Cyberthreat.id – Peretas (hacker) tampaknya tak pernah berhenti untuk berinovasi.

Kali ini geng penebar ranjau ransomware (jenis malware yang mengenkripsi/mengunci komputer korban) terdeteksi berkampanye dengan gaya baru.

Dalam temuan Sophos, perusahaan keamanan siber asal Inggris, menunjukkan, bahwa dua kampanye ransomware  menginstal driver GIGABYTE (perusahaan perangkat keras komputer) pada komputer rentan yang ingin diinfeksi. Driver adalah sebuah program komputer.

“Tujuan dari driver ini untuk memungkinkan peretas menonaktifkan produk keamanan (perangkat lunak antivirus/antimalware) sehingga strain ransomware mereka dapat mengenkripsi file tanpa terdeteksi atau dihentikan,” demikian Sophos seperti dikutip ZDNet, Sabtu (8 Februari 2020).

Sophos melakukan penelitian dalam kasus serangan ransomware “RobinHood”. RobinHood terkenal menyerang kantor-kantor pemerintahan dan meminta uang tebusan dalam bentuk Bitcoin. Geng ini tercatat pernah menyerang Pemkot Greenville di Carolina Selatan dan Pemkot Baltimore di Maryland.

---

Berita Terkait:

• 'RobinHood' Lumpuhkan Server Kota Greenville
• Kota Baltimore Diserang Ransomware, Peretas Minta Bitcoin
• Dua pekan lebih, Hacker Sandera Baltimore dengan 'RobinHood'
• Usai Serangan Ransomware, Direktur TI Baltimore Pilih Mundur

---

Sophos menggambarkan teknik baru geng RobinHood ini, seperti berikut:

• Peretas mendapat pijakan di jaringan korban.
• Peretas memasang driver kernel GIGABYTE yang sah, GDRV.SYS. [sekadar diketahui, kernel adalah perangkat lunak yang bertugas melayani aplikasi untuk dapat mengakses perangkat keras secara aman]
• Peretas mengeksploitasi kerentanan pada driver sah ini untuk mendapatkan akses kernel.
• Penyerang menggunakan akses kernel untuk menonaktifkan sementara penegakan tanda tangan driver Windows.
• Peretas memasang driver kernel jahat bernama RBNL.SYS.
• Penyerang menggunakan driver ini untuk menonaktifkan atau menghentikan antivirus dan produk keamanan lainnya yang berjalan pada perangkat yang terinfeksi.

• Peretas menjalankan ransomware RobbinHood dan mengenkripsi file korban.

Menurut Sophos, teknik menghindari atau menerabas antivirus tersebut berjalan pada Windows 7, Windows 8, dan Windows 10.

Celah

Teknik tersebut bisa dipakai oleh peretas karena ada celah keamanan atau kerentanan (bug) pada driver GIGABYTE yang belum ditangani.

Kesalahan GIGABYTE, kata peneliti, adalah tidak responsif menerima laporan kerentanan. Alih-alih mengakui masalah dan melepaskan tambalan, GIGABYTE mengklaim produknya tidak dalam masalah.

Akibatnya, para peneliti yang mengetahui celah itu mengungkap ke publik bersama dengan “kode bukti konsep” kerentanan. Kode bukti konsep (proof-of-concept code) dalah istilah khusus menyangkut sebuah ulasan detail soal kerentanan dan risiko ancaman yang bisa ditimbulkan dari kerentanan tersebut.

Adanya “kode bukti konsep” publik itulah, kata peneliti, memberi peretas sebuah “peta jalan” untuk mengeksploitasi driver GIGABYTE.

Ketika peneliti mendorong agar menambal bug tersebut, GIGABYTE malah memilih untuk menghentikannya daripada  merisli tambalan (patch).

Menurut Sophos, meski GIGABYTE telah merilis sebuah tambalan, peretas bisa saja menggunakan bug versi yang lebih tua dan masih rentan pada driver. Untuk memutus kerentanan itu, sertifikat penandatanganan driver harus dicabut sehingga tidak mungkin memuat versi driver yang lebih lama.

RobbinHood bukan satu-satunya geng ransomware yang menggunakan berbagai trik untuk menonaktifkan atau memintas produk keamanan. Strain lain yang terlibat dalam perilaku serupa, termasuk Snatch (yang me-reboot PC dalam Safe Mode untuk menonaktifkan perangkat lunak AV mulai) dan Nemty (yang mematikan proses antivirus menggunakan utilitas taskkill).[]