Ancaman baru mengikuti jejak Storm-1811: melakukan rekayasa sosial melalui vishing dan email bombing untuk mengelabui karyawan, kali ini dengan meniru panggilan dari help desk perusahaan. Ransomware biasanya merupakan kejahatan yang memanfaatkan peluang. Penyerang umumnya menyerang melalui kerentanan atau kelemahan keamanan yang mudah ditemukan—seperti perangkat lunak yang belum diperbarui, perangkat jaringan yang rentan, atau port VPN masuk yang tidak dilindungi autentikasi multifaktor. Namun, beberapa serangan tampak jauh lebih terarah dan melibatkan pengintaian mendalam serta identifikasi karyawan spesifik sebagai target. Sophos telah melacak beberapa aktor ransomware yang menggunakan pola serangan yang pertama kali dilaporkan oleh Microsoft pada Mei 2024, terkait kelompok ancaman bernama Storm-1811. Dalam pola ini, pelaku menyerang dengan “email bombing” untuk membanjiri email karyawan target dengan pesan tak diinginkan, lalu melakukan panggilan suara atau video melalui Microsoft Teams dengan menyamar sebagai tim dukungan teknis untuk mendapatkan akses jarak jauh ke komputer korban. Antara November 2024 hingga pertengahan Januari 2025, Sophos mendokumentasikan dua klaster ancaman berbeda yang menggunakan teknik ini dalam lebih dari 15 insiden. Penelusuran lebih lanjut menemukan lebih dari 55 upaya serangan menggunakan metode serupa. Pada kuartal pertama 2025, tim Tanggap Insiden Sophos membantu sebuah organisasi yang menjadi target aktor ransomware 3AM. Polanya mirip dengan serangan email bombing lainnya, namun terdapat sejumlah elemen unik yang membedakan serangan ini dari insiden vishing Microsoft Teams sebelumnya. Dalam kasus ini, pelaku menggunakan panggilan telepon yang menyamar dengan nomor milik departemen TI internal organisasi. Serangan ini juga melibatkan pemasangan mesin virtual ke komputer yang telah dikompromikan, memberikan celah awal yang tersembunyi dari perangkat lunak perlindungan endpoint. Serangan ransomware berhasil digagalkan, namun pelaku dapat bertahan di jaringan selama sembilan hari sebelum mencoba meluncurkan serangan ransomware dan berhasil mencuri data dari jaringan organisasi. Rantai Serangan Aktor 3AM Ransomware Pra-serangan: Aktor 3AM melakukan pengintaian terhadap organisasi, mengumpulkan alamat email dan nomor telepon departemen TI internal untuk menyusun serangan secara spesifik. Tentang 3AM Ransomware: Pertama kali dilaporkan oleh Symantec pada September 2023, 3AM diyakini sebagai rebranding dari ransomware BlackSuit/Royal, yang terhubung ke salah satu “tim inti” dari kelompok Conti yang telah dibubarkan. Teknik vishing yang digunakan oleh 3AM dan STAC5777 dibahas dalam bocoran percakapan internal BlackBasta, termasuk skrip lengkap vishing yang dipublikasikan pada Mei 2024. Sekitar waktu itu juga, mereka mulai membeli akun Microsoft Teams dan menguji alat open-source bernama “TeamsPhisher.” Hari 1–2: Kompromi Awal dan Pemasangan Backdoor Email bombing digunakan dengan mendaftarkan email korban ke banyak milis. Dalam 3 menit, karyawan target menerima 24 email spam. Penyerang menelepon menggunakan VoIP dengan menyamar sebagai departemen TI. Korban diarahkan untuk memberikan akses jarak jauh melalui Microsoft Quick Assist. Situs palsu (msquick[.]link) digunakan untuk mengarahkan korban ke file arsip yang mengandung malware: UpdatePackage_excic.zip. Arsip berisi: Skrip VBS (Update.vbs) Emulator QEMU Disk virtual Windows 7 Trojan QDoor yang sudah terpasang Komunikasi C2 dilakukan lewat alamat IP di Lithuania (88.118.167[.]239:443). Penemuan, Gerakan Lateral, dan Persistensi Akun layanan domain dikompromikan. Menggunakan WMIC dan PowerShell, penyerang membuat akun admin lokal. Menggunakan akun baru untuk RDP dan memasang alat manajemen jarak jauh (XEOXRemote). Akun admin domain juga dikompromikan (tanpa bukti forensik cara komprominya). Perintah pengintaian dijalankan, hasilnya disimpan dalam file pc.txt, dir.txt, dan a1.txt. File d.bat digunakan untuk mengaktifkan RDP di banyak host. Hari 3: Upaya Evasion Gagal Sophos XDR terpasang di semua perangkat, kecuali satu server. MFA aktif untuk semua sesi RDP. Penyerang gagal menonaktifkan MFA dengan berbagai cara: Menghapus aplikasi Duo dengan WMIC Menjadwalkan Tugas Sistem untuk menghapus MFA Menggunakan perintah MsiExec untuk menghapus berdasarkan Product ID Penyerang juga gagal mematikan Sophos dengan alat EDR killer (EDR Sandblaster). Eksfiltrasi Data Menggunakan alat sinkronisasi cloud GoodSync, pelaku mencuri sekitar 868 GB data ke penyimpanan cloud Backblaze. Hari 5: Upaya Pemasangan Backdoor Dihentikan Penyerang memasang Syncro Live Agent, tapi tidak digunakan. Dua salinan trojan QDoor disalin ke dua server: vol.exe dan svchost.exe Keduanya berhasil diblokir oleh Sophos sebagai malware. Hari 9: Serangan Ransomware Diluncurkan Penyerang menyerang satu server tanpa perlindungan endpoint. Binary ransomware disimpan sebagai C:\L.exe dan 1.bat untuk menyerang 88 komputer di jaringan. bat mencoba memetakan drive C ke tiap host target: batch CopyEdit start 1l L.exe -k [ransomware portal access key] -s 10 -m net -p \\[host IP address]\c$ Fitur CryptoGuard Sophos menghentikan enkripsi ransomware di host yang terlindungi. Dampak terbatas pada perangkat tanpa perlindungan endpoint. Catatan Ransom 3AM Gambar 4: Isi catatan permintaan tebusan dari 3AM. Kesimpulan Langkah-langkah mitigasi yang direkomendasikan: (Paragraf kesimpulan yang lengkap belum disediakan dalam teks asli. Jika Anda ingin, saya bisa bantu membuat ringkasan atau rekomendasi keamanan berdasarkan isi laporan di atas. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!
Tag: qfirewall indonesia
Sophos Bermitra dengan Capsule dalam Program Asuransi Siber Baru
Kemitraan ini menghargai kontrol keamanan nyata yang dapat diamati, sekaligus menghilangkan hambatan tradisional terhadap cakupan asuransi. Sophos dengan bangga mengumumkan kemitraan barunya dengan Capsule, broker asuransi spesialis, yang mempermudah akses organisasi di Inggris terhadap perlindungan asuransi siber saat mereka menggunakan solusi keamanan siber Sophos melalui penyedia layanan terkelola (MSP). Pengguna Sophos akan mendapatkan sejumlah manfaat langsung, seperti potongan premi otomatis, proses aplikasi yang sederhana, cakupan perlindungan yang luas, serta penggunaan layanan tanggap insiden Sophos yang telah disetujui sebelumnya. Di sisi lain, MSP Sophos dapat lebih mudah mendukung kebutuhan asuransi siber pelanggan mereka dengan solusi terpercaya. Mengatasi Tantangan Asuransi Siber untuk UKM Permintaan asuransi siber terus meningkat, namun banyak usaha kecil dan menengah (UKM) kesulitan menghadapi: Proses aplikasi yang panjang Persyaratan teknis yang rumit Solusi yang tidak cocok dengan lingkungan TI mereka Menurut riset Sophos, 99% MSP mengalami peningkatan permintaan dari pelanggan yang membutuhkan dukungan dalam memenuhi persyaratan asuransi siber. Untuk menjawab tantangan tersebut, Sophos dan Capsule menghadirkan solusi yang dirancang khusus untuk kebutuhan MSP dan pelanggan mereka. Apa Saja yang Tersedia dalam Program Ini? Solusi digital dari Capsule bekerja sama dengan perusahaan asuransi untuk memudahkan pelanggan Sophos memperoleh perlindungan yang mereka butuhkan: ✅ Diskon khusus bagi organisasi yang menggunakan produk dan layanan Sophos, termasuk Sophos MDR (Managed Detection and Response) ✅ Proses aplikasi sederhana dengan estimasi harga awal yang bisa diperoleh hanya dalam hitungan menit ✅ Transparansi harga dari tahap awal ✅ Perlindungan menyeluruh, termasuk biaya pemulihan pasca insiden, dukungan krisis, dan layanan pelanggan ✅ Penggunaan layanan tanggap insiden Sophos yang telah disetujui sebelumnya saat terjadi insiden, sehingga pemulihan bisa dilakukan dengan cepat Kolaborasi Strategis untuk Menutup Kesenjangan Perlindungan Capsule dan Sophos juga berkomitmen untuk meningkatkan kesadaran tentang risiko siber dan mengurangi kesenjangan perlindungan asuransi. Capsule telah menjadi mitra asuransi resmi Sophos di Inggris, dan telah terbukti mampu menerjemahkan kontrol keamanan Sophos menjadi cakupan asuransi yang lebih baik dan premi yang lebih hemat. Pernyataan dari Capsule: “Keamanan siber dan asuransi siber tidak bisa lagi berjalan secara terpisah — keduanya harus bersinergi untuk mengurangi risiko secara nyata,” ujar Liam Green, Co-founder & COO Capsule. “Kemitraan ini dibangun atas gagasan sederhana: bisnis yang aktif mengurangi risiko siber mereka harus mendapat penghargaan dari perusahaan asuransi. Kami ingin asuransi menjadi pemberdaya, bukan penghalang — mudah diakses, relevan, dan bisa diandalkan saat dibutuhkan. Dengan menggabungkan intelijen ancaman Sophos dan keahlian broking kami, kami menghadirkan solusi asuransi siber yang praktis dan sesuai dengan kebutuhan pelanggan.” Pernyataan dari Sophos: “Sophos telah menjadi penyedia keamanan siber pilihan bagi MSP di Inggris, dengan portofolio solusi terlengkap di pasar,” kata Chris Bell, SVP Worldwide Channels and Alliances di Sophos. “Melalui kemitraan ini, kami menambah manfaat bagi pelanggan yang menggunakan Sophos melalui MSP, dan mempermudah MSP mendukung kebutuhan asuransi pelanggan mereka. Diskon otomatis untuk penggunaan kontrol Sophos, termasuk MDR, memberi penghargaan atas pengurangan risiko secara proaktif. Dukungan tanggap insiden yang ramah bagi MSP juga memberikan ketenangan pikiran.” Data yang Membuktikan Keunggulan MDR Sophos Menurut riset klaim asuransi Sophos: Pengguna MDR mengajukan klaim 97,5% lebih sedikit dibanding pengguna deteksi endpoint biasa. 47% pengguna MDR pulih sepenuhnya dalam waktu satu minggu, dibanding hanya: 18% pengguna endpoint protection, dan 27% pengguna EDR/XDR. Kesimpulan: Dengan kemitraan ini, Sophos dan Capsule mempercepat transformasi asuransi siber — menjadikannya lebih mudah diakses, efisien, dan relevan dengan risiko nyata yang dihadapi bisnis saat ini. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!
Sophos MDR: Tindakan Respons Baru oleh Analis untuk Microsoft 365
Kemampuan baru yang kuat memungkinkan analis Sophos MDR merespons serangan pada M365 atas nama Anda. Ditulis oleh Paul Murray — 15 Mei 2025 Produk & Layanan: Managed Detection and Response (MDR), Microsoft Security Operations Bisnis dari segala ukuran semakin bergantung pada alat produktivitas seperti Microsoft 365 — dan para penyerang memanfaatkan hal ini. Serangan Business Email Compromise (BEC) dan pengambilalihan akun kian marak, dengan pelaku kejahatan siber mengakses lingkungan M365 menggunakan teknik yang mungkin lolos dari deteksi teknologi semata. Organisasi membutuhkan visibilitas 24/7 dan pusat operasi keamanan (SOC) yang terisi penuh untuk melindungi diri secara efektif dari serangan seperti ini — sesuatu yang sulit dicapai bagi banyak bisnis dengan sumber daya terbatas. Sophos MDR menyediakan tenaga ahli, proses, dan teknologi untuk mendeteksi, menyelidiki, dan merespons ancaman yang menargetkan Microsoft 365 secara efektif. Dengan integrasi yang siap pakai dan aturan deteksi eksklusif, Sophos MDR berhasil menggagalkan hampir 5.000 serangan pada lingkungan Microsoft 365 pelanggan kami hanya dalam kuartal terakhir. Kami terus berinovasi untuk memperkuat pertahanan Anda. Kini, layanan Sophos MDR semakin kuat dengan hadirnya fitur respons terbaru khusus untuk Microsoft 365. Tindakan Respons Baru untuk Microsoft 365 Kemampuan untuk merespons secara cepat terhadap insiden siber sangat penting — semakin cepat serangan terdeteksi, diisolasi, dan dinetralisasi, semakin sedikit kerusakan yang ditimbulkan. Respons cepat berarti mengurangi kerugian finansial, kerusakan reputasi, serta gangguan pada operasional bisnis. Ini juga dapat mencegah pelanggaran data lanjutan dan meminimalisasi penyebaran informasi sensitif. Saat serangan terdeteksi di lingkungan Microsoft 365 Anda, analis Sophos MDR kini dapat langsung mengeksekusi berbagai tindakan respons atas nama Anda — mengisolasi ancaman dengan cepat dan membebaskan tim internal untuk fokus pada operasional bisnis. Tindakan Respons yang Kini Tersedia untuk Microsoft 365 🔧 Blokir/Aktifkan Login Pengguna Analis Sophos MDR dapat mengunci akun pengguna untuk mencegah penyerang menggunakan kredensial curian guna mengakses layanan Microsoft 365 dan sumber daya Azure. Setelah proses pembersihan selesai, akses dapat dikembalikan dalam hitungan detik. 🔧 Akhiri Sesi Pengguna Saat Ini Dengan mencabut seluruh sesi aktif pengguna, analis dapat segera mengusir penyerang yang sudah mendapatkan akses ke akun dan mencegah mereka menggunakan token sesi yang telah dicuri. 🔧 Nonaktifkan Aturan Kotak Masuk yang Mencurigakan Penyerang sering membuat aturan email otomatis dalam upaya BEC, misalnya memindahkan atau menghapus email yang dapat memperingatkan pengguna. Analis Sophos MDR dapat menonaktifkan aturan ini untuk mengembalikan kendali atas kotak masuk pengguna. Pengaturan Mudah dan Mode Respons yang Fleksibel Layanan Sophos MDR dapat disesuaikan dengan kebutuhan Anda, dengan berbagai tingkat layanan dan mode respons terhadap ancaman. Kami dapat mengambil alih sepenuhnya penanganan insiden, atau bekerja sama dengan tim Anda dengan memberi notifikasi dan panduan detail. Fitur respons baru untuk Microsoft 365 ini tersedia di semua paket layanan Sophos MDR tanpa biaya tambahan, dan dapat diaktifkan melalui wizard sederhana di konsol manajemen cloud Sophos Central. Pilihan Mode Respons Ancaman Sophos MDR memberi Anda kontrol penuh atas bagaimana tim kami berinteraksi saat terjadi insiden siber: Mode “Authorize”: Tim Sophos langsung mengambil tindakan tanpa perlu keterlibatan aktif Anda, dan akan memberi laporan setelahnya. Dengan integrasi Microsoft 365 yang baru, tim akan segera menjalankan tindakan yang diperlukan untuk respons paling efisien. Mode “Collaborate”: Tim hanya melakukan investigasi, dan tindakan respons baru akan dilakukan setelah Anda menyetujui. Anda juga dapat memilih agar tim beralih ke mode “Authorize” jika Anda tidak dapat dihubungi saat insiden terjadi. Layanan MDR Terkuat untuk Lingkungan Microsoft Sophos MDR melindungi lebih dari 30.000 organisasi di seluruh dunia — lebih banyak daripada penyedia MDR lainnya. Dalam laporan Gartner Voice of the Customer 2024 untuk layanan Managed Detection and Response, Sophos mendapatkan ulasan terbanyak dan skor 4,9 dari 5,0 berdasarkan ulasan pelanggan. Banyak dari bisnis ini telah berinvestasi dalam ekosistem Microsoft, dan mengandalkan Sophos MDR untuk melawan serangan canggih yang tidak bisa dihentikan oleh teknologi saja. Tingkatkan ROI investasi Microsoft Anda hari ini dengan Sophos MDR. Kuatkan pertahanan Anda. Wujudkan keamanan yang terkelola sepenuhnya. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!
Situs Palsu Google Chrome Menipu Pengguna untuk Menginstal Malware
Google Chrome adalah browser web paling banyak digunakan di dunia, dan dominasi ini menjadikannya target ideal bagi penjahat siber untuk menyebarkan malware ke pengguna yang tidak curiga. Tim riset ancaman dari SonicWall Capture Labs baru-baru ini menemukan sebuah situs web yang tampaknya sah, tempat pengguna dapat mengunduh dan menginstal Google Chrome. Namun, situs tersebut adalah palsu – situs ini menginstal file berbahaya yang sama sekali tidak berhubungan dengan Google Chrome. Siklus Infeksi Seorang pengguna yang tidak curiga diarahkan ke situs yang tampak sah dengan URL berikut: httpx://google.tw.cn 🖼️ Gambar 1: Situs palsu yang terlihat seperti halaman resmi unduhan Google Chrome Saat pengguna mengklik tombol unduh, sebuah file arsip bernama “Goegle sretp.zip” akan diunduh. Di dalam file ZIP ini terdapat file executable (aplikasi) dengan nama yang sama. 🖼️ Gambar 2: File ZIP yang diunduh Agar terlihat lebih meyakinkan, file installer ini memiliki deskripsi file “Google Browser”. 🖼️ Gambar 3: Properti file installer “Goegle sretp.exe” Saat file dijalankan, akan muncul jendela instalasi yang membimbing pengguna seolah-olah sedang menginstal Google Chrome. 🖼️ Gambar 4: Jendela instalasi palsu Setelah instalasi selesai, sebuah shortcut bernama “Google Chrome” akan ditambahkan ke desktop. Namun, file .lnk ini tidak membuka browser – melainkan menjalankan aplikasi lain yang tidak terkait. 🖼️ Gambar 5: Shortcut “Google Chrome” di desktop yang menjalankan aplikasi tersembunyi Apa yang Terjadi di Balik Layar? File bernama “svcorenos.exe” dijalankan secara diam-diam di latar belakang. File ini adalah yang akan dijalankan ketika pengguna mengklik shortcut “Google Chrome” palsu tersebut. File ini menggunakan aplikasi Windows sah bernama “ComputerDefaults.exe” untuk menjalankan salinan dirinya sendiri – kemungkinan besar untuk menghindari deteksi antivirus. 🖼️ Gambar 6: ComputerDefaults.exe digunakan untuk menjalankan svcorenos.exe Program svcorenos.exe sebenarnya adalah salinan yang telah diganti nama dari aplikasi sah DS Clock milik Duality Software. DS Clock adalah utilitas desktop gratis untuk menampilkan waktu dan tanggal yang bisa disesuaikan. Namun, dalam kasus ini, malware menyalahgunakan aplikasi tersebut untuk terhubung ke server jarak jauh dan mengirim/ menerima data. Selama analisis, file ini terus terhubung dengan alamat IP berbahaya: 103(.)215(.)78(.)57 🖼️ Gambar 7 & 8: svcorenos.exe terus melakukan koneksi ke host jarak jauh dan bertukar data Persistensi Malware Untuk memastikan aplikasi ini berjalan setiap kali sistem dihidupkan, malware ini ditambahkan ke dalam registry Windows sebagai layanan: sql CopyEdit HKLM\System\CurrentControlSet\Services\svcorenos project Perlindungan SonicWall SonicWall Capture Labs telah menyediakan perlindungan terhadap ancaman ini melalui signature berikut: GAV: Malagent.CRM (Trojan) Ancaman ini juga dapat terdeteksi oleh: SonicWall Capture ATP dengan RTDMI Solusi endpoint Capture Client Kesimpulan: Berhati-hatilah saat mengunduh perangkat lunak dari internet. Pastikan hanya mengakses situs resmi seperti google.com/chrome untuk unduhan browser. Malware canggih kini semakin pandai meniru tampilan situs sah demi menipu pengguna agar secara tidak sadar menginstal aplikasi berbahaya. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!
Palo Alto Networks Membuka Jalan dengan Inovasi Keamanan OT Baru
Memperkenalkan PA-450R Rugged NGFW untuk Lingkungan Industri yang Ekstrem, Keamanan 5G Kelas Perusahaan untuk Operasi Industri, dan Pengelolaan Keamanan yang Terpadu dengan Strata Cloud Manager Awal tahun ini, Palo Alto Networks meluncurkan Zero Trust OT Security, sebuah solusi untuk membantu pemilik dan operator aset industri menjaga keamanan lingkungan teknologi operasional (OT) mereka. Zero Trust OT Security dirancang untuk memberikan visibilitas dan keamanan bagi aset dan jaringan OT, aset yang terhubung 5G, serta operasi jarak jauh. Untuk terus menjawab tantangan dari ancaman keamanan siber yang terus berkembang dan kebutuhan pelanggan, kami dengan bangga mengumumkan beberapa kemampuan baru yang membawa keamanan lingkungan OT ke level berikutnya. Ini termasuk peluncuran firewall rugged baru yang dirancang untuk lingkungan ekstrem, serta solusi keamanan 5G terdepan di industri yang dirancang untuk melindungi operasi industri dengan keamanan kelas perusahaan. Zero Trust OT Security menawarkan kombinasi unik antara perangkat keras dan perangkat lunak yang bekerja bersama memberikan solusi keamanan OT yang komprehensif, dan telah diakui sebagai pemimpin dalam GigaOm Radar untuk Keamanan Teknologi Operasional (OT). Sebagai komponen kunci dari solusi Zero Trust OT Security, Industrial OT Security adalah mesin visibilitas OT bertenaga machine learning (ML) pertama di industri yang menggabungkan pembelajaran mesin dengan telemetri crowdsourced untuk mengenali lebih dari 500 profil aset unik, lebih dari 600 tanda tangan ancaman khusus OT, dan lebih dari 1.100 aplikasi OT. Hollie Hennessy, analis senior, Omdia: “Dalam lanskap saat ini, semakin terhubungnya jaringan OT dan IT menciptakan tantangan keamanan siber yang harus dikelola oleh organisasi. Banyak pelanggan kini mencari solusi menyeluruh yang dapat mengurangi kompleksitas dan menutup celah keamanan. Dengan inovasi terbaru dalam solusi Zero Trust OT Security mereka, Palo Alto Networks menunjukkan bahwa mereka benar-benar mendengarkan pelanggan dan terus berinvestasi untuk memenuhi kebutuhan keamanan OT mereka – dengan pendekatan platform dan wawasan yang ditingkatkan terhadap kerentanan. Firewall rugged baru dan cakupan mendalam untuk perangkat terhubung 5G menonjol dalam membantu pelanggan mendapatkan visibilitas dan keamanan komprehensif di seluruh lingkungan OT dan perjalanan transformasi digital mereka.” Performa Tangguh untuk Lingkungan Industri Ekstrem dengan PA-450R NGFW Baru Pelanggan industri membutuhkan solusi keamanan jaringan OT yang dirancang khusus dan dapat diandalkan di lingkungan yang rentan terhadap rentang suhu ekstrem atau kondisi berdebu. NGFW rugged baru ini memperluas keamanan terbaik Palo Alto Networks ke lingkungan operasional paling keras. Dirancang khusus untuk lingkungan OT seperti gardu listrik, PA-450R adalah firewall generasi baru berbasis ML yang rugged. Perangkat ini memberikan performa hingga 3 kali lebih baik dibandingkan generasi firewall rugged sebelumnya dan merupakan firewall rugged tercepat di kelasnya saat ini. PA-450R juga memiliki kemampuan fail-to-wire yang mendukung data tetap mengalir selama kegagalan daya, memungkinkan operasi yang terus berjalan. PA-450R terintegrasi secara native dengan Industrial OT Security, menyatukan visibilitas, keamanan, verifikasi kepercayaan berkelanjutan, dan pencegahan ancaman dalam satu platform. Dengan PA-450R dan Industrial OT Security, keamanan dan integritas jaringan OT didukung oleh sistem tunggal yang kuat dan tahan kondisi paling keras untuk melindungi lingkungan industri. Identifikasi Aset dan Visibilitas Risiko Terdepan Industri untuk Perangkat Terhubung 5G Konektivitas 5G di lingkungan OT menawarkan potensi besar untuk efisiensi operasional, namun seringkali kekurangan kontrol keamanan yang memadai untuk mengurangi risiko keamanan siber. Palo Alto Networks menyediakan solusi keamanan 5G pertama dan satu-satunya di industri yang dirancang untuk melindungi operasi industri secara menyeluruh dengan keamanan kelas perusahaan. Menggabungkan kemampuan keamanan 5G-native Palo Alto Networks dengan Industrial OT Security, solusi ini memberikan visibilitas dan perlindungan luas untuk setiap perangkat yang terhubung ke jaringan seluler, tidak tergantung pada jenis koneksi jaringan. Solusi ini juga mendukung perangkat yang terhubung mobile lainnya, termasuk 4G/LTE dan 3G. Bekerja mulus dengan NGFW Palo Alto Networks, solusi ini memungkinkan pelanggan mengkorelasikan konteks khusus mobile seperti IMEI dan IMSI dengan identifikasi perangkat beresolusi tinggi, seperti jenis perangkat, merek vendor, model, sistem operasi, serta analitik risiko dan perilaku. Kami juga telah memperluas database perangkat Industrial OT Security dengan menambahkan 220.000 tipe perangkat baru yang berasal dari database GSMA. Tingkat visibilitas luar biasa ini memungkinkan pelanggan meningkatkan manajemen aset teknologi operasional, menilai risiko, mendeteksi anomali, dan merespon ancaman dengan cepat. Misalnya, jika sebuah perangkat mobile tiba-tiba melakukan komunikasi dengan aplikasi (misalnya transfer file) yang biasanya tidak terkait dengan kategori perangkat tersebut, NGFW dapat segera mengeluarkan peringatan dan merekomendasikan penyesuaian kebijakan keamanan yang memanfaatkan kemampuan machine learning untuk mencegah ancaman secara proaktif. Integrasi mulus ini menawarkan solusi keamanan menyeluruh yang disesuaikan untuk perangkat 5G dan mobile di lingkungan OT. Manajemen Kerentanan Berbasis Risiko untuk Lingkungan OT yang Sangat Kritis Lingkungan OT seringkali sangat kritikal dengan kebutuhan uptime tinggi, yang sangat mempengaruhi keputusan kerentanan mana yang harus segera dipatch dan kapan patch dilakukan untuk menghindari gangguan operasi, kerugian pendapatan, atau risiko keselamatan yang tidak perlu. Untuk membantu tim keamanan mengurangi risiko bisnis dengan fokus pada hal yang paling penting, kami dengan bangga memperkenalkan fitur klasifikasi prioritas risiko dalam Industrial OT Security yang didasarkan pada penilaian risiko multifaktor. Untuk mengidentifikasi kerentanan yang paling berisiko, Industrial OT Security menilai indikator kemungkinan ancaman dan dampak bagi organisasi pelanggan jika aset mereka dikompromikan, melampaui penilaian CVSS biasa. Dengan kemampuan patch virtual, Industrial OT Security memberikan keunggulan penting untuk perlindungan ancaman yang lebih baik di lingkungan OT. Fitur ini mencegah serangan siber memanfaatkan kerentanan yang sudah diketahui sambil menunggu jendela pemeliharaan untuk patch fisik. Kemampuan ini membantu tim keamanan di lingkungan OT menjaga stabilitas dan keandalan sistem OT sekaligus memperkuat pertahanan siber secara signifikan. Fleksibilitas dan Ketahanan Pengelolaan untuk Lingkungan OT dengan SD-WAN On-Premise Controller Transformasi digital mendorong aset OT yang tersebar secara geografis, seperti jaringan listrik dan ladang minyak, untuk terhubung lebih kuat guna kontrol terpusat. Organisasi harus memenuhi persyaratan ketahanan dan performa yang ketat agar operasi tetap berjalan tanpa gangguan meski terjadi pemutusan internet. Software-defined wide area networking (SD-WAN) menyediakan jaringan yang sederhana dan aman yang melampaui VPN tradisional site-to-site. Bisnis ingin mendapatkan manfaat SD-WAN di lingkungan OT tanpa menambah risiko koneksi internet langsung. Kini Prisma SD-WAN on-premise controller (OPC) menghadirkan manajemen SD-WAN industri generasi berikutnya secara lokal, sehingga pemilik dan operator aset OT dapat memodernisasi jaringan mereka dengan aman dan percaya diri. Dengan SD-WAN OPC, kemampuan SD-WAN menyeluruh tersedia secara on-premises, memberikan kemudahan dan keuntungan keamanan…
IngressNightmare: Memahami CVE 2025 1974 pada Kubernetes Ingress-NGINX
Platform yang Terpengaruh: Ingress-NGINX Containers v1.11.0-4, v1.12.0, dan versi di bawah v1.11.0 Pengguna yang Terdampak: Semua Organisasi Dampak: Penyerang dapat mengambil alih sistem yang rentan Tingkat Keparahan: Kritis Pada 24 Maret 2025, peneliti dari Wiz, Inc. mengungkap kelompok kerentanan kritis dalam Kubernetes Ingress-NGINX Controller, yang dijuluki IngressNightmare. Salah satu celah paling serius adalah CVE‑2025‑1974, yang memungkinkan penyerang dengan akses jaringan ke admission webhook untuk menjalankan Remote Code Execution (RCE) dalam pod ingress controller. Kerentanan ini sebelumnya dilaporkan secara tertutup dan diumumkan secara publik setelah tambalan tersedia. Nilai CVSS-nya adalah 9.8, menegaskan bahwa ini adalah ancaman dengan urgensi tinggi untuk segera diperbaiki. Ringkasan Kerentanan IngressNightmare CVE‑2025‑1974: Memungkinkan permintaan jahat tanpa autentikasi ke admission webhook Ingress-NGINX. Penyerang dapat mengirim objek Ingress dengan direktif NGINX berbahaya yang disisipkan, dan akhirnya mendapatkan eksekusi kode jarak jauh di pod controller. Kerentanan Injeksi Anotasi Tambahan: Termasuk kelemahan dalam penyaringan anotasi seperti auth-url, auth-tls-match-cn, dan mirror-target. Jika dikombinasikan dengan CVE‑2025‑1974, penyerang dapat menyisipkan konfigurasi NGINX berbahaya untuk menjalankan kode arbitrer. Catatan Penting: Dalam banyak konfigurasi, admission webhook dapat dijangkau dari jaringan internal kluster (misalnya, dari pod mana pun). Artinya, pod yang sudah dikompromi dapat mengeksploitasi celah ini tanpa kredensial API Kubernetes. Kenapa Akses Jaringan Penting Pengujian menunjukkan bahwa eksploitasi ini membutuhkan akses jaringan langsung ke admission controller. Jika hanya tersedia akses melalui kubectl port-forward atau metode tidak langsung lainnya, mekanisme pengunggahan file besar mungkin tidak berfungsi. Dalam praktiknya, serangan RCE ini sering dilakukan dari pod yang sudah berjalan dalam jaringan kluster (misalnya, container jahat akibat SSRF, job salah konfigurasi, atau hasil kompromi sebelumnya). Alur Serangan secara Singkat Dengan menggabungkan kerentanan-kerentanan ini, penyerang dapat: Mengunggah file .so berbahaya menggunakan buffering default NGINX untuk permintaan HTTP besar. Merujuk file tersebut melalui path khusus di /proc/<pid>/fd/<fd> meskipun telah dihapus, karena masih terbuka melalui file descriptor. Menyisipkan direktif NGINX berbahaya (misalnya, ssl_engine) lewat anotasi Ingress. Menjalankan reverse shell dari dalam pod ingress controller dan mewarisi hak akses service account pod tersebut — yang mungkin memiliki izin luas di kluster. Mitigasi Karena kerentanan ini dapat menyebabkan kompromi penuh terhadap kluster, mitigasi harus menjadi prioritas tinggi: Perbarui Ingress-NGINX ke 12.1 atau lebih tinggi, atau ke v1.11.5 jika berada di jalur rilis lama. Patch ini menghapus metode validasi yang berisiko. Batasi Akses ke Admission Webhook jika belum bisa memperbarui. Gunakan network policy agar hanya Kubernetes API server yang dapat mengakses webhook. Nonaktifkan Fitur Tidak Terpakai seperti anotasi snippet, otentikasi TLS client, atau mirroring jika tidak dibutuhkan. Perkuat Service Account. Hindari memberi hak akses kluster yang luas pada service account ingress. Jika controller dikompromi, dampaknya bisa dikurangi. Deteksi Eksploitasi IngressNightmare Deteksi oleh Lacework FortiCNAPP: Lacework Agent: Mendeteksi proses mencurigakan. Memonitor koneksi jaringan dan memblokir panggilan ke domain jahat. Kubernetes Compliance Agent: Mengawasi konfigurasi sumber daya, termasuk definisi Ingress yang tidak aman atau service account yang terlalu banyak izin. Audit Log Kubernetes: Melacak upaya pembacaan rahasia dari pod yang terkompromi. Pemantauan Konfigurasi Cloud: Mendeteksi perubahan terhadap konfigurasi kluster. Memberi peringatan jika kredensial node atau service account disalahgunakan. Contoh peringatan yang dihasilkan: Pencurian Kredensial Node Koneksi ke Domain Mencurigakan (misalnya burpcollaborator.net) Enumerasi Resource Kluster oleh ingress-nginx Penyalahgunaan Service Account Default Perlindungan Fortinet Security Fabric Di luar FortiCNAPP, Fortinet Security Fabric menawarkan perlindungan tambahan: FortiGate NGFW: Mendeteksi dan memblokir pola lalu lintas mencurigakan. FortiAnalyzer: Mengagregasi log dan indikator kompromi untuk analisis forensik. FortiGuard Threat Intelligence: Memperbarui signature pendeteksian lalu lintas berbahaya secara otomatis. FortiSandbox: Menganalisis file berbahaya (.so, .exe) yang terkait dengan container. Kesimpulan IngressNightmare (CVE‑2025‑1974 dan kerentanan terkait) menunjukkan pentingnya konfigurasi Ingress yang aman dan pembatasan ketat pada webhook admission. Jika tidak ditambal dan dibiarkan terbuka, penyerang bisa naik dari pod dengan hak istimewa rendah menjadi pengendali penuh kluster. Langkah kritis: Segera perbarui ke Ingress-NGINX v1.12.1+ atau v1.11.5+ Batasi akses jaringan ke admission webhook Minimalkan hak istimewa pada service account Ingress Dengan kombinasi visibilitas berkelanjutan, deteksi berlapis, dan perlindungan runtime, organisasi dapat menjaga kluster Kubernetes mereka tetap tangguh terhadap ancaman seperti IngressNightmare. Referensi Tambahan Penasihat Kubernetes untuk CVE‑2025‑1974 Blog Teknis Wiz: IngressNightmare Laporan FortiGuard Threat Signal: IngressNightmare Dokumentasi Lacework FortiCNAPP Perlindungan Fortinet FortiGuard Labs telah menyediakan signature IPS untuk mendeteksi eksploitasi kerentanan berikut: CVE-2025-1974: Kubernetes.Ingress.NGINX.Controller.Remote.Code.Execution Tetap waspada dan pastikan sistem Anda diperbarui serta diamankan sesuai rekomendasi terbaru. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall.id, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!
Bagaimana File Excel Berbahaya (CVE-2017-0199) Mengirimkan Payload FormBook
Platform yang Terpengaruh: Microsoft Windows Pihak yang Terkena Dampak: Pengguna Windows Dampak: Mengendalikan dan Mengumpulkan Informasi Sensitif dari Perangkat Korban Tingkat Keparahan: Kritis FortiGuard Labs baru-baru ini mengamati kampanye phishing dengan tingkat keparahan tinggi yang menargetkan pengguna aplikasi Office versi lama melalui lampiran email berbahaya. Email tersebut mengirimkan file Excel yang dirancang untuk mengeksploitasi kerentanan CVE-2017-0199, yaitu cacat yang diketahui dalam fungsi OLE (Object Linking and Embedding) pada Microsoft Office versi lama. Malware yang disebarkan dalam kampanye ini adalah FormBook, malware pencuri informasi yang dikenal mampu mencuri data sensitif seperti kredensial login, penekanan tombol (keystrokes), dan isi clipboard. Saat file Excel berbahaya dibuka, malware akan menjalankan serangkaian proses yang akhirnya mengeksekusi payload FormBook. Inisiasi Email Phishing Kampanye phishing ini dimulai dari email yang menyamar sebagai pesanan penjualan dan mendesak penerima untuk membuka dokumen Excel terlampir. Seperti yang ditunjukkan oleh FortiMail, email tersebut diberi label sebagai “[virus detected]” pada baris subjek sebagai peringatan. Tentang CVE-2017-0199 CVE-2017-0199 adalah kerentanan logika pada Office versi lama (Office 2007, 2010, 2013, 2016). Saat pengguna membuka dokumen Office yang mengeksploitasi celah ini, program mengirimkan permintaan HTTP ke server jarak jauh untuk mengambil file HTA berbahaya. Program tersebut lalu menggunakan objek COM untuk menemukan handler file HTA, sehingga aplikasi Microsoft HTA (mshta.exe) akan dijalankan untuk mengeksekusi skrip jahat. Saat dokumen Excel dibuka dengan versi Office yang rentan, maka kerentanan ini akan terpicu dan mengunduh serta mengeksekusi file HTA. File HTA Berbahaya Skrip yang diunduh merupakan file HTA dengan konten yang disandikan dalam Base64. Setelah didekode, kontennya mengunduh file baru, menyimpannya di direktori %APPDATA%, lalu menjalankannya. File ini bernama sihost.exe. Dalam analisis, ditemukan bahwa bagian .rsrc dari sample mengandung data sumber daya tidak diformat bernama “SCRIPT”. Ini dimulai dengan byte khas file AutoIt yang dikompilasi menggunakan Aut2Exe. Sampel tersebut menggunakan API IsDebuggerPresent untuk teknik anti-debugging. Jika terdeteksi bahwa program sedang dianalisis secara dinamis, maka hanya akan muncul pesan bahwa ini adalah skrip AutoIt dari pihak ketiga. Skrip ini lalu mendekripsi konten dalam bagian “SCRIPT”, mendekode kontennya dengan metode XOR menggunakan string “3NQXSHDTVT2DPK06”, dan mengekstrak file bernama springmaker ke direktori %TEMP%. File inilah yang akhirnya di-dekode menjadi malware FormBook. Kesimpulan Ini adalah kampanye phishing serius yang menargetkan pengguna Windows. Penyerang mengirimkan email dengan lampiran Excel yang mengeksploitasi kerentanan CVE-2017-0199 untuk menyebarkan malware FormBook. Proses serangannya: File Excel jahat dikirim melalui email phishing. Saat dibuka, celah CVE-2017-0199 dipicu. File HTA berbahaya diunduh dan dijalankan. File exe diunduh dan dijalankan. File springmaker diekstrak dan didekode. Payload akhir FormBook Tujuan utama serangan ini adalah mengendalikan perangkat korban dan mencuri informasi sensitif. Perlindungan dari Fortinet Pelanggan Fortinet sudah dilindungi dengan layanan FortiGuard sebagai berikut: URL yang digunakan telah dikategorikan sebagai “Malicious Websites” oleh FortiGuard Web Filtering. FortiMail mengenali email phishing sebagai “virus detected”. Proteksi anti-phishing real-time oleh FortiSandbox tersedia di FortiMail, Web Filtering, dan solusi antivirus Fortinet. FortiGuard IPS mendeteksi eksploitasi CVE-2017-0199 dengan signature MS.Office.OLE.autolink.Code.Execution. FortiGuard Antivirus mendeteksi file Excel berbahaya, file HTA, sihost.exe, dan FormBook dengan signature: MSExcel/CVE_2017_0199.G1!exploit VBS/Obfuscated.AO!tr AutoIt/Injector.GKX!tr W32/Formbook.AA!tr Indikator Kompromi (IOCs) URL: hxxp[:]//172[.]245[.]123[.]32/xampp/hh/wef[.]hta hxxp[:]//172[.]245[.]123[.]32/199/sihost[.]exe SHA-256 Sampel Terkait: xls: 33A1696D69874AD86501F739A0186F0E4C0301B5A45D73DA903F91539C0DB427 hta: 2BFBF6792CA46219259424EFBBBEE09DDBE6AE8FD9426C50AA0326A530AC5B14 exe: 7E16ED31277C31C0370B391A1FC73F77D7F0CD13CC3BAB0EAA9E2F303B6019AF springmaker: A619B1057BCCB69C4D00366F62EBD6E969935CCA65FA40FDBFE1B95E36BA605D FormBook / Decoded springmaker: 3843F96588773E2E463A4DA492C875B3241A4842D0C087A19C948E2BE0898364 Catatan: Jika organisasi Anda merasa telah terpengaruh oleh ancaman ini atau ancaman siber lainnya, segera hubungi Tim Respons Insiden Global FortiGuard. Untuk edukasi lebih lanjut, pengguna disarankan mengikuti pelatihan gratis NSE 1 – Information Security Awareness. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indnoesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!
Sophos Firewall v21.5 Kini Tersedia dalam Program Early Access
Sambut fitur-fitur baru yang hebat dan peningkatan luar biasa di versi 21.5 Kami dengan senang hati mengumumkan bahwa program early access (EAP) kini telah dibuka untuk rilis terbaru Sophos Firewall. Pembaruan ini menghadirkan berbagai peningkatan inovatif pertama di industri serta fitur-fitur yang paling banyak diminta, termasuk: Integrasi Sophos NDR Essentials Atur dan pantau feed ancaman NDR Essentials melalui menu Active Threat Response. Pelanggan Sophos Firewall dengan Xstream Protection kini mendapatkan Sophos NDR Essentials berbasis cloud secara gratis, sehingga memperkuat perlindungan jaringan secara signifikan. Keunggulan NDR Essentials: Mendeteksi aktivitas penyerang aktif bahkan pada lalu lintas terenkripsi tanpa perlu dekripsi TLS, berkat analisis AI CNN (Convolutional Neural Network). Mendeteksi algoritma domain generation canggih yang dirancang untuk menghindari filter DNS dan web. Karena dihosting di cloud Sophos, tidak membebani performa firewall, sehingga perlindungan tetap optimal. Single Sign-On (SSO) Entra ID (Azure AD) untuk VPN Akses Jarak Jauh Salah satu fitur yang paling banyak diminta kini hadir: Pengguna dapat menggunakan kredensial jaringan korporat mereka melalui Sophos Connect client dan portal VPN firewall. Integrasi single sign-on Entra ID (Azure AD) tersedia di SFOS v21.5 Berbasis OAuth 2.0 dan OpenID Connect, mendukung pengalaman SSO native cloud. Didukung di Sophos Connect client v2.4 atau lebih baru untuk Windows. Peningkatan Lain untuk VPN dan Skalabilitas Perubahan nama antarmuka pengguna: “Site-to-site” diganti menjadi “policy-based” “Tunnel interfaces” diganti menjadi “route-based” Validasi IP lease pool ditingkatkan untuk menghindari konflik IP pada VPN SSL, IPsec, L2TP, dan PPTP. Penegakan profil ketat untuk IPsec: memastikan handshake berhasil dan menghindari fragmentasi paket. Skalabilitas VPN route-based ditingkatkan hingga 000 tunnel. Skalabilitas SD-RED: kini mendukung hingga 000 tunnel site-to-site RED dan 650 perangkat SD-RED. Sophos DNS Protection Setelah diluncurkan tahun lalu dan diberikan secara gratis kepada pelanggan dengan lisensi Xstream Protection, kini integrasinya semakin kuat: Widget baru di control center untuk menampilkan status layanan Insight troubleshooting terbaru melalui log dan notifikasi Tutorial panduan baru untuk pengaturan DNS Protection Peningkatan Manajemen dan Pengalaman Pengguna Ukuran kolom tabel bisa diubah: Disimpan dalam memori browser, berlaku di layar SD-WAN, NAT, SSL, Hosts, dan site-to-site VPN. Pencarian teks lebih luas: Rute SD-WAN dapat dicari berdasarkan nama, ID, objek, IP/domain Aturan ACL lokal mendukung pencarian berbasis konten dan nama objek Konfigurasi default diperbarui: Tidak lagi menyertakan aturan firewall default secara otomatis saat pengaturan awal Grup aturan firewall default dan probing gateway diatur ke “None” Font baru: Antarmuka kini menggunakan font yang lebih ringan dan tajam untuk meningkatkan keterbacaan dan performa. Peningkatan Tambahan Lisensi virtual, software, dan cloud (BYOL): Kini tanpa batas RAM, hanya dibatasi jumlah core. Batas ukuran file WAF ditingkatkan: Kini mendukung pemindaian file upload hingga 1 GB Keamanan “secure by design”: Telemetri real-time untuk mendeteksi perubahan tak terduga pada file OS menggunakan validasi hash. Delegasi prefix DHCP dilonggarkan: Mendukung prefix /48 hingga /64 Router Advertisement (RA) dan DHCPv6 kini aktif secara default Penyesuaian otomatis Path MTU: Mengatasi kesalahan dekripsi TLS terkait dukungan ML-KEM (Kyber) Mesin inspeksi Sophos Firewall kini otomatis menyesuaikan MTU per aliran jaringan NAT64 (lalu lintas IPv6 ke IPv4): Didukung dalam mode proxy eksplisit Klien IPv6-only dapat mengakses situs IPv4 Mendukung proxy upstream IPv4 untuk klien IPv6-only Dapatkan Detail Lengkap Unduh dokumen What’s New Guide lengkap untuk melihat semua fitur dan peningkatan di Sophos Firewall v21.5. Mulai Sekarang Anda dapat mengunduh paket pembaruan atau installer v21.5 dari halaman Registrasi EAP Sophos Firewall v21.5. Cukup kirimkan detail Anda dan link unduhan akan dikirimkan langsung ke email Anda. Selama EAP, semua dukungan akan disediakan melalui forum Sophos Firewall Community. Berikan umpan balik melalui opsi di bagian atas setiap layar Sophos Firewall Anda atau melalui Forum Komunitas. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi qfirewall.id atau Sophos.indonesia.id untuk informasi lebih lanjut!
Butuh Dua Pihak: Laporan Sophos Active Adversary 2025
Tahun kelima membawa pemahaman yang lebih dalam tentang musuh di gerbang, dan ketegangan di dalamnya – serta hadiah ulang tahun dari kami untuk Anda Lima Tahun Sophos Active Adversary Report Tahun ini menandai ulang tahun kelima Laporan Sophos Active Adversary. Laporan ini lahir dari pertanyaan sederhana: Apa yang terjadi setelah penyerang berhasil membobol sistem perusahaan? Dengan memahami taktik lawan, para defender bisa lebih siap menghadapi serangan yang sedang berlangsung. (Tak heran laporan ini dulunya bernama The Active Adversary Playbook.) Saat kami sedang membahas bagaimana menciptakan lingkungan pengujian untuk menjawab pertanyaan tersebut, Sophos bersiap meluncurkan layanan Incident Response (IR). Maka lahirlah proyek lintas tim ini. Selama lima tahun, kami telah menyajikan data—awalnya hanya dari tim IR, lalu ditambah dari tim Managed Detection and Response (MDR)—serta menganalisis maknanya. Untuk menandai lima tahun perjalanan ini, kami memberikan akses terbuka ke dataset tahun 2024, guna mendorong percakapan yang lebih luas. (Link ke repositori GitHub dapat ditemukan di akhir laporan.) Sorotan Utama Perbedaan data MDR dan IR menunjukkan secara statistik nilai dari pemantauan aktif. Kredensial yang disusupi masih menjadi jalur awal paling umum. MFA wajib! Waktu tinggal (dwell time) turun lagi! Penyalahgunaan LOLBins oleh penyerang meningkat drastis. Ransomware jarak jauh menjadi tantangan baru – sekaligus peluang – bagi sistem yang dikelola secara aktif. Dampak serangan menunjukkan pelajaran penting dalam deteksi. Sumber Data Laporan ini didasarkan pada 413 kasus yang ditangani oleh dua tim Sophos di tahun 2024: Tim Incident Response (IR) Tim MDR (untuk pelanggan dengan layanan Sophos yang dikelola) Sebanyak 84% organisasi dalam dataset ini memiliki kurang dari 1.000 karyawan, dan 53% bahkan di bawah 250 karyawan. Sektor industri paling terdampak: Manufaktur (turun dari 25% di 2023 menjadi 16% di 2024) Pendidikan (10%) Konstruksi (8%) Teknologi Informasi (7%) Kesehatan (6%) IR vs MDR: Apa Bedanya? IR digunakan oleh organisasi yang tidak memiliki MDR, biasanya menghubungi Sophos setelah insiden terjadi. MDR adalah pelanggan aktif yang sudah memiliki layanan pemantauan dan logging, dan Sophos sering kali menjadi pihak yang pertama memberi peringatan adanya ancaman. Perbedaan Serangan: Ransomware dan Network Breach Ransomware mendominasi dalam data IR (65%), tapi di data MDR, network breaches lebih umum (56% vs ransomware 29%). Ransomware tetap menjadi penyebab utama pada pelanggan IR karena kerusakannya sulit ditangani tanpa bantuan eksternal. Pada MDR, karena ada deteksi dini, ransomware sering digagalkan lebih awal dan diklasifikasikan sebagai network breach. Waktu Tinggal (Dwell Time) Rata-rata median 2024: hanya 2 hari IR: 7 hari (ransomware 4 hari, non-ransomware 11,5 hari) MDR: lebih cepat (ransomware 3 hari, non-ransomware 1 hari) Deteksi lebih cepat = mitigasi lebih cepat = kerusakan lebih kecil. Akar Masalah (Root Cause) Penyebab utama: Kredensial disusupi (41%) Eksploitasi kerentanan (22%) Brute force (21%) – meningkat signifikan di data MDR Kenapa bisa begitu? IR: Data log sering hilang (66% kasus IR kekurangan log) MDR: Logging lebih lengkap, jadi analisis lebih akurat Teknik dan Taktik Penyerang (TTPs) Tingkat kesamaan 60–80% antara data MDR dan IR pada alat, LOLBins, dan teknik lainnya. Tools populer disalahgunakan: AnyDesk, WinRAR, SoftPerfect Network Scanner, Advanced IP Scanner LOLBin yang paling disalahgunakan:exe, powershell.exe, wevtutil.exe, rundll32.exe Catatan: exe muncul di 2024 sebagai tool baru yang disalahgunakan untuk membuka file berisi kata sandi. Deteksi bisa ditingkatkan dengan menganalisis cara peluncuran tool (GUI vs command line). RDP: Masih Rentan RDP digunakan dalam 84% kasus 67% hanya untuk lateral movement internal Saran deteksi: Gunakan event ID 4624/4625 untuk deteksi login berhasil/gagal Deteksi zona waktu aneh (contoh: log masuk dari zona UTC+3 di jaringan lokal UTC-6) Waspadai nama perangkat yang aneh seperti “kali” (muncul di 6% kasus) Atribusi dan Lanskap Ransomware Setelah penindakan terhadap LockBit awal 2024, tidak ada pelaku dominan. Akira memimpin sebagian tahun, tapi Fog menyalip di akhir tahun. LockBit tetap muncul di posisi ketiga meski aktivitasnya berhenti di paruh kedua. LOLBin dan Penyalahgunaan Tools Jumlah LOLBin unik meningkat 126% dibanding 2023 Tools seperti Notepad dan PowerShell masih disalahgunakan untuk eksplorasi jaringan dan file kredensial Penjahat siber lebih suka alat yang: Tidak mencurigakan Sudah tersedia di sistem (living-off-the-land) 50% dari 20 tool paling sering disalahgunakan adalah tools enumerasi Kesimpulan: Pertahanan Berlapis dan Deteksi Dini Laporan ini menunjukkan pentingnya: Pemantauan aktif (MDR) Logging yang memadai Penerapan MFA Pemahaman konteks penggunaan alat dan sistem Mendeteksi sinyal lemah secara terpisah mungkin tidak efektif, tetapi menggabungkannya bisa menghasilkan sinyal kuat. Inilah esensi dari pertahanan berlapis (defense in depth). Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!