The Gentlemen Gunakan GentleKiller untuk Bobol Sistem Keamanan
- Rita Puspita Sari
- •
- 19 jam yang lalu
Ilustrasi Ransomware
Sebuah laporan terbaru dari perusahaan keamanan siber ESET mengungkap perkembangan baru yang mengkhawatirkan dari kelompok ransomware-as-a-service (RaaS) The Gentlemen. Berbeda dengan sebagian besar kelompok ransomware lain yang menyerahkan tugas melumpuhkan sistem keamanan kepada masing-masing afiliasi, The Gentlemen justru menyediakan paket alat khusus untuk menonaktifkan perangkat keamanan secara otomatis sebelum proses enkripsi dimulai.
Strategi tersebut membuat kelompok ini dinilai memiliki tingkat kematangan teknis yang lebih tinggi dibandingkan banyak operator ransomware lainnya. Salah satu senjata utamanya adalah framework bernama GentleKiller, sebuah alat yang dirancang untuk menghentikan ratusan proses keamanan sehingga ransomware dapat berjalan tanpa hambatan.
The Gentlemen Kembangkan Framework GentleKiller
Dalam laporan yang dipublikasikan ESET, peneliti keamanan Jakub Souček menjelaskan bahwa GentleKiller merupakan bagian dari portofolio alat penghancur Endpoint Detection and Response (EDR) yang secara aktif dikembangkan dan dipelihara oleh operator The Gentlemen.
Framework ini kemudian dibagikan kepada seluruh afiliasi ransomware mereka sebagai bagian dari paket serangan yang telah siap digunakan. Dengan demikian, afiliasi tidak perlu lagi mengembangkan alat untuk menonaktifkan antivirus atau EDR secara mandiri.
Menurut Souček, selain GentleKiller, kelompok ini juga memanfaatkan sejumlah alat pihak ketiga maupun alat yang telah bocor ke publik, seperti HexKiller, ThrottleBlood, dan HavocKiller.
Menariknya, seluruh alat tersebut menggunakan lapisan defense evasion yang sama. Mereka sengaja menyamar sebagai aplikasi keamanan resmi dengan menggunakan nama file yang meyakinkan, informasi versi palsu, ikon asli, hingga sertifikat digital yang disalin dari perangkat lunak legal agar tidak mudah dicurigai.
Cepat Mengadopsi Teknik Serangan Baru
ESET juga menyoroti kemampuan teknis The Gentlemen yang dinilai sangat gesit dalam memanfaatkan eksploitasi baru.
Kelompok ini diketahui mampu mengintegrasikan proof-of-concept (PoC) yang baru dipublikasikan ke dalam perangkat serangan mereka hanya dalam hitungan beberapa hari. Mayoritas eksploitasi tersebut berkaitan dengan teknik Bring Your Own Vulnerable Driver (BYOVD), yaitu metode yang memanfaatkan driver resmi tetapi memiliki celah keamanan untuk memperoleh hak akses tingkat kernel.
Kecepatan dalam mengadopsi teknik baru ini menjadi salah satu alasan mengapa The Gentlemen berkembang begitu pesat dalam waktu singkat.
Menjadi Salah Satu Operator Ransomware Paling Aktif
The Gentlemen pertama kali muncul pada Maret 2025. Meski tergolong pendatang baru, kelompok ini berhasil berkembang menjadi salah satu operator ransomware paling aktif di dunia.
Berdasarkan data dari Ransomware.live, hingga saat ini kelompok tersebut telah mengklaim menyerang 504 organisasi. Sebagian besar korban berada di kawasan:
- Asia Tenggara;
- Amerika Selatan; dan
- Eropa Barat.
Laporan dari jurnalis keamanan siber Brian Krebs bersama perusahaan intelijen ancaman PRODAFT bahkan mengungkap identitas orang yang diduga berada di balik operasi tersebut.
Operator The Gentlemen diyakini dipimpin oleh warga negara Rusia berusia 36 tahun bernama Alexander Andreevich Yapaev, yang menggunakan nama samaran hastalamuerte. Sebelum membangun The Gentlemen, ia disebut pernah menjadi afiliasi beberapa kelompok ransomware lain, termasuk Qilin.
Menyamar Sebagai Produk Keamanan Resmi
Agar lolos dari deteksi, The Gentlemen menerapkan berbagai teknik penyamaran yang cukup canggih. ESET menjelaskan bahwa sampel EDR killer mereka dilindungi menggunakan perangkat lunak pelindung biner seperti Enigma maupun Themida, sehingga lebih sulit dianalisis oleh peneliti keamanan.
Selain itu, file yang digunakan sengaja diberi nama menyerupai produk keamanan populer. Mereka juga memalsukan informasi versi aplikasi, menyalin tanda tangan digital, bahkan menggunakan ikon resmi agar tampak seperti perangkat lunak asli.
Pendekatan ini bertujuan untuk meningkatkan peluang malware lolos dari pemeriksaan awal dan memperlambat proses analisis ketika berhasil masuk ke sistem korban.
GentleKiller Mampu Menyerang 400 Proses Keamanan
GentleKiller menjadi alat utama dalam operasi ransomware ini. Framework tersebut memiliki delapan varian berbeda. Setiap varian dirancang untuk menyamar sebagai produk yang berbeda sekaligus menggunakan driver rentan yang berbeda dalam serangan BYOVD.
Yang paling mengkhawatirkan, GentleKiller mampu mencari sekaligus menghentikan sekitar 400 proses yang berkaitan dengan 48 aplikasi keamanan dari berbagai vendor. Dengan dimatikannya proses keamanan tersebut, ransomware memiliki peluang jauh lebih besar untuk mengenkripsi data korban tanpa gangguan dari antivirus maupun solusi EDR.
Memanfaatkan Berbagai Driver Rentan
Untuk melancarkan serangan, setiap varian GentleKiller memanfaatkan driver yang berbeda. Driver yang diketahui disalahgunakan meliputi:
- eb.sys milik Kaspersky;
- nseckrnl.sys milik FACEIT Anti-Cheat;
- GameDriverX64.sys milik Valorant;
- stpm_old.sys dan stpm_new.sys milik Javelin;
- dmx.sys milik WatchDog;
- 360netmon_wfp.sys milik Network Blocker;
- IMFForceDelete.sys milik Cleaner; serta
- PoisonX.sys yang digunakan pada varian G11.
Seluruh driver tersebut digunakan sebagai pintu masuk untuk memperoleh hak akses kernel melalui teknik BYOVD.
PoisonX.sys Muncul dalam Berbagai Kampanye Serangan
ESET juga menemukan bahwa penyalahgunaan PoisonX.sys bukan hanya dilakukan oleh The Gentlemen. Dalam beberapa bulan terakhir, driver tersebut telah muncul pada sejumlah kampanye BYOVD lainnya.
Salah satu kasus digunakan untuk menghentikan perlindungan CrowdStrike Falcon EDR, sedangkan kampanye lain yang diungkap Huntress menunjukkan pelaku memanfaatkan BeyondTrust Remote Support sebelum akhirnya menyebarkan ransomware ke jaringan korban.
Dalam insiden tersebut, pelaku terlebih dahulu mematikan perangkat keamanan menggunakan PoisonX.sys dan hrwfpdrv.sys, kemudian baru menjalankan proses enkripsi.
Bagaimana Cara Kerja BYOVD?
Serangan Bring Your Own Vulnerable Driver (BYOVD) memanfaatkan driver resmi yang memang ditandatangani secara sah, tetapi memiliki kelemahan keamanan. Driver tersebut dipasang ke dalam sistem korban untuk memperoleh akses pada tingkat kernel, yaitu lapisan inti sistem operasi yang memiliki hak akses sangat tinggi.
Namun, teknik ini tidak dapat dijalankan begitu saja. Penyerang harus terlebih dahulu berhasil memperoleh hak administrator pada perangkat target. Menurut penjelasan Bitdefender, setelah driver aktif, pelaku akan mengirimkan perintah Input/Output Control (IOCTL).
Melalui mekanisme tersebut, penyerang dapat mengeksploitasi kerentanan seperti buffer overflow, menjalankan shellcode, memperoleh akses baca dan tulis memori secara bebas, maupun memanfaatkan fungsi driver yang memang tidak dirancang dengan mekanisme keamanan yang memadai.
Karena driver tersebut ditandatangani menggunakan sertifikat Microsoft yang valid, sistem operasi tetap mempercayainya sehingga aktivitas berbahaya dapat berlangsung tanpa menimbulkan kecurigaan.
Menggunakan Template Pengembangan yang Sama
Souček menjelaskan bahwa meskipun setiap varian menggunakan driver dan penyamaran yang berbeda, struktur kode dasarnya memiliki banyak kesamaan. Temuan tersebut menunjukkan bahwa seluruh alat EDR killer kemungkinan besar dikembangkan menggunakan satu template yang sama.
Pendekatan ini membuat operator dapat menghemat waktu pengembangan sekaligus memudahkan integrasi driver baru setiap kali muncul PoC eksploitasi terbaru. Bagi afiliasi, strategi tersebut juga membuat proses serangan menjadi jauh lebih sederhana karena hampir seluruh kebutuhan teknis telah disediakan oleh operator.
Menggunakan Alat EDR Killer Lain
Selain GentleKiller, The Gentlemen juga diketahui memanfaatkan beberapa alat penghancur EDR lain yang berbasis BYOVD. Di antaranya adalah:
- HexKiller, yang sebelumnya diyakini hanya digunakan oleh kelompok ransomware Warlock;
- ThrottleBlood, yang pernah ditemukan dalam serangan afiliasi MedusaLocker dan DragonForce; serta
- HavocKiller atau HwAudKiller, yang menggunakan driver havoc.sys.
Penggunaan berbagai alat tersebut menunjukkan bahwa operator The Gentlemen tidak hanya mengembangkan perangkat sendiri, tetapi juga mengintegrasikan alat yang sudah tersedia untuk memperluas kemampuan serangannya.
Temukan Malware Pencuri Kredensial Berbasis Rust
Selain perangkat penghancur EDR, ESET juga menemukan malware pencuri kredensial berbasis bahasa pemrograman Rust dengan nama OxideHarvest, yang juga dikenal sebagai buildx641.
Malware ini mampu mencuri data dari berbagai browser populer seperti Google Chrome, Microsoft Edge, Brave, Opera, Opera GX, Mozilla Firefox, Vivaldi, Torch, Comodo, Epic Privacy Browser, Waterfox, BlackHawk, hingga IceCat. Informasi yang berhasil dicuri berpotensi mencakup akun, kata sandi, cookie, maupun data autentikasi lainnya yang tersimpan pada browser korban.
Menurunkan Hambatan bagi Afiliasi
Menurut ESET, sebagian besar operator ransomware hanya menyediakan ransomware itu sendiri, sementara proses mematikan EDR dilakukan oleh masing-masing afiliasi.
The Gentlemen mengambil pendekatan berbeda dengan menyediakan paket EDR killer yang telah distandarkan dan siap digunakan.
Model bisnis ini membuat hambatan teknis bagi calon afiliasi menjadi jauh lebih rendah. Bahkan pelaku yang tidak memiliki kemampuan teknis tinggi tetap dapat menjalankan serangan ransomware dengan memanfaatkan alat yang telah disediakan operator.
CERT/CC Peringatkan Kerentanan UEFI
Di saat yang sama, CERT Coordination Center (CERT/CC) juga merilis peringatan mengenai sejumlah aplikasi UEFI yang ditandatangani vendor dan ternyata rentan terhadap serangan Secure Boot bypass menggunakan teknik BYOVD. Penelitian tersebut dilakukan oleh peneliti ESET, Martin Smolár.
Aplikasi yang terdampak berasal dari sejumlah vendor besar, antara lain Acer, AMD, ASUS, ECS, Getac, GIGABYTE, Toshiba, dan Uniwill.
Menurut CERT/CC, apabila sistem masih mempercayai sertifikat vendor yang terdampak, penyerang yang telah memiliki hak administrator atau akses fisik dapat menjalankan kode berbahaya pada tahap awal proses booting, bahkan sebelum sistem operasi aktif.
Karena itu, administrator sistem disarankan segera memperbarui UEFI Forbidden Signature Database (DBX) untuk mencabut kepercayaan terhadap file biner yang rentan. Langkah ini dinilai penting untuk mencegah aplikasi tersebut dieksekusi selama proses boot dan mengurangi risiko eksploitasi melalui teknik BYOVD.
