Image credit: magnific
EDR Killer Senjata Baru Geng Ransomware – Dalam beberapa tahun terakhir, solusi Endpoint Detection and Response (EDR) telah menjadi salah satu lapisan pertahanan utama bagi organisasi dalam mendeteksi dan merespons aktivitas berbahaya di lingkungan TI.
Namun, seiring berkembangnya teknologi pertahanan, kelompok ransomware juga terus mengembangkan teknik baru untuk menonaktifkan atau menghindari sistem keamanan tersebut.
Salah satu kelompok yang menarik perhatian sepanjang tahun 2026 adalah Gentlemen, sebuah operasi Ransomware-as-a-Service (RaaS) yang dikenal memiliki kemampuan teknis tinggi dalam mengembangkan dan memelihara berbagai alat untuk melumpuhkan solusi keamanan.
Temuan terbaru dari peneliti ESET menunjukkan bahwa Gentlemen tidak hanya menyediakan ransomware kepada afiliasinya.
Tetapi juga menyediakan seperangkat alat khusus yang dirancang untuk mengganggu atau menonaktifkan sistem EDR sebelum proses enkripsi data dilakukan.
Apa Itu EDR Killer?
EDR Killer adalah istilah yang digunakan untuk menggambarkan alat atau teknik yang bertujuan:
- Menonaktifkan.
- Menghentikan.
- Mengganggu perangkat lunak keamanan yang berjalan pada sistem korban.
Dengan berhasil melumpuhkan solusi keamanan terlebih dahulu, pelaku dapat memperbesar peluang keberhasilan serangan tanpa terdeteksi atau diblokir.
Teknik ini menjadi semakin populer karena banyak organisasi saat ini mengandalkan EDR sebagai garis pertahanan utama terhadap ancaman modern.
Lebih dari Sekadar Kelompok Ransomware
Berbeda dengan banyak kelompok ransomware lainnya, Gentlemen menerapkan pendekatan yang lebih terorganisasi.
Kelompok ini diketahui mengembangkan dan memelihara sendiri sejumlah alat EDR killer yang kemudian disediakan kepada afiliasi mereka.
Model ini memberikan keuntungan besar bagi para afiliasi karena mereka tidak perlu lagi mencari atau mengembangkan alat untuk menonaktifkan keamanan secara mandiri.
Dengan kata lain, Gentlemen tidak hanya menjual ransomware, tetapi juga menyediakan “paket lengkap” yang membantu meningkatkan peluang keberhasilan serangan.
Kebocoran data internal yang terjadi pada tahun 2026 mengungkap bahwa pengelola Gentlemen secara aktif mengembangkan, memperbarui, dan mendistribusikan berbagai alat EDR killer kepada jaringan afiliasi mereka.
Temuan ini memperkuat dugaan yang sebelumnya telah muncul dari berbagai investigasi keamanan siber.
Senjata Utama Gentlemen
Salah satu alat yang paling menonjol adalah framework yang oleh peneliti diberi nama GentleKiller.
Framework ini memiliki berbagai varian yang memanfaatkan driver rentan maupun driver berbahaya untuk memperoleh hak akses tingkat tinggi pada sistem operasi. Dengan hak akses tersebut, alat ini mampu menghentikan berbagai proses keamanan yang berjalan di perangkat korban.
Peneliti mengidentifikasi setidaknya delapan varian GentleKiller yang berbeda. Meskipun menggunakan teknik dan driver yang berbeda, seluruh varian tersebut memiliki karakteristik yang serupa, menunjukkan bahwa semuanya berasal dari kerangka kerja pengembangan yang sama.
Menariknya, GentleKiller diketahui menargetkan ratusan proses yang berkaitan dengan produk keamanan dari puluhan vendor keamanan siber terkemuka di dunia.
|
Baca juga: Pentingnya Tim dan Respons yang Tepat dalam Keamanan Siber |
Menyamar Sebagai Produk Keamanan
Salah satu teknik yang digunakan Gentlemen adalah penyamaran identitas perangkat lunak. Banyak sampel EDR killer yang ditemukan menggunakan:
- Nama file yang menyerupai produk keamanan populer.
- Informasi versi palsu.
- Ikon aplikasi resmi.
- Sertifikat digital yang disalin dari perangkat lunak sah.
Tujuannya adalah membuat alat tersebut terlihat seperti aplikasi yang sah sehingga lebih sulit dideteksi baik oleh pengguna maupun sistem keamanan otomatis.
Pendekatan ini diterapkan secara konsisten pada berbagai alat yang digunakan oleh Gentlemen dan menjadi salah satu ciri khas kelompok tersebut.
Cepat Mengadopsi Teknik Baru
Salah satu kemampuan yang membuat Gentlemen menonjol adalah kecepatan mereka dalam mengadopsi teknik baru yang dipublikasikan oleh komunitas keamanan.
Peneliti menemukan bahwa kelompok ini mampu mengintegrasikan berbagai proof-of-concept (PoC) yang memanfaatkan driver rentan hanya dalam hitungan hari setelah dipublikasikan secara terbuka.
Kemampuan tersebut menunjukkan tingkat kematangan operasional yang tinggi dan memperlihatkan bahwa kelompok ini secara aktif memantau perkembangan penelitian keamanan siber untuk dimanfaatkan dalam operasi mereka.
Tidak Hanya Mengandalkan Alat Internal
Selain GentleKiller, kelompok ini juga diketahui menggunakan berbagai alat pihak ketiga yang telah dimodifikasi dan diintegrasikan ke dalam ekosistem mereka.
Beberapa di antaranya adalah:
- HexKiller
- ThrottleBlood
- HavocKiller
Meskipun alat-alat tersebut diyakini tidak dikembangkan langsung oleh Gentlemen, kelompok ini berhasil mengintegrasikannya ke dalam alur serangan mereka dan menerapkan teknik penyamaran yang seragam sehingga terlihat sebagai bagian dari framework yang sama.
|
Baca juga: Mengenal Security as a Service (SECaaS) |
Target yang Lebih Global
Temuan menarik lainnya adalah pola pemilihan korban yang berbeda dibandingkan kelompok ransomware besar lainnya.
Banyak kelompok ransomware cenderung berfokus pada organisasi di Amerika Serikat. Namun Gentlemen menunjukkan pola yang lebih tersebar secara global, dengan korban yang ditemukan di Asia Tenggara, Amerika Selatan, dan Eropa Barat.
Fakta ini menunjukkan bahwa organisasi di berbagai wilayah, termasuk Asia Tenggara, perlu memperhatikan perkembangan kelompok ini karena wilayah tersebut termasuk dalam area yang aktif menjadi target operasi mereka.
Pengingat Menakutkan
Kemunculan Gentlemen menunjukkan bagaimana kelompok ransomware modern terus berevolusi dan semakin profesional dalam menjalankan operasinya.
Tidak hanya menyediakan ransomware, mereka juga mengembangkan dan memelihara berbagai alat untuk menonaktifkan sistem keamanan, sehingga mempermudah afiliasi dalam melakukan serangan.
Framework GentleKiller dan berbagai alat pendukung lainnya memperlihatkan bahwa pelaku ancaman saat ini tidak lagi hanya berusaha menghindari deteksi, tetapi juga secara aktif berupaya melumpuhkan sistem pertahanan sebelum melancarkan tahap serangan berikutnya.
Perkembangan ini menjadi pengingat bahwa lanskap ancaman siber terus berubah dan bahwa pelaku ancaman semakin cepat dalam mengadopsi teknik-teknik baru untuk meningkatkan efektivitas operasi mereka.
Sumber berita:
