Kelompok peretas di balik ransomware Gentlemen baru-baru ini dilaporkan menggunakan alat canggih bernama GentleKiller untuk menonaktifkan perangkat lunak keamanan pada sistem target. Serangan ini menandai eskalasi baru dalam taktik peretasan yang semakin sulit dideteksi oleh pertahanan konvensional. Melalui penggunaan alat ini, para penyerang mampu melumpuhkan berbagai mekanisme proteksi yang seharusnya menjaga integritas data perusahaan.
Dalam melancarkan aksinya, kelompok ini memanfaatkan teknik "Bring Your Own Vulnerable Driver" (BYOVD). Dengan memuat driver pihak ketiga yang sah namun memiliki celah keamanan, malware tersebut dapat memperoleh hak akses tingkat kernel pada sistem operasi. Hal ini memungkinkan mereka untuk memintas perlindungan sistem operasi modern dan mematikan proses keamanan yang sedang berjalan secara paksa.
GentleKiller secara spesifik dirancang untuk menargetkan lebih dari 400 proses yang terafiliasi dengan hampir 50 vendor keamanan terkemuka di dunia. Daftar targetnya mencakup solusi keamanan dari raksasa teknologi seperti Microsoft, CrowdStrike, hingga SentinelOne. Dengan melumpuhkan aplikasi-aplikasi ini, para penyerang memiliki kendali penuh untuk menjalankan enkripsi data tanpa hambatan.
Demi menjaga persistensi dan menghindari analisis forensik, pengembang ransomware Gentlemen menggunakan packer komersial serta tanda tangan digital curian untuk menyamarkan kode berbahaya mereka. Strategi ini dirancang untuk menipu sistem deteksi agar menganggap malware tersebut sebagai perangkat lunak yang sah. Selain GentleKiller, kelompok ini juga mengintegrasikan alat eksternal seperti HexKiller dan ThrottleBlood sebagai redundansi jika alat utama mereka gagal berfungsi.
Bukti terbaru menunjukkan bahwa para penyerang melakukan pengintaian secara spesifik terhadap organisasi yang menggunakan konfigurasi VPN FortiGate. Celah pada perangkat VPN ini sering kali menjadi pintu masuk awal bagi mereka untuk melakukan penetrasi ke jaringan internal perusahaan sebelum menyebarkan ransomware. Pola serangan yang terorganisir ini mengindikasikan bahwa kelompok tersebut memiliki tingkat pemahaman teknis yang sangat mendalam.
Secara keseluruhan, operasi yang dilakukan oleh grup Gentlemen menunjukkan evolusi ancaman siber yang semakin memanfaatkan celah sistem yang sah. Penggunaan teknik BYOVD dan berbagai alat EDR killer menegaskan pentingnya bagi organisasi untuk tidak hanya mengandalkan perangkat lunak keamanan standar, tetapi juga melakukan pembaruan berkala pada driver dan memantau konfigurasi jaringan secara ketat.