adanya digital signature yang valid, Windows akan menganggap driver tersebut sebagai komponen tepercaya dan memuatnya secara otomatis.
Kondisi ini memberi keuntungan besar bagi pelaku karena mereka tidak perlu mengeksploitasi kelemahan lain untuk memperoleh akses tingkat kernel.
Rangkaian Serangan yang Terorganisasi
Symantec juga mengungkap bagaimana kelompok Hyadina menjalankan serangan secara sistematis terhadap targetnya.
Pada salah satu insiden yang terjadi pada awal Juni 2026, pelaku menggunakan aplikasi AnyDesk sebagai pintu masuk untuk memperoleh akses jarak jauh ke komputer korban. Hingga kini peneliti masih belum mengetahui bagaimana akses awal ke jaringan berhasil diperoleh.
Setelah berhasil masuk, pelaku tidak langsung menjalankan ransomware. Mereka terlebih dahulu mengumpulkan sebanyak mungkin informasi penting menggunakan toolkit pencuri kredensial berbasis NirSoft.
Toolkit tersebut mampu mengambil berbagai informasi sensitif dari sistem korban, di antaranya:
- Data login yang tersimpan pada browser web.
- Kredensial di Windows Credential Manager.
- Kredensial domain yang tersimpan dalam cache.
- Informasi sesi VNC.
- Data akun dari aplikasi email.
- Profil jaringan Wi-Fi.
- Lalu lintas jaringan yang sedang aktif.
Informasi tersebut memungkinkan pelaku memperluas akses ke sistem lain sekaligus mempertahankan kendali atas jaringan sebelum proses enkripsi dilakukan.
Bergerak ke Komputer Lain
Setelah memperoleh kredensial, kelompok Hyadina memanfaatkan PsExec, salah satu utilitas administrasi Windows yang sah, untuk melakukan lateral movement atau penyebaran ke komputer lain dalam jaringan.
Teknik ini memungkinkan ransomware menjangkau lebih banyak perangkat hanya dalam waktu singkat.
Di setiap komputer yang berhasil diakses, pelaku memasang aplikasi AnyDesk dan mengonfigurasinya sebagai Windows Service yang berjalan otomatis setiap kali sistem dinyalakan ulang.
Dengan cara tersebut, akses jarak jauh tetap tersedia meskipun komputer telah direstart.
Menariknya, pada beberapa perangkat seluruh proses instalasi dilakukan menggunakan skrip PowerShell yang sebelumnya telah ditempatkan di drive sistem. Hal ini mengindikasikan bahwa pelaku menggunakan installer otomatis sehingga proses penyebaran ransomware dapat dilakukan secara cepat dan konsisten di berbagai perangkat.
Menurut Symantec, setelah proses instalasi selesai pada setiap host, pelaku menghentikan proses AnyDesk untuk sementara, menunggu beberapa saat, lalu melakukan reboot terhadap komputer tersebut.
Hingga 2 Juni 2026, prosedur tersebut telah dilakukan terhadap sedikitnya 10 komputer dalam organisasi yang menjadi sasaran serangan.
Teknik Menghindari Deteksi Semakin Canggih
Broadcom menjelaskan bahwa teknik BYOVD kini menjadi salah satu metode favorit kelompok ransomware modern.
Setelah memperoleh hak administrator, pelaku cukup memasang driver yang memiliki kerentanan tetapi masih memiliki tanda tangan digital yang valid. Karena dianggap sah oleh Windows, driver tersebut akan dimuat secara otomatis.
Begitu aktif, driver dapat digunakan untuk menghentikan proses antivirus maupun EDR sehingga komputer kehilangan perlindungannya.
Namun, tidak semua driver bekerja dengan cara mematikan perangkat keamanan secara langsung.
Beberapa varian memilih pendekatan yang lebih halus, misalnya dengan mencabut hak akses yang dibutuhkan agen keamanan agar tetap berfungsi. Dari luar aplikasi antivirus masih terlihat aktif, tetapi sebenarnya sudah tidak mampu mendeteksi maupun menghentikan aktivitas berbahaya.
Ada pula driver yang memodifikasi struktur internal kernel Windows sehingga solusi keamanan tidak lagi menerima informasi mengenai aktivitas yang terjadi di dalam sistem. Akibatnya, perangkat keamanan menjadi seolah-olah "buta" terhadap seluruh aktivitas malware.
Berbeda dari Serangan Sebelumnya
Symantec juga menemukan bahwa GodDamn tidak selalu menggunakan pola enkripsi yang sama.
Pada serangan yang terdeteksi pada 3 Juni 2026 di segmen jaringan berbeda, file korban tidak menggunakan ekstensi ".God8Damn" seperti pada serangan Hyadina sebelumnya.
Sebagai gantinya, ransomware menggunakan nama korban sebagai ekstensi file hasil enkripsi. Perubahan ini diduga dilakukan untuk menyulitkan proses identifikasi malware berdasarkan pola ekstensi file yang biasanya digunakan oleh peneliti keamanan.
Sementara itu, laporan dari perusahaan keamanan siber CYFIRMA menyebutkan bahwa catatan tebusan yang ditinggalkan pelaku meminta korban menghubungi mereka melalui email atau aplikasi pesan terenkripsi qTox untuk melakukan negosiasi pembayaran.
Ancaman yang Terus Berkembang
Penggunaan PoisonX menunjukkan bahwa kelompok Hyadina terus meningkatkan kemampuan teknis ransomware mereka. Jika sebelumnya banyak ransomware hanya mengandalkan proses enkripsi file, kini pelaku juga berinvestasi pada teknik untuk melumpuhkan lapisan pertahanan sistem terlebih dahulu.
Strategi tersebut membuat peluang keberhasilan serangan menjadi lebih tinggi karena antivirus dan solusi EDR tidak memiliki kesempatan untuk mendeteksi atau menghentikan aktivitas ransomware sebelum proses enkripsi dimulai.
Temuan Symantec juga menjadi pengingat bahwa organisasi tidak cukup hanya mengandalkan antivirus sebagai benteng utama keamanan. Pemantauan aktivitas driver kernel, penerapan prinsip least privilege, pembatasan hak administrator, pembaruan sistem secara rutin, serta pengawasan terhadap penggunaan aplikasi administrasi jarak jauh seperti AnyDesk dan PsExec menjadi langkah penting untuk mengurangi risiko serangan ransomware modern.
Dengan terus berkembangnya teknik seperti BYOVD dan penggunaan driver berbahaya yang memiliki tanda tangan digital valid, ancaman ransomware diperkirakan akan semakin sulit dideteksi. Organisasi pun dituntut untuk memperkuat strategi keamanan berlapis agar mampu menghadapi gelombang serangan yang semakin kompleks di masa mendatang.
