Kerangka Ransomware Pembunuh EDR Menuntut Pertahanan Berlapis

Kerangka Ransomware Pembunuh EDR Menuntut Pertahanan Berlapis

Kelompok ransomware diam-diam telah menulis ulang aturan serangan mereka sendiri. Alih-alih berpacu mengenkripsi berkas sebelum perangkat keamanan merespons, banyak kini mengambil langkah pertama yang lebih terukur: menonaktifkan perangkat itu sepenuhnya. Maraknya strategi pertahanan ransomware yang menonaktifkan EDR menantang asumsi mendasar yang telah membentuk keamanan perusahaan selama bertahun-tahun, yaitu bahwa perangkat lunak endpoint detection and response (EDR) berfungsi sebagai lini perlindungan terakhir yang andal.

Ketika penyerang dapat melumpuhkan lapisan itu bahkan sebelum serangan dimulai, seluruh model keamanan perlu dikaji ulang.

Cara Kerja Kerangka Penonaktif EDR dan Mengapa Semakin Menyebar

Perangkat lunak EDR bekerja dengan memantau perilaku proses, aktivitas berkas, dan panggilan jaringan di tingkat endpoint. Perangkat ini dapat menandai pola mencurigakan secara real-time dan memberi tahu tim keamanan atau secara otomatis mengarantina ancaman. Visibilitas itulah yang justru ingin dihilangkan oleh para penyerang.

Kerangka pembunuh EDR, kadang disebut "pembunuh EDR", biasanya mengeksploitasi kelas kerentanan yang terkait dengan driver sah namun rentan. Karena Windows memberikan kepercayaan tinggi pada driver bertanda tangan tingkat kernel tertentu, penyerang memuat driver rentan ke mesin target dan menggunakannya sebagai kendaraan untuk menghentikan atau membutakan proses keamanan yang berjalan di ruang pengguna. Teknik ini, yang secara luas dikenal sebagai Bring Your Own Vulnerable Driver (BYOVD), telah diadopsi oleh berbagai operasi ransomware termasuk RansomHub, yang menyebarkan alat EDRKillShifter dalam rantai serangan yang terdokumentasi.

Daya tarik bagi penyerang sangat jelas. Begitu EDR dilumpuhkan, fase serangan selanjutnya—pergerakan lateral, eksfiltrasi data, dan enkripsi berkas—dapat berjalan dengan risiko deteksi atau interupsi yang jauh berkurang. Tim keamanan tidak melihat apa pun hingga terlambat.

Kerangka kerja ini juga menyebar karena hambatan masuknya semakin rendah. Perkakas ini dikomoditisasi dan dibagikan di seluruh ekosistem ransomware-as-a-service, yang berarti kelompok dengan kecanggihan teknis terbatas kini dapat menyebarkannya bersama muatan mereka.

Apa yang Terjadi Saat Keamanan Titik Akhir Anda Gelap

Konsekuensi langsung dari keberhasilan penonaktifan EDR adalah pemadaman visibilitas di titik akhir. Tim pusat operasi keamanan (SOC) kehilangan telemetri. Aturan respons otomatis berhenti berfungsi. Asumsi yang tertanam dalam buku panduan respons insiden tidak lagi berlaku.

Ini bukan sekadar masalah teknis. Ini masalah organisasi. Banyak program keamanan dirancang dengan gagasan bahwa EDR menyediakan lantai deteksi yang andal. Ketika lantai itu lenyap, tim yang tidak memiliki kontrol kompensasi mendapati diri mereka merespons serangan yang tidak dapat mereka lihat datangnya.

Pola yang lebih luas di sini terkait dengan pergeseran cara penyerang mendapatkan akses awal. Seperti yang ditemukan oleh Laporan Investigasi Pelanggaran Data Verizon 2026, kerentanan perangkat lunak telah menyalip kredensial yang dicuri sebagai titik masuk utama dalam pelanggaran. Penyerang mengeksploitasi celah perangkat lunak untuk mendapatkan akses, lalu menyebarkan alat penonaktif EDR untuk menghilangkan visibilitas, sebelum menjalankan muatan utama mereka. Kedua tren ini saling memperkuat.

Organisasi layanan kesehatan sangat rentan. Konsekuensi dari kesenjangan visibilitas di sektor yang mengandalkan sistem yang selalu tersedia sangat parah, seperti yang ditunjukkan oleh insiden seperti pelanggaran ChipSoft, yang menyoroti bagaimana enkripsi yang tidak memadai memperburuk kerusakan saat pertahanan dilewati.

Mengapa Pertahanan Lapisan Jaringan Mengisi Kesenjangan

Keamanan titik akhir dan keamanan lapisan jaringan tidak saling tumpang tindih. Keduanya mengamati hal yang berbeda. Bahkan ketika EDR dibutakan, lalu lintas jaringan tetap mengalir, dan lalu lintas itu membawa sinyal.

Alat network detection and response (NDR) memantau lalu lintas timur-barat di dalam perimeter jaringan, pola pergerakan lateral, kueri DNS yang tidak biasa, dan koneksi keluar yang tak terduga. Yang krusial, alat ini beroperasi secara independen dari agen titik akhir. Penyerang yang mematikan proses EDR tidak memiliki mekanisme langsung untuk secara bersamaan membutakan infrastruktur pemantauan jaringan.

VPN dan terowongan terenkripsi memainkan peran pendukung dalam gambaran ini. Di tingkat organisasi, mewajibkan semua lalu lintas melewati gateway VPN yang dipantau berarti bahwa meskipun sebuah titik akhir telah dikompromikan, jalur jaringan tetap terlihat dan tunduk pada penegakan kebijakan. Arsitektur zero-trust network access (ZTNA) memperluas ini lebih jauh dengan mewajibkan verifikasi berkelanjutan di lapisan jaringan, bukan hanya saat login awal.

Bagi pekerja jarak jauh dan tim terdistribusi, penegakan VPN juga memastikan bahwa lalu lintas dari titik akhir yang berpotensi dikompromikan tidak sepenuhnya melewati kontrol perimeter. Lapisan jaringan menjadi titik inspeksi sekunder yang tidak bisa dengan mudah dihentikan oleh malware pembunuh EDR.

Langkah Praktis: Melapisi VPN dan Enkripsi Bersama EDR

Arsitektur keamanan yang tangguh memperlakukan EDR sebagai satu lapisan di antara beberapa lapisan, bukan sebagai satu-satunya mekanisme deteksi. Berikut adalah langkah konkret yang dapat diambil organisasi untuk mengurangi paparan terhadap serangan penetralan EDR.

Audit kebijakan driver Anda. Windows Defender Application Control (WDAC) dapat dikonfigurasi untuk memblokir driver yang dikenal rentan sebelum dimuat. Microsoft memelihara daftar blokir yang harus diterapkan secara aktif dan selalu diperbarui. Ini secara langsung menargetkan teknik BYOVD pada sumbernya.

Aktifkan perlindungan tamper EDR. Sebagian besar platform EDR utama menyertakan fitur perlindungan tamper yang membuatnya jauh lebih sulit untuk mematikan agen dari ruang pengguna. Fitur ini tidak selalu diaktifkan secara default dan harus diverifikasi sebagai bagian dari audit keamanan apa pun.

Investasikan pada visibilitas lapisan jaringan. Jika tumpukan Anda saat ini sangat bergantung pada telemetri titik akhir, tambahkan NDR atau analisis aliran jaringan untuk menyediakan saluran deteksi independen. Ini memastikan upaya pergerakan lateral dan eksfiltrasi tetap terlihat bahkan ketika titik akhir telah dikompromikan.

Terapkan VPN atau ZTNA untuk semua akses jarak jauh. Mewajibkan lalu lintas melewati gateway yang dipantau menambahkan titik inspeksi sekunder. Gabungkan ini dengan kebijakan komunikasi terenkripsi untuk memastikan bahwa lalu lintas yang dicegat pun tidak menghasilkan data yang dapat digunakan oleh penyerang.

Jalankan latihan meja yang mengasumsikan kegagalan EDR. Rencana respons insiden yang mengasumsikan EDR selalu beroperasi akan gagal tepat pada skenario di mana ia paling dibutuhkan. Berlatihlah merespons skenario di mana telemetri titik akhir tidak tersedia.

Operator ransomware telah memperjelas strategi mereka: singkirkan alat yang dirancang untuk menghentikan mereka sebelum menyebarkan muatan. Organisasi yang akan bertahan paling baik adalah mereka yang tidak bergantung pada satu lapisan pun untuk memikul seluruh beban pertahanan. Sekaranglah waktunya untuk mengaudit tumpukan keamanan Anda, memverifikasi bahwa kontrol kompensasi tersedia di tingkat jaringan, dan memastikan rencana respons insiden Anda memperhitungkan dunia di mana alat titik akhir Anda mungkin tidak ada saat Anda paling membutuhkannya.