Antivirus dan EDR Anda Sudah Dimatikan Sebelum Ransomware Masuk, Inilah yang Disebut EDR Killer

Organisasi Anda sudah membayar mahal untuk sistem keamanan terbaik, ada kamera CCTV, alarm canggih, dan penjaga pintu 24 jam. Lalu suatu malam, ada yang masuk. Bukan dari pintu depan. Bukan juga dengan memanjat pagar. Mereka masuk setelah lebih dulu mematikan diam-diam semua kamera, melumpuhkan alarm, dan menonaktifkan sistem akses pintu. Saat semuanya gelap, barulah mereka beraksi dengan leluasa.

Itulah cara kerja ransomware modern hari ini.

Selama bertahun-tahun, organisasi berinvestasi pada solusi Endpoint Detection and Response (EDR) sebagai benteng utama dari serangan siber. EDR dirancang untuk memantau aktivitas mencurigakan di perangkat secara real-time, mendeteksi anomali, dan merespons ancaman sebelum kerusakan terjadi. Di atas kertas, ini adalah lapisan pertahanan yang kuat.

Namun para pelaku ransomware tidak menyerang dari depan. Mereka menyerang pertahanan itu sendiri terlebih dahulu.

Pertahanan Kuat yang Diserang Lebih Dulu

Selama bertahun-tahun, organisasi berinvestasi pada Endpoint Detection and Response (EDR) sebagai benteng utama melawan serangan siber. EDR dirancang untuk memantau aktivitas perangkat secara real-time, mendeteksi anomali, dan merespons ancaman sebelum kerusakan terjadi. Di atas kertas, ini adalah pertahanan yang sulit ditembus.

Tetapi para pelaku ransomware tidak menyerang dari depan. Mereka menyerang sistem pertahanan itu sendiri terlebih dahulu, lalu masuk dengan tenang setelah "lampu" dimatikan.

Baca artikel : Pentingnya Peran Konsultan ISO bagi Perusahaan Anda, Ketahui Faktanya Sekarang!

Senjata Bernama EDR Killer

Tren ini punya nama: EDR Killer. Sebuah alat yang dirancang khusus untuk menonaktifkan atau melumpuhkan perangkat lunak keamanan endpoint sebelum payload ransomware dijalankan.

Sophos pertama kali mengungkap salah satu varian terkenal yang dinamai EDRKillShifter, digunakan oleh kelompok ransomware RansomHub. Sejak itu, evolusinya begitu cepat. Per Agustus 2025, satu generasi baru EDR Killer telah dipakai oleh setidaknya delapan kelompok ransomware sekaligus, RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx, dan INC. Bahkan ESET mencatat hampir 90 EDR Killer aktif beredar di lapangan.

Yang membuat ini mengkhawatirkan bukan hanya jumlahnya, tetapi cara kerjanya:

• Teknik BYOVD (Bring Your Own Vulnerable Driver). Penyerang membawa driver sah, dengan tanda tangan digital valid, yang punya celah keamanan. Karena drivernya sah, sistem keamanan tidak curiga. Padahal driver itulah yang dipakai untuk mendapatkan akses kernel dan mematikan EDR dari "dalam".
• Sertifikat dicuri atau kedaluwarsa. Banyak driver berbahaya ini ditandatangani dengan sertifikat hasil curian, sehingga lolos dari verifikasi awal.
• Obfuscation & self-decoding. Kode disembunyikan dan baru terbongkar saat dieksekusi di memori, membuatnya sangat sulit dideteksi antivirus tradisional.
• Targetnya merata. Vendor yang diserang meliputi Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, McAfee, hingga Webroot. Hampir tidak ada yang aman dari daftar incaran.

Lebih mengkhawatirkan lagi, sebagian EDR Killer terbaru menunjukkan jejak kode hasil bantuan AI, dengan pola trial-and-error untuk menemukan driver rentan yang cocok di sistem korban. Ekosistem kejahatan siber kini terorganisir layaknya bisnis: ada packer-as-a-service (HeartCrypt), ada affiliate model, ada framework yang dipakai bersama lintas geng.

Mengapa ini masalah serius bagi bisnis di Indonesia?

Banyak organisasi di Indonesia masih beroperasi dengan mindset lama: "Saya sudah pasang antivirus, sudah pasang EDR, sudah aman."

Faktanya, EDR Killer mengubah seluruh aturan main. Saat antivirus dan EDR Anda berhasil dilumpuhkan, satu-satunya yang berdiri antara penyerang dan seluruh data perusahaan Anda adalah:

• Disiplin manajemen akses (siapa boleh akses apa).
• Kontrol perubahan dan kontrol konfigurasi sistem.
• Monitoring perilaku di luar endpoint (network, identity, log).
• Prosedur respons insiden yang sudah teruji, bukan hanya tertulis.
• Backup yang benar-benar terisolasi dan terverifikasi bisa di-restore.

Semua poin di atas, perhatikan baik-baik, bukan masalah teknologi saja, tetapi masalah sistem manajemen.

Tools Bukan Strategi, Jawabanya sistem Strateginya

Di sinilah banyak organisasi salah arah. Mereka berbelanja teknologi keamanan, tetapi tidak membangun sistem manajemen keamanan informasi yang utuh. Saat EDR dilumpuhkan, tidak ada lapisan berikutnya yang siap menahan.

Standar internasional seperti ISO/IEC 27001 justru menjawab problem ini. Bukan dengan menambah satu produk lagi, melainkan dengan memastikan:

1. Manajemen risiko aset informasi dilakukan rutin, bukan sekali setahun saat audit.
2. Kontrol akses dan hak istimewa (privileged access) dikelola ketat, karena EDR Killer butuh akses admin untuk bekerja.
3. Manajemen patch dan kerentanan terjadwal, sehingga driver rentan tidak menjadi celah.
4. Backup, BCP, dan DRP diuji secara berkala, bukan hanya didokumentasikan.
5. Awareness karyawan ditingkatkan, karena initial access masih sering lewat phishing.
6. Incident response plan dilatihkan dengan simulasi, bukan hanya disimpan di laci.

EDR adalah satu lapisan. ISO 27001 dan sistem manajemen keamanan informasi adalah kerangka pertahanan berlapis yang membuat satu lapisan jatuh tidak otomatis berarti seluruh organisasi jatuh.

Pertanyaan untuk Anda, Pemilik dan Pimpinan Bisnis

Coba jawab dengan jujur:

• Jika hari ini EDR di kantor Anda mati selama 30 menit tanpa diketahui, apakah ada sistem lain yang akan menangkap aktivitas mencurigakan?
• Kapan terakhir kali tim Anda menguji restore data dari backup, bukan sekadar membackup?
• Apakah hak akses admin di perusahaan Anda diberikan seperlunya, atau dibagikan terlalu mudah?
• Apakah Anda punya prosedur respons insiden yang sudah pernah disimulasikan?

Jika satu saja jawabannya ragu, Anda sebenarnya sudah berada di area risiko yang sama dengan korban-korban ransomware yang viral di media.

Baca Artikel : IKD Sudah Diterapkan, Tapi Apakah Data Anda Sudah Aman? Risiko Besar di Balik Identitas Kependudukan Digital

Saatnya Membangun Pertahanan yang Lebih dari Sekadar Tools

Ransomware modern membuktikan satu hal: investasi pada teknologi tanpa sistem manajemen yang matang adalah investasi setengah jalan.

Mitra Berdaya membantu organisasi membangun sistem manajemen keamanan informasi berbasis ISO/IEC 27001, dari penilaian risiko, penyusunan kebijakan, hingga pendampingan menuju sertifikasi. Bukan sekadar untuk lolos audit, tetapi untuk memastikan ketika "lampu pertahanan" Anda dipadamkan, masih ada lapisan-lapisan lain yang berdiri tegak.

Jika organisasi Anda memerlukan arahan dari seorang konsultan ISO dan IKASANDI dalam proses sertifikasi, PT Mitra Berdaya Optima siap membantu Anda dengan setulus hati. Konsultan kami memiliki pengalaman dengan 500+ klien dari berbagai sektor industri. Segera hubungi kami dengan mengklik link berikut untuk konsultasi gratis dan dapatkan proses sertifikasi yang menyenangkan