Ancaman siber terus berkembang dengan cepat, dan salah satu perkembangan terbaru adalah munculnya malware yang dirancang khusus untuk menonaktifkan perangkat lunak deteksi dan respons endpoint (EDR). Malware ini, diberi nama EDRKillShifter, ditemukan oleh para analis Sophos setelah sebuah serangan gagal.
EDRKillShifter menggunakan driver Windows yang sah namun rentan untuk mengirimkan ransomware ke target. Taktik ini cukup umum digunakan oleh malware pembunuh EDR, karena memanfaatkan celah keamanan yang sudah diketahui secara publik.
Yang lebih mengkhawatirkan, EDRKillShifter terkait dengan RansomHub, sebuah alat yang semakin populer di kalangan pelaku ransomware. Ini menunjukkan potensi ancaman serius dari malware ini di masa depan. Namun, dengan tindakan pencegahan yang tepat, EDRKillShifter mungkin tidak seberbahaya yang terlihat pada pandangan pertama.
Bagaimana EDRKillShifter Bekerja?
Untuk dapat menjalankan EDRKillShifter dan menyebarkan ransomware, pelaku ancaman perlu memiliki akses ke mesin target dengan hak akses yang tinggi. Setelah itu, mereka harus menjalankan malware melalui command line dan memasukkan kata sandi.
EDRKillShifter menggunakan teknik ofuscation untuk menyembunyikan aktivitasnya, termasuk menggunakan kode yang dapat mengubah diri sendiri dan beberapa pembunuh EDR yang ditulis dalam Go. Jika berhasil menanamkan dirinya ke dalam memori, malware ini akan menyebarkan salah satu dari dua payload yang menciptakan layanan baru untuk driver yang dikompromikan, memaksanya untuk masuk ke loop tanpa akhir yang membunuh targetnya.
Cara Melindungi Diri
Untuk mencegah serangan menggunakan EDRKillShifter, Sophos merekomendasikan beberapa langkah penting:
- Pisahkan pengguna dari administrator: Implementasikan prinsip least privilege.
- Aktifkan perlindungan tamper pada perangkat lunak EDR: Hal ini membantu mencegah manipulasi oleh malware.
- Jaga sistem dan driver tetap diperbarui: Patch keamanan secara rutin.
Meskipun EDRKillShifter memiliki potensi ancaman serius, dengan tindakan pencegahan yang tepat, risiko dapat dikurangi secara signifikan.
Ancaman Siber Lainnya
Selain EDRKillShifter, beberapa ancaman siber lainnya juga perlu diperhatikan:
- Kerentanan SolarWinds: Sebuah kerentanan kritis ditemukan pada SolarWinds Web Help Desk yang dapat memungkinkan penyerang menjalankan perintah pada mesin target.
- Kebocoran data NetSuite: Ribuan situs NetSuite yang menghadap eksternal ditemukan rentan terhadap kebocoran data pelanggan.
- Serangan ransomware terhadap perusahaan pertambangan: Beberapa perusahaan pertambangan menjadi target serangan ransomware, mengakibatkan kerugian finansial dan operasional.
- Pencurian data pasien: Sebuah perusahaan perawatan kesehatan mengalami kebocoran data yang melibatkan hampir setengah juta pasien.
Kesimpulan
Landskap ancaman siber terus berubah dengan cepat, sehingga penting untuk tetap waspada dan mengambil langkah-langkah keamanan yang tepat. Perbarui sistem secara teratur, gunakan perangkat lunak keamanan yang kuat, dan latih karyawan tentang praktik keamanan siber yang baik.