
Symantec Threat Hunter Team mengungkap ransomware baru bernama GodDamn yang menggunakan driver yang ditandatangani bernama PoisonX untuk menonaktifkan software keamanan di sistem korban. Ini menandai evolusi lanjutan dari keluarga ransomware Beast yang sudah ada sebelumnya.
Apa yang Terjadi?
GodDamn adalah varian lanjutan dari ransomware Beast yang menambahkan teknik baru yang sangat berbahaya: penggunaan PoisonX — sebuah driver kernel yang sudah ditandatangani secara digital — untuk menonaktifkan software keamanan sebelum enkripsi dimulai.
Yang membuat GodDamn berbeda:
- Menggunakan driver yang ditandatangani (signed driver) untuk bypass pertahanan
- PoisonX beroperasi di level kernel untuk menonaktifkan antimalware
- Mampu melewati tamper protection pada beberapa solusi keamanan
- Efektif melawan EDR dan antivirus modern
Detil Teknis
- Nama malware: GodDamn ransomware
- Keluarga asal: Evolusi dari Beast ransomware
- Technique: BYOVD (Bring Your Own Vulnerable Driver) menggunakan PoisonX
- Target defensi: Software keamanan endpoint (EDR, antivirus)
- Signing: Menggunakan driver yang ditandatangani untuk bypass detection
- Metode: Loading driver berbahaya ke level kernel untuk menonaktifkan proteksi
Dampak terhadap Indonesia
Teknik BYOVD seperti yang digunakan GodDamn semakin umum di kalangan penjahat siber Indonesia. Banyak organisasi Indonesia yang mengandalkan EDR dan antivirus tanpa mengetahui kerentanan terhadap teknik driver signing ini. Penting untuk memastikan software keamanan memiliki proteksi terhadap BYOVD dan membatasi pemuatan driver yang tidak dikenal.
Analisa Retasan
Analisa: GodDamn menunjukkan tren yang semakin mengkhawatirkan: ransomware tidak hanya mengenkripsi, tetapi juga aktif “membutakan” pertahanan terlebih dahulu. Penggunaan driver yang ditandatangani membuat serangan ini sangat sulit dideteksi oleh solusi keamanan konvensional. Organisasi Indonesia harus memastikan endpoint protection mereka memiliki fitur kernel-level protection dan membatasi pemuatan driver dari sumber yang tidak tepercaya.
Sumber: SecurityAffairs
