Ransomware Qilin dan Warlock Gunakan Driver Rentan (BYOVD) Lumpuhkan 300+ Alat EDR
Baca dalam 60 detik
- Grup ransomware Qilin dan Warlock menggunakan teknik BYOVD (membawa driver sah namun rentan) untuk mematikan lebih dari 300 alat pertahanan EDR dari level kernel.
- Qilin memanfaatkan serangan DLL side-loading agar tereksekusi tanpa jejak di memori, sementara Warlock mengeksploitasi kerentanan pada server Microsoft SharePoint sebagai pintu masuk awal.
- Serangan ini sangat terorganisir karena dilengkapi dengan berbagai macam toolkits seperti PsExec, Velociraptor, dan Rclone untuk pergerakan lateral serta pencurian data sebelum sistem dienkripsi.
Laporan terbaru dari Cisco Talos dan Trend Micro mengungkap bahwa operasi ransomware Qilin dan Warlock menggunakan teknik Bring Your Own Vulnerable Driver (BYOVD) untuk membungkam ratusan alat keamanan EDR pada sistem yang terinfeksi.
Fakta Kunci Serangan BYOVD 2026:
- Lumpuhkan Ratusan EDR: Teknik ini memungkinkan peretas mematikan lebih dari 300 proses driver keamanan (Endpoint Detection and Response) dari hampir semua vendor keamanan di pasaran.
- Akses Tingkat Kernel: Penyerang membawa driver yang sah namun memiliki celah keamanan (seperti ThrottleStop.sys atau NSecKrnl.sys) untuk mendapatkan hak akses terdalam (kernel-mode) pada sistem operasi.
- Stealth & Evasion: Qilin memanfaatkan teknik DLL side-loading yang dieksekusi sepenuhnya di dalam memori, menetralisir log aktivitas Windows (ETW), sehingga tidak terdeteksi oleh sistem pertahanan standar.
Dalam operasinya, Qilin mendistribusikan DLL berbahaya bernama "msimg32.dll" untuk meluncurkan muatan pembunuh EDR. Setelah masuk, malware ini memuat dua driver khusus: rwdrv.sys (untuk akses memori fisik) dan hlpdrv.sys (untuk menghentikan proses keamanan). Di sisi lain, kelompok Warlock diketahui mengeksploitasi server Microsoft SharePoint yang belum ditambal (unpatched) untuk mendapatkan pijakan awal ke jaringan perusahaan.
"Ketergantungan Warlock pada driver rentan untuk menonaktifkan kontrol keamanan memerlukan pertahanan berlapis yang berfokus pada integritas kernel. Organisasi harus meningkatkan tata kelola driver yang ketat dan pemantauan aktivitas tingkat kernel secara real-time."
Daftar Alat yang Digunakan dalam Eksploitasi
| Nama Alat / Driver | Fungsi dalam Serangan |
|---|---|
| msimg32.dll & rwdrv.sys (Qilin) | DLL side-loading rahasia dan lapisan akses perangkat keras tingkat kernel. |
| NSecKrnl.sys (Warlock) | Driver BYOVD untuk mematikan produk keamanan antivirus/EDR secara paksa. |
| PsExec & TightVNC | Fasilitasi pergerakan lateral antar-server dan kontrol kendali (persisten). |
| Velociraptor & Rclone | Komunikasi Command-and-Control (C2) dan eksfiltrasi data sebelum enkripsi. |
Untuk menangkal ancaman canggih ini, administrator TI dan tim SOC diimbau untuk hanya mengizinkan driver yang ditandatangani oleh penerbit tepercaya, secara proaktif memantau log instalasi driver, dan menjaga kedisiplinan patch management pada semua infrastruktur server maupun endpoint.
