Lanskap Ransomware-as-a-Service (RaaS) tengah mengalami pergeseran paradigma operasional. Sindikat yang dikenal sebagai The Gentlemen kini secara aktif mengembangkan dan memelihara rangkaian persenjataan pembunuh Endpoint Detection and Response (EDR). Alih-alih membiarkan afiliasi mereka mencari celah sendiri, sindikat ini mendistribusikan alat pelumpuh pertahanan yang siap pakai sebelum muatan enkripsi utama disebarkan.

Sejak kemunculannya pada Maret 2025, The Gentlemen melesat tajam menjadi salah satu grup ransomware paling aktif. Berdasarkan data telemetri dari Ransomware.live, grup ini telah mengklaim 504 korban, dengan konsentrasi serangan tertinggi berada di Asia Tenggara, Amerika Selatan, dan Eropa Barat. Investigasi dari jurnalis keamanan Brian Krebs dan firma PRODAFT mengungkap bahwa operasi ini dipimpin oleh pria asal Rusia berusia 36 tahun, Alexander Andreevich Yapaev (alias hastalamuerte), yang sebelumnya merupakan afiliasi dari skema peretasan Qilin.

Pakar keamanan ESET, Jakub Souček, menyoroti The Gentlemen sebagai salah satu grup RaaS yang paling gesit secara teknis. Mereka memiliki kemampuan untuk mengoperasionalkan eksploitasi Proof-of-Concept (PoC) secara luar biasa cepat, sering kali hanya dalam hitungan hari setelah diekspos ke publik.

Infrastruktur pelumpuh EDR mereka berpusat pada kerangka kerja yang dijuluki GentleKiller. Untuk memastikan alat ini lolos dari deteksi, pengembang menggunakan pelindung binary (seperti Enigma atau Themida) dan memalsukan identitas vendor keamanan siber papan atas—lengkap dengan informasi versi, tanda tangan digital, dan ikon aplikasi tiruan.

Baca Juga:
Eksploitasi Perangkat Keras "usbliter8" Tembus Batas SecureROM Apple A12 dan A13

GentleKiller dirancang untuk memburu 400 proses sistem yang berasosiasi dengan 48 program keamanan berbeda. Alat ini hadir dalam delapan varian yang masing-masing mengeksploitasi cacat Bring Your Own Vulnerable Driver (BYOVD).

Daftar Driver yang Dieksploitasi oleh The Gentlemen:

Di luar GentleKiller, grup ini juga mengadopsi alat pihak ketiga atau yang telah bocor ke publik, meliputi:

• HexKiller (googleApiUtil64.sys): Sebelumnya eksklusif milik geng Warlock.
• ThrottleBlood (ThrottleBlood.sys): Digunakan oleh afiliasi MedusaLocker dan DragonForce.
• HavocKiller / HwAudKiller (havoc.sys).

Sebagai amunisi tambahan, ESET juga mendeteksi perangkat pencuri kredensial berbasis bahasa Rust berkode OxideHarvest (alias buildx641). Alat ini secara spesifik mengekstraksi data sesi dari berbagai peramban web modern termasuk Chrome, Edge, Brave, Vivaldi, Firefox, hingga IceCat.

Maraknya taktik BYOVD tidak hanya mengancam perangkat lunak EDR, tetapi juga arsitektur fundamental PC keras. Secara paralel, CERT Coordination Center (CERT/CC) baru saja mengeluarkan peringatan keamanan kritis mengenai eksploitasi BYOVD yang menyasar aplikasi UEFI yang ditandatangani vendor.

Kerentanan ini memungkinkan penyerang untuk mem-bypass fitur Secure Boot dan mengeksekusi kode arbitrer pada fase pra-boot, tepat sebelum sistem operasi dimuat. Aplikasi yang terdampak berasal dari manufaktur besar seperti Acer, AMD, ASUS, ECS, Getac, GIGABYTE, Toshiba, dan Uniwill.

Laporan ESET mengenai sentralisasi alat pelumpuh EDR oleh The Gentlemen mendemonstrasikan evolusi komersial yang mengerikan di pasar gelap siber. Dengan menurunkan ambang batas keterampilan (entry barrier), peretas pemula yang menjadi afiliasi tidak perlu lagi memahami kernel Windows; mereka cukup mengeksekusi GentleKiller, dan pertahanan berlapis korporasi target akan runtuh seketika.

Tiga Langkah Mitigasi Prioritas untuk Tim Infrastruktur:

1. Blokade Eksekusi BYOVD: Terapkan kebijakan Windows Defender Application Control (WDAC) dan aktifkan Microsoft Vulnerable Driver Blocklist secara mutlak. Sistem operasi harus menolak pemuatan setiap driver yang sudah diketahui rentan, meskipun memiliki tanda tangan digital yang sah dari vendor (seperti driver Valorant atau Kaspersky lama).
2. Pemantauan Anomali Proses Sistem: Deteksi EDR tidak boleh hanya mengandalkan signature fail. Pusat Operasi Keamanan (SOC) harus membunyikan alarm kritis (Critical Alert) jika terdapat proses tidak wajar yang mencoba menghentikan, mencopot pemasangan, atau mengubah kunci registri milik agen keamanan (security agent) itu sendiri.
3. Pembaruan DBX UEFI Mutlak: Menindaklanjuti peringatan CERT/CC, administrator sistem wajib mendistribusikan pembaruan UEFI Forbidden Signature Database (DBX) ke seluruh armada endpoint untuk mencabut kepercayaan dari binary vendor yang rentan di fase boot.

Kehadiran EDR terbaik di dunia akan menjadi tidak berarti jika peretas dapat membawa driver administrator mereka sendiri untuk menonaktifkannya secara paksa dari tingkat kernel.