Ransomware GodDamn Gunakan Driver PoisonX untuk Menonaktifkan Pertahanan Endpoint
- Asal Usul dan Hubungan GodDamn dengan Ransomware Sebelumnya
- Teknik dan Alat yang Digunakan dalam Serangan GodDamn
- Bagaimana Driver Rentan Memudahkan Serangan
- Pergerakan Lateral dan Persistensi dengan AnyDesk dan PsExec
- Perubahan pada Pola Enkripsi dan Komunikasi Pelaku
- Kesimpulan dan Implikasi Keamanan Siber
- Analisis Redaksi
Ransomware baru bernama GodDamn menjadi sorotan para peneliti keamanan siber karena menggunakan kernel driver berbahaya bernama PoisonX untuk menonaktifkan perangkat lunak keamanan di komputer korban. Strategi ini adalah bagian dari teknik defense evasion yang semakin canggih untuk menghindari deteksi dan pemblokiran.
Asal Usul dan Hubungan GodDamn dengan Ransomware Sebelumnya
Berdasarkan laporan terbaru dari Threat Hunter Team Symantec, GodDamn pertama kali terdeteksi secara publik pada 21 Mei 2026. Ransomware ini dianggap sebagai versi rebrand dari Beast ransomware yang sebelumnya merupakan peningkatan dari Monster ransomware berbasis Delphi yang muncul sejak Maret 2022. Broadcom, induk dari Symantec, mengaitkan pengembang ransomware ini dengan kelompok yang dijuluki Hyadina.
Teknik dan Alat yang Digunakan dalam Serangan GodDamn
Salah satu serangan yang dilaporkan terjadi pada awal Juni 2026, di mana para pelaku menggunakan AnyDesk sebagai alat akses jarak jauh, dan memanfaatkan toolkit pencurian kredensial berbasis NirSoft sebelum melancarkan ransomware. Meskipun vektor akses awal belum diketahui, toolkit tersebut mampu mengekstrak data sensitif dari browser web populer, Windows Credential Manager, kredensial domain yang tersimpan, sesi VNC, klien email, profil Wi-Fi, dan bahkan lalu lintas jaringan yang sedang berjalan.
Selain itu, mereka juga memakai alat defense evasion berbasis user-mode dengan nama file symantec.exe yang menyamar sebagai produk Symantec, serta PoisonX kernel driver dengan nama g11.sys untuk menonaktifkan pertahanan endpoint. Serangan ini termasuk dalam kategori bring your own vulnerable driver (BYOVD), di mana pelaku menggunakan driver yang valid secara digital namun memiliki kerentanan untuk melewati proteksi sistem.
"Namun, driver PoisonX agak unik karena merupakan driver berbahaya yang berhasil mendapatkan tanda tangan Microsoft, sehingga sekarang digunakan oleh pelaku ransomware," ujar Threat Hunter Team Symantec.
PoisonX juga digunakan oleh operator ransomware The Gentlemen dalam alat khusus bernama GentleKiller yang dibagikan ke afiliasi mereka untuk melemahkan sistem pertahanan sebelum mengenkripsi data korban.
Bagaimana Driver Rentan Memudahkan Serangan
Menurut Broadcom, penggunaan driver rentan adalah cara paling andal bagi pelaku setelah mendapatkan hak administrator. Driver yang sudah ditandatangani secara resmi oleh Microsoft akan dimuat otomatis oleh Windows, memberikan akses langsung untuk:
- Mematikan proses antivirus (AV) dan produk endpoint detection and response (EDR).
- Menonaktifkan hak akses keamanan sehingga perangkat lunak tetap berjalan tapi tidak bisa bekerja efektif.
- Memanipulasi catatan internal kernel agar produk keamanan tidak menerima pemberitahuan aktivitas di sistem, sehingga menjadi buta terhadap serangan.
Pergerakan Lateral dan Persistensi dengan AnyDesk dan PsExec
Setelah mendapatkan akses, pelaku menggunakan PsExec untuk bergerak lateral ke host lain di jaringan korban. Mereka kemudian menginstal AnyDesk pada setiap host yang berhasil diakses dan mendaftarkannya sebagai layanan Windows agar tetap aktif setelah reboot.
Di beberapa mesin, proses instalasi AnyDesk dijalankan dengan PowerShell script yang sudah dipersiapkan sebelumnya di drive sistem, menandakan penggunaan installer yang dapat digunakan ulang untuk mempercepat penyebaran.
"Setelah instalasi AnyDesk selesai di setiap host, pelaku menghentikan proses AnyDesk yang berjalan, menunggu sebentar, lalu me-reboot mesin tersebut," jelas Symantec. "Pada 2 Juni, pola penyebaran ini telah dilakukan di setidaknya 10 host dalam organisasi yang menjadi target."
Perubahan pada Pola Enkripsi dan Komunikasi Pelaku
GodDamn pertama kali terdeteksi melakukan enkripsi pada 3 Juni di segmen jaringan yang berbeda, menggunakan ekstensi berisi nama korban, berbeda dari ekstensi .God8Damn yang biasa dipakai oleh kelompok Hyadina.
Laporan dari CYFIRMA menyebutkan bahwa ransom note yang ditinggalkan pelaku meminta korban menghubungi mereka melalui email atau aplikasi pesan terenkripsi qTox.
Kesimpulan dan Implikasi Keamanan Siber
Menurut Symantec, penggunaan komponen berbahaya terbaru seperti driver PoisonX menandakan peningkatan kemampuan defense evasion oleh kelompok Hyadina. Ini menunjukkan bahwa pengembangan ransomware dan teknik serangan mereka terus berlanjut dan semakin canggih.
Untuk memahami ancaman dan mitigasi serangan ransomware semacam ini, penting bagi organisasi dan individu untuk memperkuat pertahanan endpoint, memantau penggunaan driver, dan membatasi penggunaan alat akses jarak jauh yang tidak terkontrol.
Analisis Redaksi
Menurut pandangan redaksi, kemunculan ransomware GodDamn dengan kemampuan menggunakan driver berbahaya yang telah ditandatangani resmi oleh Microsoft adalah game-changer dalam dunia serangan siber. Ini menunjukkan bahwa pelaku tidak hanya mengandalkan eksploitasi kerentanan tradisional, tetapi juga memanfaatkan proses legalisasi perangkat lunak untuk melewati sistem keamanan secara efektif.
Lebih jauh, teknik BYOVD ini memperlihatkan bagaimana keamanan Windows dapat dipertaruhkan ketika driver yang memiliki kerentanan tetap dapat dipakai secara bebas. Organisasi harus menerapkan kontrol ketat dalam instalasi driver dan memperbarui kebijakan penggunaan perangkat lunak pihak ketiga.
Kedepannya, perhatian khusus harus diberikan pada deteksi perilaku mencurigakan dari alat akses jarak jauh seperti AnyDesk dan penggunaan alat otomatisasi seperti PsExec yang kerap digunakan untuk pergerakan lateral. Pemantauan yang lebih canggih dan respons cepat terhadap insiden akan menjadi kunci untuk mencegah kerusakan yang lebih besar.
Untuk informasi lebih lengkap tentang serangan ini, bisa mengunjungi laporan asli dari The Hacker News serta sumber terpercaya lainnya seperti Symantec.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0