EDRSilencer, alat yang biasa digunakan “red actor” untuk mencoba mencari celah keamanan secara legal digunakan peretas untuk lancarkan serangan ilegal.
Salah satu cara perusahaan untuk memeriksa sistem keamanan digital mereka adalah dengan menyewa tim “red actor”. Dengan menyewa tim tersebut, yang berpura-pura menjadi musuh perusahaan, mereka akan mencoba menyerang dengan berbagai alat.
Salah satunya adalah EDRSilencer, yang sudah digunakan selama bertahun-tahun di industri. Namun, belakangan ini diketahui alat tersebut telah digunakan para peretas untuk mencoba mencuri data yang dimiliki oleh perusahaan secara ilegal.
Alat tersebut kini digunakan oleh “aktor jahat” dalam upaya untuk membisukan sistem keamanan siber. Dengan kemampuan untuk memblokir alat deteksi keamanan seperti Microsoft Defender dan TrendMicro Apex One, ancaman ini meningkatkan potensi serangan ransomware dan gangguan operasional.
EDRSilencer adalah alat sumber terbuka yang digunakan untuk mendeteksi dan merespons ancaman titik akhir. Namun, pelaku ancaman kini menggunakannya untuk melemahkan keamanan sistem dengan cara memblokir lalu lintas jaringan yang dipantau oleh sistem deteksi keamanan. Alat ini mampu memblokir hingga 16 alat EDR umum, termasuk beberapa perangkat keamanan terkemuka.
“Kemunculan EDRSilencer sebagai sarana untuk menghindari deteksi titik akhir dan sistem respons menandai perubahan signifikan dalam taktik yang digunakan oleh aktor ancaman,” tulis peneliti TrendMicro.
Untuk diketahui, alat ini awalnya dikembangkan untuk membantu “tim merah” dalam simulasi serangan guna menguji kekuatan sistem keamanan organisasi. Namun, saat ini aktor jahat mulai memanfaatkannya untuk menyerang sistem keamanan dan mencegah peringatan keamanan dari dijalankan.
Dengan memanfaatkan Windows Filtering Platform (WFP), EDRSilencer dapat memantau, memblokir, dan memodifikasi lalu lintas jaringan.
Jika aktor ancaman berhasil menggunakan EDRSilencer, mereka dapat menonaktifkan komunikasi antara alat keamanan dan server manajemen. Ini tidak hanya akan membisukan peringatan keamanan, tetapi juga mencegah laporan telemetri yang penting untuk mendeteksi aktivitas mencurigakan.
“Dengan menonaktifkan komunikasi keamanan yang penting, itu meningkatkan siluman aktivitas jahat, meningkatkan potensi serangan ransomware yang berhasil dan gangguan operasional,” tambah peneliti TrendMicro.
Para peneliti memperingatkan bahwa organisasi harus lebih waspada terhadap ancaman ini dan segera meningkatkan strategi deteksi ancaman serta sistem perburuan ancaman mereka. Langkah ini penting untuk menghadapi alat penghindaran seperti EDRSilencer.
Kemunculan EDRSilencer menunjukkan bahwa ancaman siber terus berkembang dengan cara yang semakin canggih. Organisasi harus segera meningkatkan kemampuan deteksi dan respons mereka, karena ancaman ini dapat berpotensi menyebabkan serangan ransomware yang merugikan dan gangguan operasional yang signifikan.