Peretas Pakai EDRSilencer untuk Percepat Serangan Ransomware
- Muhammad Bachtiar Nur Fa'izi
- •
- 21 Okt 2024 12.24 WIB
Namun, dalam perkembangan terbaru, EDRSilencer ditemukan digunakan oleh peretas untuk tujuan yang lebih jahat mencuri data perusahaan secara ilegal. Alat yang awalnya dimaksudkan untuk pengujian keamanan ini kini dipakai oleh aktor ancaman untuk membungkam sistem deteksi keamanan dan membuka celah bagi serangan yang lebih serius, seperti ransomware.
Kemampuan EDRSilencer dalam memblokir alat deteksi keamanan seperti Microsoft Defender dan TrendMicro Apex One menjadikan ancaman ini semakin berbahaya. Hal ini tidak hanya memudahkan serangan ransomware tetapi juga memperbesar kemungkinan gangguan operasional yang mengganggu bisnis. EDRSilencer, meski pada awalnya diciptakan sebagai alat sumber terbuka untuk mendeteksi dan merespons ancaman keamanan titik akhir, kini telah dimanipulasi oleh pelaku jahat untuk memblokir lalu lintas jaringan yang seharusnya dipantau oleh sistem deteksi keamanan.
Alat ini mampu menonaktifkan hingga 16 perangkat EDR umum yang biasanya digunakan untuk melindungi sistem keamanan. Di antara perangkat tersebut terdapat beberapa perangkat terkemuka yang digunakan oleh banyak perusahaan di seluruh dunia. Peneliti dari TrendMicro mengungkapkan bahwa kemunculan EDRSilencer sebagai sarana untuk menghindari deteksi di titik akhir sistem keamanan menandai pergeseran besar dalam taktik yang digunakan oleh peretas.
Pada awalnya, EDRSilencer dikembangkan untuk mendukung simulasi serangan oleh tim merah. Dalam simulasi ini, tim merah mencoba meniru perilaku peretas guna menilai kekuatan dan respons sistem keamanan yang dimiliki perusahaan. Namun, seiring berjalannya waktu, peretas mulai memanfaatkan alat ini untuk tujuan yang berbeda membuat sistem keamanan perusahaan menjadi lumpuh dan membiarkan celah-celah kritis tetap terbuka tanpa peringatan.
EDRSilencer bekerja dengan memanfaatkan fitur Windows Filtering Platform (WFP), yang memungkinkan alat ini memantau, memblokir, dan bahkan memodifikasi lalu lintas jaringan. Dengan kemampuan ini, aktor ancaman dapat menginterupsi komunikasi antara alat deteksi keamanan dan server manajemen. Ketika komunikasi ini berhasil diputus, peringatan keamanan yang seharusnya muncul akan terhenti. Ini juga memengaruhi pengiriman laporan telemetri yang sangat penting untuk mendeteksi aktivitas yang mencurigakan.
Efek dari penggunaan EDRSilencer sangat berbahaya. Dengan menonaktifkan komunikasi alat keamanan, peretas dapat beroperasi secara lebih tersembunyi, sehingga lebih sulit terdeteksi. Kondisi ini meningkatkan peluang sukses bagi serangan ransomware dan menyebabkan gangguan operasional yang signifikan. Peneliti dari TrendMicro menegaskan bahwa hal ini sangat mengkhawatirkan karena memperbesar risiko pelanggaran keamanan yang dapat menimbulkan kerugian besar bagi perusahaan.
Para ahli keamanan siber memperingatkan bahwa perusahaan harus lebih waspada terhadap ancaman ini. Penting bagi organisasi untuk segera meningkatkan strategi deteksi ancaman dan memperkuat sistem perburuan ancaman. Peningkatan ini diperlukan agar mereka dapat mengantisipasi alat penghindaran seperti EDRSilencer yang semakin canggih. Langkah-langkah ini harus segera diambil untuk meminimalkan risiko yang dapat ditimbulkan oleh serangan yang mengandalkan alat tersebut.
Munculnya EDRSilencer menandakan bahwa lanskap ancaman siber terus berevolusi dengan cara yang lebih rumit dan sulit diprediksi. Organisasi yang gagal memperkuat kemampuan deteksi dan respons mereka terhadap ancaman semacam ini berisiko mengalami serangan ransomware yang merugikan. Lebih dari itu, gangguan operasional yang ditimbulkan dapat merusak reputasi perusahaan dan menimbulkan kerugian finansial yang signifikan.