Manfaatkan Taktik BYOVD, Geng Ransomware “Gentlemen” Siapkan Pasukan Penghancur EDR
Operasi Ransomware-as-a-Service (RaaS) bernama Gentlemen dilaporkan tengah gencar mengembangkan dan mendistribusikan rangkaian alat khusus pertahanan siber yang dirancang untuk melumpuhkan sistem Endpoint Detection and Response (EDR). Alat penghancur pertahanan ini dibagikan kepada para afiliasi peretas agar proses pencurian data (data theft) dan enkripsi berkas dapat berjalan mulus tanpa terdeteksi oleh tim IT korporat.
Berdasarkan laporan forensik terbaru dari perusahaan keamanan siber ESET, geng ini mengombinasikan utilitas buatan sendiri dengan perkakas eksternal guna menciptakan redundansi serangan yang mematikan.
GentleKiller: Penyamaran Produk Keamanan dan Arsitektur Multi-Driver
Senjata utama yang paling sering dikerahkan dalam kampanye RaaS ini adalah alat kustom bernama GentleKiller. Perangkat peretas ini mematikan pertahanan antivirus dengan menerapkan teknik BYOVD (Bring Your Own Vulnerable Driver).
Dalam taktik BYOVD, peretas sengaja membawa dan menginstal driver pihak ketiga legal yang sudah diketahui memiliki celah keamanan (vulnerable driver) ke dalam komputer korban. Driver cacat ini kemudian dieksploitasi untuk menaikkan hak akses hak paten sistem hingga ke tingkat kernel (Level Tertinggi OS).
[ Eksekusi GentleKiller oleh Afiliasi ] โโโบ Menyisipkan Driver Legal yang Cacat (BYOVD)
โ
โผ (Eksploitasi Bug Driver via Kernel)
[ Eskalasi Hak Akses Sistem Terjadi ] โโโบ Naik Kelas Menjadi Akses Kernel Ring-0
โ
โผ (Eksekusi Penghentian Proses Paksa)
[ Matikan Fungsi Sensor Antivirus ] โโโบ Lumpuhkan 400+ Proses dari 48 Vendor EDR
Untuk mengelabui pemantauan tim Security Operations Center (SOC), ESET menemukan bahwa GentleKiller memiliki sedikitnya delapan varian berbeda yang sengaja dikodekan agar menyerupai (impersonate) nama proses produk keamanan dan gim legal, di antaranya:
- Kaspersky (Aplikasi Antivirus)
- Valorant (Sistem Anti-Cheat Vanguard)
- Javelin dan WatchDog (Sistem Proteksi Internal)
Meskipun setiap varian menggunakan driver cacat yang berbeda-beda agar mudah melakukan bongkar-pasang saat ada celah zero-day driver baru yang rilis, ESET mengonfirmasi seluruh varian tersebut berbagi baris kode identik, menggunakan teknik pengaburan kode (code obfuscation) yang sama, serta memiliki logika pemutusan proses yang seragam.
Target Masif: Lumpuhkan 400 Proses dari 48 Vendor Keamanan
Kekuatan destruktif GentleKiller tergolong sangat masif. Alat ini diprogram untuk melacak dan mematikan secara paksa lebih dari 400 proses sistem yang diasosiasikan dengan 48 vendor keamanan digital global.
Jajaran benteng pertahanan premium yang masuk dalam daftar hitam eksekusi mati GentleKiller di antaranya meliputi:
Microsoft (Windows Defender), CrowdStrike, SentinelOne, Palo Alto Networks, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix, hingga Kaspersky.
Guna mempersulit analis siber melakukan rekayasa balik (reverse engineering), file biner dari GentleKiller diproteksi menggunakan pengemas komersial tingkat tinggi seperti Enigma dan Themida, serta dibubuhi tanda tangan digital (digital signatures) curian dari vendor legal meskipun status sertifikatnya sudah tidak valid.
Redundansi Senjata dan Modul Pencuri Kripto Eksternal
Selain mengandalkan GentleKiller, geng Gentlemen RaaS juga mempersenjatai para afiliasinya dengan tiga alat penghancur EDR eksternal sebagai cadangan jika GentleKiller menemui jalan buntu:
- HexKiller: Alat pelumpuh siber yang sebelumnya santer digunakan oleh geng Warlock.
- ThrottleBlood: Komponen destruktif yang kerap terlihat pada serangan MesudaLocker dan kelompok DragonForce.
- HavocKiller: Utilitas pembunuh antivirus yang populer di berbagai forum bawah tanah.
Di luar urusan mematikan antivirus, ESET juga mendokumentasikan penggunaan OxideHarvest, sebuah perangkat lunak pencuri kredensial (credential-stealer) berbasis bahasa pemrograman Rust. Struktur bahasa pemrograman yang modern ini mengindikasikan bahwa OxideHarvest dibeli dari pihak ketiga atau dikembangkan oleh ekosistem pengembang eksternal.
Korelasi Target: Memanfaatkan Kebocoran Masif “FortiBleed”
Satu poin krusial yang ditemukan oleh para peneliti ESET adalah pola pemilihan target dari geng Gentlemen RaaS. Berdasarkan data telemetri, kelompok ini secara spesifik memilih target korban berdasarkan konfigurasi titik akhir (endpoints) perangkat FortiGate milik perusahaan.
[ KORELASI OPERASI CYBERCRIME GENTLEMEN ]
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โ 1. Eksploitasi Kredensial dari Kebocoran "FortiBleed" โ โโโบ Masuk ke Jaringan Korban
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโค
โ 2. Jalankan GentleKiller / BYOVD Driver โ โโโบ Lumpuhkan Pertahanan EDR
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโค
โ 3. Sebar Botnet Proxy SystemBC & Kunci Berkas Korban โ โโโบ Ekstraksi Data & Pemerasan
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
Pola ini memiliki korelasi kuat dengan insiden intelijen ancaman baru-baru ini, yaitu kasus kebocoran data “FortiBleed” yang mengekspos hampir 74.000 kredensial login VPN FortiGate di internet. Geng Gentlemen diduga memanfaatkan tumpukan data FortiBleed tersebut sebagai pintu masuk awal (initial access) untuk menyusup ke jaringan internal organisasi, sebelum akhirnya melepas GentleKiller untuk mematikan antivirus dan mengunci server korban.
Rekam jejak serangan Gentlemen RaaS tercatat pernah melumpuhkan penyedia energi nasional Rumania, Oltenia. Kelompok ini juga teridentifikasi mengendalikan botnet proxy SystemBC yang saat ini menaungi lebih dari 1.570 inang (hosts) aktif, yang diduga merupakan komputer milik perusahaan-perusahaan korban yang telah berhasil mereka kuasai.
Sumber: ESET Threat Research & Endpoint Security Vulnerability Analysis
