Qilin dan Warlock Ransomware Gunakan Driver Rentan untuk Nonaktifkan 300+ EDR

Kelompok ransomware Qilin dan Warlock baru-baru ini terungkap menggunakan teknik bring your own vulnerable driver (BYOVD) guna menonaktifkan lebih dari 300 driver Endpoint Detection and Response (EDR) pada sistem yang disusupi. Temuan ini berasal dari hasil penelitian Cisco Talos dan Trend Micro yang mengungkap bagaimana metode canggih ini memungkinkan pelaku kejahatan siber menghindari deteksi dan memperburuk dampak serangan.

Teknik BYOVD dalam Serangan Qilin

Dalam kasus Qilin, Talos mengidentifikasi sebuah DLL berbahaya bernama "msimg32.dll" yang dipasang melalui teknik DLL side-loading. DLL ini memulai rantai infeksi multi-tahap yang secara khusus menargetkan dan menonaktifkan berbagai solusi EDR dari hampir seluruh vendor keamanan di pasar.

"Tahap pertama terdiri dari sebuah PE loader yang bertugas mempersiapkan lingkungan eksekusi untuk komponen pembunuh EDR," ujar para peneliti Talos, Takahiro Takeda dan Holger Unterbrink. "Payload kedua ini disisipkan dalam loader dalam bentuk terenkripsi."

Loader DLL tersebut menggunakan berbagai teknik untuk menghindari deteksi, seperti menetralkan user-mode hooks, menekan pencatatan Event Tracing for Windows (ETW), serta menyembunyikan alur kontrol dan pola pemanggilan API. Dengan cara ini, payload pembunuh EDR dapat didekripsi, dimuat, dan dijalankan sepenuhnya di memori tanpa terdeteksi.

Penggunaan Driver Kernel untuk Menonaktifkan EDR

Setelah dijalankan, malware Qilin menggunakan dua driver kernel:

• rwdrv.sys, versi ganti nama dari "ThrottleStop.sys", yang berfungsi mengakses memori fisik sistem dan bertindak sebagai lapisan akses perangkat keras mode kernel.
• hlpdrv.sys, yang bertugas menghentikan proses lebih dari 300 driver EDR dari berbagai solusi keamanan.

Kedua driver ini sebelumnya juga dipakai dalam serangan BYOVD yang dikaitkan dengan ransomware Akira dan Makop. Menariknya, sebelum memuat driver kedua, komponen pembunuh EDR akan membatalkan callback pemantauan yang dibuat oleh EDR, sehingga penghentian proses dapat berjalan tanpa gangguan.

Statistik dan Dampak Serangan Qilin

Berdasarkan data dari CYFIRMA dan Cynet, Qilin adalah kelompok ransomware paling aktif dalam beberapa bulan terakhir, dengan ratusan korban. Pada 2025, Qilin bertanggung jawab atas 22 dari 134 insiden ransomware di Jepang, atau sekitar 16,4% dari seluruh serangan.

"Qilin terutama mengandalkan kredensial curian untuk mendapatkan akses awal," kata Talos. "Setelah berhasil masuk, mereka fokus pada aktivitas pasca-kompromi yang memungkinkan penguasaan lingkungan secara bertahap dan memaksimalkan dampak."

Ransomware baru dijalankan rata-rata sekitar enam hari setelah kompromi pertama, yang menegaskan pentingnya deteksi dini dan pencegahan sebelum ransomware diluncurkan.

Modus Operandi Warlock Ransomware

Sementara itu, kelompok ransomware Warlock (alias Water Manaul) terus mengeksploitasi server Microsoft SharePoint yang belum diperbarui, sekaligus meningkatkan alat mereka untuk persistensi, pergerakan lateral, dan penghindaran pertahanan.

Warlock mengganti driver "googleApiUtil64.sys" pada kampanye sebelumnya dengan driver rentan bernama NSecKrnl.sys yang digunakan dalam serangan BYOVD untuk menonaktifkan produk keamanan di level kernel. Selain itu, selama serangan Januari 2026, Warlock juga menggunakan berbagai alat berikut:

• PsExec untuk pergerakan lateral.
• RDP Patcher untuk mengaktifkan sesi RDP bersamaan.
• Velociraptor untuk kontrol dan komando (C2).
• Visual Studio Code dan Cloudflare Tunnel untuk tunneling komunikasi C2.
• Yuze, untuk penetrasi intranet dan membangun koneksi proxy balik ke server C2 penyerang melalui HTTP, HTTPS, dan DNS.
• Rclone untuk pencurian data.

Rekomendasi Perlindungan Terhadap BYOVD

Untuk melindungi diri dari ancaman BYOVD, disarankan hanya mengizinkan driver yang ditandatangani oleh penerbit terpercaya, memantau kejadian pemasangan driver, dan menjaga jadwal patching yang ketat khususnya untuk perangkat lunak keamanan dengan komponen driver yang rentan.

"Ketergantungan Warlock pada driver rentan untuk menonaktifkan kontrol keamanan menuntut pertahanan berlapis dengan fokus pada integritas kernel," kata Trend Micro. "Organisasi harus beralih dari perlindungan endpoint dasar ke penerapan tata kelola driver ketat dan pemantauan real-time aktivitas level kernel."

Analisis Redaksi

Menurut pandangan redaksi, penggunaan teknik BYOVD oleh Qilin dan Warlock menandai evolusi signifikan dalam modus operandi ransomware yang semakin agresif dan canggih. Dengan kemampuan menonaktifkan ratusan driver EDR secara langsung di kernel, ancaman ini membuka celah besar bagi penjahat siber untuk melumpuhkan sistem pertahanan keamanan yang paling mutakhir sekalipun.

Lebih jauh, penundaan eksekusi ransomware selama enam hari pasca-kompromi menegaskan bahwa deteksi dini dan respons insiden yang cepat menjadi kunci utama dalam mengurangi kerugian. Organisasi harus mengembangkan strategi keamanan berlapis, termasuk pengawasan aktivitas kernel dan pembaruan patch rutin, agar dapat mengenali dan menghentikan serangan sebelum eskalasi terjadi.

Ke depan, tren penyalahgunaan driver rentan ini diperkirakan akan terus berkembang. Pembaca disarankan tetap mengikuti perkembangan ancaman siber terbaru dan memastikan implementasi kebijakan keamanan yang ketat terutama di tingkat kernel.

Untuk informasi lebih lengkap, Anda dapat membaca laporan asli di The Hacker News dan berita terkait di CNN Indonesia Teknologi.