• Jakarta - Indonesia
  • June 7, 2025

Butuh Dua Pihak: Laporan Sophos Active Adversary 2025

Tahun kelima membawa pemahaman yang lebih dalam tentang musuh di gerbang, dan ketegangan di dalamnya – serta hadiah ulang tahun dari kami untuk Anda

Lima Tahun Sophos Active Adversary Report

Tahun ini menandai ulang tahun kelima Laporan Sophos Active Adversary. Laporan ini lahir dari pertanyaan sederhana: Apa yang terjadi setelah penyerang berhasil membobol sistem perusahaan? Dengan memahami taktik lawan, para defender bisa lebih siap menghadapi serangan yang sedang berlangsung. (Tak heran laporan ini dulunya bernama The Active Adversary Playbook.)

Saat kami sedang membahas bagaimana menciptakan lingkungan pengujian untuk menjawab pertanyaan tersebut, Sophos bersiap meluncurkan layanan Incident Response (IR). Maka lahirlah proyek lintas tim ini.

Selama lima tahun, kami telah menyajikan data—awalnya hanya dari tim IR, lalu ditambah dari tim Managed Detection and Response (MDR)—serta menganalisis maknanya. Untuk menandai lima tahun perjalanan ini, kami memberikan akses terbuka ke dataset tahun 2024, guna mendorong percakapan yang lebih luas. (Link ke repositori GitHub dapat ditemukan di akhir laporan.)

Sorotan Utama

  • Perbedaan data MDR dan IR menunjukkan secara statistik nilai dari pemantauan aktif.
  • Kredensial yang disusupi masih menjadi jalur awal paling umum. MFA wajib!
  • Waktu tinggal (dwell time) turun lagi!
  • Penyalahgunaan LOLBins oleh penyerang meningkat drastis.
  • Ransomware jarak jauh menjadi tantangan baru – sekaligus peluang – bagi sistem yang dikelola secara aktif.
  • Dampak serangan menunjukkan pelajaran penting dalam deteksi.

Sumber Data

Laporan ini didasarkan pada 413 kasus yang ditangani oleh dua tim Sophos di tahun 2024:

  1. Tim Incident Response (IR)
  2. Tim MDR (untuk pelanggan dengan layanan Sophos yang dikelola)

Sebanyak 84% organisasi dalam dataset ini memiliki kurang dari 1.000 karyawan, dan 53% bahkan di bawah 250 karyawan.

Sektor industri paling terdampak:

  1. Manufaktur (turun dari 25% di 2023 menjadi 16% di 2024)
  2. Pendidikan (10%)
  3. Konstruksi (8%)
  4. Teknologi Informasi (7%)
  5. Kesehatan (6%)

IR vs MDR: Apa Bedanya?

IR digunakan oleh organisasi yang tidak memiliki MDR, biasanya menghubungi Sophos setelah insiden terjadi.
MDR adalah pelanggan aktif yang sudah memiliki layanan pemantauan dan logging, dan Sophos sering kali menjadi pihak yang pertama memberi peringatan adanya ancaman.

Perbedaan Serangan: Ransomware dan Network Breach

Ransomware mendominasi dalam data IR (65%), tapi di data MDR, network breaches lebih umum (56% vs ransomware 29%).

  • Ransomware tetap menjadi penyebab utama pada pelanggan IR karena kerusakannya sulit ditangani tanpa bantuan eksternal.
  • Pada MDR, karena ada deteksi dini, ransomware sering digagalkan lebih awal dan diklasifikasikan sebagai network breach.

Waktu Tinggal (Dwell Time)

  • Rata-rata median 2024: hanya 2 hari
  • IR: 7 hari (ransomware 4 hari, non-ransomware 11,5 hari)
  • MDR: lebih cepat (ransomware 3 hari, non-ransomware 1 hari)

Deteksi lebih cepat = mitigasi lebih cepat = kerusakan lebih kecil.

Akar Masalah (Root Cause)

Penyebab utama:

  1. Kredensial disusupi (41%)
  2. Eksploitasi kerentanan (22%)
  3. Brute force (21%) – meningkat signifikan di data MDR

Kenapa bisa begitu?

  • IR: Data log sering hilang (66% kasus IR kekurangan log)
  • MDR: Logging lebih lengkap, jadi analisis lebih akurat

Teknik dan Taktik Penyerang (TTPs)

  • Tingkat kesamaan 60–80% antara data MDR dan IR pada alat, LOLBins, dan teknik lainnya.
  • Tools populer disalahgunakan: AnyDesk, WinRAR, SoftPerfect Network Scanner, Advanced IP Scanner
  • LOLBin yang paling disalahgunakan:exe, powershell.exe, wevtutil.exe, rundll32.exe

Catatan:

  • exe muncul di 2024 sebagai tool baru yang disalahgunakan untuk membuka file berisi kata sandi.
  • Deteksi bisa ditingkatkan dengan menganalisis cara peluncuran tool (GUI vs command line).

RDP: Masih Rentan

  • RDP digunakan dalam 84% kasus
  • 67% hanya untuk lateral movement internal
  • Saran deteksi:
    • Gunakan event ID 4624/4625 untuk deteksi login berhasil/gagal
    • Deteksi zona waktu aneh (contoh: log masuk dari zona UTC+3 di jaringan lokal UTC-6)
    • Waspadai nama perangkat yang aneh seperti “kali” (muncul di 6% kasus)

Atribusi dan Lanskap Ransomware

  • Setelah penindakan terhadap LockBit awal 2024, tidak ada pelaku dominan.
  • Akira memimpin sebagian tahun, tapi Fog menyalip di akhir tahun.
  • LockBit tetap muncul di posisi ketiga meski aktivitasnya berhenti di paruh kedua.

LOLBin dan Penyalahgunaan Tools

  • Jumlah LOLBin unik meningkat 126% dibanding 2023
  • Tools seperti Notepad dan PowerShell masih disalahgunakan untuk eksplorasi jaringan dan file kredensial
  • Penjahat siber lebih suka alat yang:
    • Tidak mencurigakan
    • Sudah tersedia di sistem (living-off-the-land)
  • 50% dari 20 tool paling sering disalahgunakan adalah tools enumerasi

Kesimpulan: Pertahanan Berlapis dan Deteksi Dini

Laporan ini menunjukkan pentingnya:

  • Pemantauan aktif (MDR)
  • Logging yang memadai
  • Penerapan MFA
  • Pemahaman konteks penggunaan alat dan sistem

Mendeteksi sinyal lemah secara terpisah mungkin tidak efektif, tetapi menggabungkannya bisa menghasilkan sinyal kuat. Inilah esensi dari pertahanan berlapis (defense in depth).

Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!