Security

Akira Ransomware Gunakan Alat Tuning CPU untuk Lumpuhkan Microsoft Defender

August 7, 2025
1 minute read
Akira Ransomware Gunakan Alat Tuning CPU untuk Lumpuhkan Microsoft Defender

Kelompok Akira ransomware kembali menunjukkan taktik canggih dalam menembus sistem keamanan Windows, dengan memanfaatkan alat tuning CPU untuk menonaktifkan Microsoft Defender sebelum melakukan enkripsi data. Teknik baru ini memanfaatkan executable sah sebagai living-off-the-land binary (LOLBIN), membuat aktivitas mereka lebih sulit dideteksi oleh sistem keamanan tradisional.

Dalam serangan terbaru yang dianalisis oleh peneliti keamanan, Akira menggunakan “CPU-X Service Module”, sebuah alat yang umumnya digunakan untuk tuning performa prosesor di sistem Windows. Dengan menjalankan executable ini dari jalur tidak biasa, pelaku berhasil memanfaatkan hak akses sistem untuk menonaktifkan layanan Microsoft Defender secara diam-diam.

Alat tersebut bukan malware, namun disalahgunakan sebagai sarana untuk mematikan perlindungan real-time tanpa membunyikan alarm dari software antivirus.

Langkah Persiapan Sebelum Enkripsi

Taktik ini bukan satu-satunya lapisan dari serangan Akira. Setelah menonaktifkan Defender, ransomware akan:

  • Menonaktifkan fitur tamper protection
  • Menghapus shadow copies agar tidak bisa dilakukan restore
  • Menjalankan payload enkripsi dengan kecepatan tinggi, mengenkripsi data kritikal di seluruh partisi
  • Menampilkan catatan tebusan (.akira extension) dan instruksi pembayaran

Metode ini menambah daftar panjang teknik canggih Akira, yang sebelumnya juga diketahui mengeksploitasi VPN, memanfaatkan kredensial domain administrator, dan mengenkripsi sistem Linux.

Tantangan bagi Tim Keamanan

Penggunaan LOLBIN dari alat sah seperti CPU tuning tool menunjukkan pergeseran taktik ransomware modern: mereka tidak lagi bergantung sepenuhnya pada malware khas, melainkan memanfaatkan executable legal yang ada di sistem untuk menyamarkan aktivitas berbahaya mereka.

Strategi ini menghindari banyak deteksi signature-based dan menuntut pendekatan baru dari tim keamanan, termasuk:

  • Pemantauan aktivitas sistem non-standar
  • Logging mendalam terhadap eksekusi file dari direktori tidak umum
  • Penerapan kebijakan AppLocker atau WDAC untuk membatasi executable tidak dikenal
  • Audit terhadap software utilitas pihak ketiga yang terinstal di endpoint

Akira: Ancaman yang Terus Berkembang

Sejak kemunculannya pada 2023, Akira telah berkembang dari ransomware biasa menjadi grup dengan kemampuan APT-like, aktif menargetkan perusahaan besar di sektor keuangan, manufaktur, pendidikan, dan layanan publik.

Dengan taktik baru seperti ini, mereka mempertegas bahwa landscape ransomware kini jauh lebih kompleks dan berbasis eksploitasi sistem internal, bukan sekadar serangan phishing atau brute-force.

Sumber: Akira ransomware abuses CPU tuning tool to disable Microsoft Defender

Tags
August 7, 2025
1 minute read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button