Category: Blog

Pelaku ransomware semakin sering menyalahgunakan fitur bawaan cloud untuk menargetkan data penting. Kampanye ancaman terbaru, seperti yang dijelaskan dalam blog Halcyon, mengungkap bahwa aktor ancaman telah menyalahgunakan fitur Server-Side Encryption dengan Customer-Provided Keys (SSE-C) di Amazon Web Services (AWS). Dengan mengenkripsi objek S3 menggunakan kunci mereka sendiri, penyerang membuat data tidak dapat diakses, memanfaatkan layanan AWS dengan kredensial curian untuk menyederhanakan serangan mereka tanpa perlu mengelola infrastruktur tambahan. Blog ini membahas bagaimana serangan ini terjadi, mengapa SSE-C menjadi alat yang menarik bagi kampanye ransomware, serta strategi mitigasi yang dapat diterapkan. Selain pedoman resmi AWS untuk melindungi diri dari ancaman ini, rekomendasi utama mencakup pembatasan penggunaan SSE-C, penerapan prinsip akses minimum (least privilege), dan mengaktifkan pencatatan lanjutan guna mendeteksi aktivitas mencurigakan. Organisasi harus secara proaktif mengamankan lingkungan AWS mereka untuk mengantisipasi ancaman ini.   Server-Side Encryption dengan Customer-Provided Keys (SSE-C) AWS Server-Side Encryption dengan Customer-Provided Keys (SSE-C) memungkinkan pelanggan mengontrol kunci enkripsi saat menyimpan objek di Amazon S3. Fitur ini memastikan bahwa data dienkripsi di sisi server sambil memberikan kebebasan kepada pelanggan untuk menyediakan dan mengelola kunci mereka sendiri, tanpa bergantung pada AWS untuk menghasilkan atau mengelolanya. Sebagai alternatif, AWS juga menghasilkan dan mengelola Data Encryption Key (DEK) terpisah untuk mengenkripsi data selama penyimpanan, sementara kunci yang disediakan pelanggan tetap bersifat rahasia.   Cara Kerja SSE-C Pelanggan Menyediakan Kunci: Saat mengunggah objek ke S3, pelanggan menyertakan kunci enkripsi dalam permintaan. AWS Mengenkripsi Objek: AWS menggunakan kunci yang diberikan sebagai Key Encryption Key (KEK) untuk mengenkripsi Data Encryption Key (DEK). DEK kemudian digunakan untuk mengenkripsi objek dengan algoritma AES-256 sebelum disimpan. Manajemen Kunci oleh Pelanggan: AWS tidak menyimpan kunci enkripsi pelanggan. AWS hanya menyimpan hash kriptografi (HMAC) dari kunci untuk validasi di operasi berikutnya. Dekripsi Saat Pengambilan: Untuk mengakses objek yang dienkripsi dengan SSE-C, pelanggan harus menyediakan kunci yang sama yang digunakan saat pengunggahan. AWS memvalidasi kunci tersebut dan mendekripsi objek sebelum mengembalikannya.   Fitur Utama SSE-C ✅ Kunci Dikontrol Pelanggan – Pelanggan memiliki kendali penuh atas kunci enkripsi mereka. ✅ Tanpa Penyimpanan Kunci di AWS – AWS tidak menyimpan kunci enkripsi pelanggan, mengurangi risiko kebocoran dari sisi AWS. ✅ Enkripsi Saat Transit & Penyimpanan – Objek dienkripsi sebelum disimpan, dan kunci dienkripsi ditransmisikan melalui HTTPS. ✅ Validasi Kunci dengan HMAC – AWS hanya menyimpan hash kriptografi dari kunci untuk validasi, memastikan bahwa hanya pelanggan yang memiliki akses ke data terenkripsi.   Ketika Enkripsi Digunakan untuk Serangan | Penyalahgunaan SSE-C Enkripsi umumnya dianggap sebagai fondasi keamanan data. Namun, di tangan yang salah, bahkan mekanisme enkripsi yang kuat dapat disalahgunakan oleh pelaku ancaman. Tren terbaru dalam serangan ransomware menunjukkan bagaimana penyerang menyalahgunakan fitur AWS SSE-C untuk mengenkripsi data organisasi yang tersimpan di Amazon S3 buckets.   Penyalahgunaan SSE-C dalam Serangan Ransomware Dalam serangan ransomware tradisional, pelaku mengenkripsi data lokal dan meminta tebusan untuk kunci dekripsi. Dengan meningkatnya penggunaan penyimpanan cloud, penyerang menyesuaikan taktik mereka dengan menyalahgunakan fitur bawaan cloud seperti SSE-C.   Kompromi Kredensial Penyerang memperoleh akses ke kredensial AWS melalui: 🔹 Phishing terhadap karyawan 🔹 Credential stuffing dengan kombinasi kata sandi bocor 🔹 Repositori publik yang tidak sengaja mengekspos kunci akses AWS 🔹 Pencurian kredensial melalui malware infostealer dan log cloud   Penyalahgunaan SSE-C Setelah masuk, penyerang menggunakan kredensial yang dikompromikan untuk: ✅ Mengakses bucket S3 milik korban ✅ Mengunggah kunci enkripsi mereka sendiri, sehingga mengubah enkripsi data tanpa izin korban ✅ Memodifikasi kebijakan siklus hidup untuk menghapus file setelah beberapa hari, menciptakan rasa urgensi bagi korban Karena AWS tidak menyimpan kunci enkripsi pelanggan dalam SSE-C, pemulihan menjadi mustahil tanpa kerja sama penyerang.   Permintaan Tebusan Langkah terakhir adalah meninggalkan catatan tebusan di direktori yang terkena dampak, dengan instruksi pembayaran dan ancaman: bayar atau kehilangan data selamanya. Mengapa SSE-C Menjadi Target Menarik? 🔹 Kunci Dikontrol Pelanggan → AWS tidak menyimpan kunci enkripsi, sehingga pemulihan data mustahil tanpa kunci dari penyerang. 🔹 Izin Minimal yang Diperlukan → Hanya dengan s3:GetObject dan s3:PutObject, penyerang dapat mengganti data asli dengan versi terenkripsi mereka. 🔹 Kurangnya Deteksi Penyalahgunaan → AWS CloudTrail mencatat aktivitas enkripsi/dekripsi, tetapi tidak secara otomatis menandai penggunaan SSE-C sebagai aktivitas mencurigakan. Mitigasi Risiko Ransomware di AWS 💡 Aktifkan Bucket Versioning & MFA Delete ✅ Bucket Versioning: Menyimpan versi lama dari file yang dapat dipulihkan jika terjadi serangan. ✅ MFA Delete: Mencegah penghapusan objek tanpa autentikasi multi-faktor (MFA). 💡 Batasi Penggunaan SSE-C Terapkan kebijakan Identity and Access Management (IAM) dan bucket policy yang membatasi penggunaan SSE-C hanya untuk alur kerja yang benar-benar diperlukan. 🔹 Contoh Kebijakan untuk Mencegah Penyalahgunaan SSE-C: {   “Version”: “2012-10-17”,   “Statement”: [     {       “Effect”: “Deny”,       “Principal”: “*”,       “Action”: “s3:PutObject”,       “Resource”: “arn:aws:s3:::your-bucket-name/*”,       “Condition”: {         “StringExists”: {           “s3:x-amz-server-side-encryption-customer-key”: “true”         }       }     }   ] } Bagaimana SentinelOne Melindungi dari Ransomware Cloud? 🛡 SentinelOne Singularity™ Platform ✅ Storyline Active Response (STAR): Sistem deteksi dan respons berbasis cloud untuk memantau aktivitas mencurigakan. ✅ Cloud Native Security (CNS): Solusi keamanan tanpa agen untuk mendeteksi konfigurasi bucket yang rentan. ✅ Deteksi & Respons Otomatis: Mengidentifikasi upaya enkripsi SSE-C yang mencurigakan.   Kesimpulan: Fitur cloud-native seperti SSE-C membawa manfaat, tetapi juga membuka peluang bagi aktor ancaman untuk menyalahgunakannya. SentinelOne menyediakan perlindungan berlapis terhadap serangan ransomware berbasis AWS, dengan memadukan manajemen postur keamanan proaktif, deteksi real-time, dan respons otomatis untuk memastikan keamanan beban kerja cloud Anda.   🔹 Hubungi SentinelOne Indonesia untuk  informasi lebih lanjut tentang solusi keamanan cloud SentinelOne. Kompromi Kredensial Penyerang memperoleh akses ke kredensial AWS melalui: 🔹 Phishing terhadap karyawan 🔹 Credential stuffing dengan kombinasi kata sandi bocor 🔹 Repositori publik yang tidak sengaja mengekspos kunci akses AWS 🔹 Pencurian kredensial melalui malware infostealer dan log cloud   Penyalahgunaan SSE-C Setelah masuk, penyerang menggunakan kredensial yang dikompromikan untuk: ✅ Mengakses bucket S3 milik korban ✅ Mengunggah kunci enkripsi mereka sendiri, sehingga mengubah enkripsi data tanpa izin korban ✅ Memodifikasi kebijakan siklus hidup untuk menghapus file setelah beberapa hari, menciptakan rasa urgensi bagi korban Karena AWS tidak menyimpan kunci enkripsi pelanggan dalam SSE-C, pemulihan menjadi mustahil tanpa kerja sama penyerang.   Permintaan Tebusan Langkah terakhir adalah meninggalkan catatan tebusan di direktori yang terkena…

Selama enam bulan terakhir, aktivitas ransomware baru dan yang sedang berkembang mengalami peningkatan yang signifikan. Menjelang akhir tahun 2024 hingga awal 2025, muncul beberapa kelompok ransomware baru seperti FunkSec, Nitrogen, dan Termite. Selain itu, kelompok terkenal Cl0p kembali beraksi, serta versi terbaru dari LockBit (LockBit 4.0) dirilis. Dalam periode peningkatan aktivitas ini, layanan Ransomware-as-a-Service (RaaS) HellCat dan Morpheus semakin berkembang dan mendapatkan popularitas. Operator di balik HellCat, khususnya, aktif dalam upaya mereka untuk membangun citra sebagai merek dan layanan “terpercaya” dalam dunia kejahatan siber. Sebagai bagian dari penelitian, Team SentinelOne menganalisis payload dari operasi ransomware HellCat dan Morpheus. Dalam laporan ini membahas bagaimana afiliasi dari kedua operasi tersebut menggunakan kode yang hampir identik dalam pembuatan payload. Dan meninjau dua sampel secara mendalam dan menganalisis karakteristik serta perilaku mereka.   HellCat: Ikhtisar HellCat Ransomware muncul pada pertengahan tahun 2024. Operator utama di balik HellCat adalah anggota tingkat tinggi dari komunitas BreachForums serta beberapa fraksi terkait. Beberapa persona yang diketahui terkait dengan HellCat antara lain: Rey Pryx Grep IntelBroker Nama-nama ini sebelumnya telah dikaitkan dengan serangkaian pelanggaran data terhadap target bernilai tinggi. Operator HellCat menggunakan taktik unik untuk menonjol dalam lanskap ransomware, seperti tuntutan tebusan yang tidak biasa dan liputan media untuk memperkuat posisi mereka. Secara terbuka, mereka menyatakan bahwa fokus utama HellCat adalah menargetkan organisasi besar dan entitas pemerintah.   Morpheus: Ikhtisar Morpheus RaaS meluncurkan situs kebocoran data (Data Leak Site/DLS) pada Desember 2024, meskipun aktivitasnya dapat ditelusuri kembali hingga September 2024. Morpheus beroperasi sebagai RaaS semi-pribadi, sehingga lebih tertutup dibandingkan HellCat dalam hal branding dan publikasi. Morpheus telah mencantumkan dua korban utama dari industri farmasi dan manufaktur. Afiliasi yang terkait dengan Morpheus diketahui menargetkan organisasi di Italia, terutama yang menggunakan lingkungan virtual ESXi. Ransomware ini juga dikenal meminta tebusan hingga 32 BTC (~$3 juta USD).   Afiliasi yang Sama Pada akhir Desember 2024, tim peneliti kami menemukan dua payload ransomware serupa yang diunggah ke VirusTotal pada 22 Desember dan 30 Desember 2024. SHA1 Nama File Tanggal Unggah f86324f889d078c00c2d071d6035072a0abb1f73 100M.exe 22 Desember 2024 b834d9dbe2aed69e0b1545890f0be6f89b2a53c7 100M_redacted.exe 30 Desember 2024 Kedua file ini diunggah oleh pengguna anonim dengan ID pengunggah yang sama, yang menunjukkan kemungkinan bahwa afiliasi yang sama terlibat dalam kedua operasi ini. HellCat Virus Total Submission Morpheus Virus Total Submission Setelah melakukan analisis lebih lanjut, kami menemukan bahwa kedua payload ini hampir identik, dengan satu-satunya perbedaan terletak pada data spesifik korban dan detail kontak penyerang.   Perilaku Payload Payload ransomware HellCat/Morpheus berbentuk file PE 64-bit dengan ukuran ~18KB. Untuk menjalankannya, path harus diberikan sebagai argumen, dengan parameter tambahan ww yang digunakan oleh afiliasi dalam sampel ini.   Perintah Eksekusi Ransomware: encryptor.exe ww  encryptor.exe {path} Selain itu, sebuah file bernama er.bat ditemukan diunggah ke VirusTotal pada 31 Desember 2024 dengan ID pengunggah yang sama. File batch ini memberikan wawasan tentang bagaimana ransomware Morpheus dijalankan di sistem target.   Proses Eksekusi dalam er.bat: File batch ini menyalin berbagai file dari server jaringan ke **C:\users\public**. Setelah itu, ransomware dijalankan dengan parameter ww.   Eksklusi File dari Enkripsi Baik HellCat maupun Morpheus memiliki daftar ekstensi file yang dikecualikan dari enkripsi, termasuk: .dll .sys .exe .drv .com .cat Selain itu, ransomware ini tidak akan mengenkripsi folder \Windows\System32.   Karakteristik Unik: Tidak mengubah ekstensi file yang dienkripsi, hanya isinya yang berubah. Hal ini berbeda dari sebagian besar ransomware lain yang biasanya menambahkan ekstensi unik ke file yang telah dienkripsi.   Teknik Enkripsi Payload HellCat dan Morpheus menggunakan Windows Cryptographic API untuk pembuatan kunci dan enkripsi file. BCrypt digunakan untuk menghasilkan kunci enkripsi. BCryptEncrypt digunakan untuk mengenkripsi isi file. Metode ini sebelumnya telah digunakan oleh ransomware terkenal seperti LockBit dan ALPHV.   Catatan Tebusan (Ransom Note) Setelah enkripsi selesai, ransomware menulis catatan tebusan (README.txt) ke dalam disk dan menampilkannya dengan Notepad.   Perbandingan Catatan Tebusan HellCat vs Morpheus Struktur catatan identik, dengan hanya sedikit perbedaan pada detail kontak. Bagian “Kontak” berisi email penyerang, alamat .onion, dan kredensial login korban. Korban diminta untuk mengakses portal .onion milik penyerang untuk berkomunikasi lebih lanjut.   Kemiripan dengan Underground Team Tim riset SentinelOne menemukan bahwa catatan tebusan HellCat dan Morpheus memiliki kemiripan signifikan dengan catatan tebusan dari Underground Team, kelompok RaaS yang muncul pada tahun 2023. Namun, meskipun format catatan tebusan serupa, analisis lebih lanjut menunjukkan bahwa payload ransomware dari Underground Team secara struktural berbeda dari HellCat dan Morpheus. Saat ini, tidak ada bukti langsung yang menunjukkan hubungan antara Underground Team dan kedua operasi ini.   Kesimpulan Payload HellCat dan Morpheus hampir identik, menunjukkan kemungkinan penggunaan kode atau builder yang sama oleh afiliasi mereka. Ransomware ini memiliki ciri unik yaitu tidak mengubah ekstensi file setelah dienkripsi. Belum ada bukti konkret yang menunjukkan hubungan antara HellCat, Morpheus, dan Underground Team, meskipun ada kemiripan dalam catatan tebusannya.   Rekomendasi Keamanan Memahami bagaimana ransomware berbagi kode dapat membantu deteksi dan pencegahan. Solusi keamanan seperti SentinelOne Singularity dapat mendeteksi dan menghentikan perilaku berbahaya yang terkait dengan HellCat dan Morpheus. Hubungi team SentinelOne Indonesia untuk mendapatkan informasi detailnya

Di era digital yang semakin kompleks, keamanan siber bukan hanya menjadi sekadar perlindungan; ini adalah fondasi untuk kesuksesan organisasi modern. Dengan ancaman yang berkembang dalam skala, frekuensi, dan kecanggihan, organisasi membutuhkan solusi yang lebih cerdas, lebih cepat, dan lebih efisien. SentinelOne Singularity Data Lake hadir untuk memenuhi kebutuhan ini dengan AI SIEM, solusi berbasis kecerdasan buatan untuk mendukung Autonomous SOC. Mari kita ulas bagaimana SentinelOne menawarkan platform AI-powered SIEM yang terbuka, cepat, dan mampu mengamankan seluruh organisasi Anda.   Mengapa Anda Membutuhkan AI SIEM untuk Autonomous SOC? SOC tradisional sering kali bergantung pada sistem manual dan reaktif, yang memperlambat deteksi serta respons terhadap ancaman. Sementara jumlah data yang harus diproses oleh tim keamanan semakin besar, membuat analisis manual menjadi tidak mungkin dilakukan secara efektif.   AI SIEM untuk Autonomous SOC membawa pendekatan baru: Otomasi Total: Mengurangi intervensi manusia untuk tugas rutin, seperti analisis log dan pemantauan ancaman. Deteksi Ancaman Real-Time: Dengan AI, ancaman dapat diidentifikasi dalam hitungan detik, bukan jam atau hari. Respons Cepat dan Proaktif: Ancaman tidak hanya dideteksi tetapi juga dimitigasi secara otomatis, mengurangi risiko serangan yang meluas.   SentinelOne Singularity Data Lake: Fondasi untuk AI SIEM Terbaik Singularity Data Lake adalah inti dari platform SentinelOne, dirancang untuk mengintegrasikan, menganalisis, dan mengelola data keamanan dari seluruh organisasi Anda. Beberapa keunggulannya adalah: 1. Platform Terbuka untuk Semua Data dan Alur Kerja SentinelOne Singularity Data Lake mampu mengumpulkan data dari berbagai sumber, termasuk endpoint, server, aplikasi cloud, dan perangkat IoT. Ini memberikan pandangan menyeluruh tentang lingkungan keamanan Anda, sehingga tidak ada ancaman yang terlewatkan. 2. Kekuatan AI untuk Kecepatan dan Akurasi Ditenagai oleh kecerdasan buatan, Singularity Data Lake memproses data dalam waktu nyata. AI-nya tidak hanya mendeteksi ancaman yang sedang berlangsung tetapi juga menganalisis pola historis untuk memprediksi potensi ancaman di masa depan. 3. Skalabilitas Tanpa Batas Apakah organisasi Anda kecil atau besar, Singularity Data Lake dapat menangani jumlah data apa pun tanpa mengorbankan performa. Platform ini dirancang untuk tumbuh bersama kebutuhan Anda. 4. Integrasi dan Automasi yang Kuat Singularity Data Lake terintegrasi dengan solusi SentinelOne lainnya, seperti endpoint protection, detection, dan response (EDR/XDR), menciptakan ekosistem keamanan yang sepenuhnya otomatis dan terpadu.   Manfaat Utama SentinelOne AI SIEM untuk Autonomous SOC Efisiensi Operasional yang Tinggi Mengurangi waktu yang dihabiskan untuk analisis manual dan investigasi ancaman. Tim keamanan Anda dapat fokus pada strategi, bukan pada tugas rutin. Pengurangan False Positives Dengan AI yang cerdas, Singularity Data Lake menyaring data secara efektif, memastikan hanya ancaman nyata yang dieskalasi untuk ditindaklanjuti. Respon Cepat Terhadap Insiden Deteksi real-time memungkinkan tindakan otomatis seperti karantina endpoint atau blokir koneksi, mencegah penyebaran ancaman. Keamanan yang Proaktif Dengan kemampuan analitik prediktif, SentinelOne membantu Anda mengidentifikasi potensi risiko sebelum mereka menjadi masalah nyata.   SentinelOne AI SIEM vs. Solusi Lain Berbeda dengan solusi SIEM tradisional yang sering kali memerlukan konfigurasi rumit dan waktu implementasi yang panjang, SentinelOne menawarkan: Kecepatan Implementasi: Platform yang siap digunakan dalam hitungan hari, bukan bulan. Kemudahan Penggunaan: Dashboard yang intuitif dengan analitik berbasis AI yang dapat diakses oleh tim dengan berbagai tingkat keahlian. Efisiensi Biaya: Otomasi mengurangi kebutuhan akan tenaga kerja manual yang mahal.   Kasus Penggunaan AI SIEM pada Singularity Data Lake Deteksi Ancaman Insider Dengan analitik perilaku pengguna (UBA), AI SIEM mendeteksi aktivitas mencurigakan dari dalam organisasi, seperti akses yang tidak sah atau upaya pengunduhan data besar-besaran. Perlindungan Terhadap Serangan Zero-Day Menggunakan data historis dan pembelajaran mesin, AI SIEM mengenali pola anomali yang menunjukkan serangan baru, bahkan sebelum tanda-tanda umum terlihat. Peningkatan Keamanan Cloud Singularity Data Lake memastikan bahwa data di lingkungan multi-cloud Anda aman dengan pemantauan otomatis terhadap kebijakan keamanan.   Kesimpulan: Masa Depan Keamanan dengan SentinelOne SentinelOne Singularity Data Lake adalah lebih dari sekadar platform SIEM; ini adalah pusat kontrol yang didukung oleh AI untuk melindungi seluruh organisasi Anda. Dengan pendekatan berbasis AI yang cepat, skalabel, dan mudah digunakan, SentinelOne membantu organisasi memimpin di era keamanan digital yang semakin kompleks. Amankan organisasi Anda hari ini. Transformasikan SOC Anda menjadi Autonomous SOC dengan SentinelOne Singularity Data Lake. Jika Anda ingin memanfaatkan teknologi SentinelOne di Perusahaan Anda, Anda dapat menghubungi SentinelOne Indonesia untuk mendapatkan informasi lebih detail.

Berita Baik | Departemen Kehakiman (DoJ) Menangkap Operator Crypto Mixer & Menghapus Malware PlugX dari 4000 Komputer Di Amerika Serikat Departemen Kehakiman AS (DoJ) mendakwa tiga orang Rusia atas operasi layanan pencampuran cryptocurrency Blender[.]io dan Sinbad[.]io. Dimana Layanan ini dimanfaatkan oleh geng ransomware dan peretas Korea Utara untuk mencuci uang hasil kejahatan, termasuk dari pembayaran ransomware dan cryptocurrency curian. Blender[.]io beroperasi dari 2018-2022 dan membantu kelompok Lazarus mencuci $500 juta dari $617 juta yang dicuri dalam serangan jembatan Ronin Axie Infinity. Kemudian Sinbad[.]io muncul dengan layanan serupa dan ditutup pada November 2023 lewat operasi gabungan penegak hukum. Pernyataan dari AS, Korea Selatan, dan Jepang menyebutkan bahwa peretas Korea Utara melakukan pencurian lebih dari $659 juta dalam bentuk cryptocurrency. Layanan seperti ini menjadi akomodasi penting bagi pelaku kejahatan untuk mendapatkan keuntungan besar dan mengancam sistem keuangan global. Selain itu, FBI berhasil menghapus malware PlugX  lebih dari 4.200 komputer di AS. Dimana PlugX,pertama kali mengancam pada tahun 2008, digunakan oleh peretas yang disponsori Tiongkok untuk mencuri informasi, mengontrol komputer jarak jauh, dan menyebarkannya melalui USB. Operasi pengupayaan penghentikannya dimulai Juli 2024 dengan bantuan Internasional. Mereka memutuskan server PlugX dan menghapus malware tanpa merusak sistem komputer pengguna. Berita Buruk | Penipuan Pekerja IT Korea Utara Terkait Penipuan Crowdfunding Tahun 2016 Koneksi antara skema pekerja IT palsu Korea Utara dengan penipuan crowdfunding pada 2016 telah ditemukan. Yang melibatkan pekerja IT Korea Utara dengan menggunakan identitas palsu untuk mendapatkan pekerjaan freelance di seluruh dunia dan menghasilkan uang bagi negara mereka yang terkena sanksi. Laporan terkini menunjukkan 17 domain website yang disita oleh AS pada 2023, semuanya menyamar sebagai perusahaan IT untuk menyembunyikan identitas pekerja Korea Utara. Salah satu domain, silverstarchina[.]com, terhubung ke perusahaan Korea Utara yang berbasis di Tiongkok. Domain lainnya, kratosmemory[.]com, digunakan dalam kampanye crowdfunding palsu pada 2016. Kegiatan ini berhasil mengumpulkan $21.877, tetapi para pendukung tidak pernah menerima barang atau uang mereka kembali. Meskipun skema ini sederhana dibandingkan metode mereka saat ini, namun menunjukkan bagaimana Korea Utara sudah mulai mencoba berbagai cara untuk menghasilkan uang meski terkena banyak sanksi. Berita Jelek | Rusia Melakukan Spionase Siber terhadap Hubungan Diplomatik Kazakhstan Kelompok peretas yang terkait dengan intelijen Rusia, UAC-0063, diketahui menyerang Kazakhstan dan negara-negara tetangganya untuk mencuri data penting. Penyerangan dilakukan dengan mengirimkan email berisi dokumen palsu dari Kementerian Luar Negeri Kazakhstan. Dokumen ini meretas komputer korban dengan malware bernama HATVIBE, yang membuka celah bagi malware lain bernama CHERRYSPY. Malware ini memungkinkan peretas mengendalikan komputer korban dan mencuri data. Serangan ini seperti upaya Rusia untuk memata-matai Kazakhstan, karena Kazakhstan semakin menjauh dari pengaruh Rusia setelah invasi Rusia ke Ukraina pada 2022. Rusia ingin mengawasi hubungan internasional Kazakhstan yang semakin dekat dengan negara-negara Barat, Tiongkok, dan tetangga Asia Tengah lainnya. Hal ini menunjukkan bagaimana Rusia berusaha mempertahankan pengaruhnya di wilayah tersebut. Dapatkan informasi selanjutnya, Jika Anda membutuhkan informasi lainnya dapat menghubungi SentinelOne Indonesia untuk mendapatkan informasi lebih detail

Ancaman Siber yang setiap harinya terus berkembang menjadi ancaman yang wajib diwaspadai oleh setiap Industri, di Era sekarang  alat yang didukung oleh AI Generatif (GenAI) untuk mendeteksi dan melindungi dengan kecepatan mesin sangat dibutuhkan. SentinelOne telah menjadikan masa depan ini nyata dengan Purple AI, membantu tim keamanan dengan kecanggihan AI untuk tetap selangkah lebih maju dari serangan. Purple AI adalah analis keamanan berbasis AI yang paling canggih di industri: mempermudah pencarian ancaman, penulisan kueri, investigasi, serta navigasi skema data kompleks di SentinelOne dan sumber log mitra. Dengan mengoptimalkan alur kerja, Purple memungkinkan tim Anda fokus pada pemecahan masalah, bukan mengelola proses. Hari ini, SentinelOne dengan bangga mengumumkan dua fitur baru penting di Purple AI yang menghadirkan langkah selanjutnya dalam inovasi keamanan AI untuk mempercepat efisiensi tim keamanan: Dukungan Sumber Log Pihak Ketiga yang Diperluas – Membantu tim SOC mendeteksi ancaman lebih awal dengan visibilitas data yang lebih luas dan aliran data yang terintegrasi di seluruh perusahaan. Akses Awal untuk Dukungan Pertanyaan Multibahasa – Memungkinkan tim keamanan global dan organisasi untuk mencari, menyelidiki, dan merespons lebih cepat dalam bahasa pilihan mereka.    Sumber Log Mitra | Tingkatkan Visibilitas Data untuk Respons yang Lebih Cepat dan Lebih Cerdas Banyak Perusahaan hanya mengandalkan berbagai sumber data untuk membangun pertahanan yang komprehensif. Namun, akses ke lebih banyak data sering kali menjadi celah untuk mempelajari skema data baru dan menguasai bahasa kueri yang kompleks. Purple AI menyederhanakan masalah data bagi tim keamanan. Purple adalah satu-satunya analis keamanan GenAI di industri yang dibangun berdasarkan data yang dinormalisasi saat ingest melalui Open Cybersecurity Schema Framework (OCSF), memungkinkan kueri instan untuk data asli dan pihak ketiga, skalabilitas di berbagai sumber data, dan tampilan data yang dinormalisasi untuk investigasi yang lebih cepat. Purpel AI membantu tim keamanan memanfaatkan kekuatan data dan AI dengan memperluas dukungan sumber log pihak ketiga Purple untuk mencakup: Firewall Palo Alto Networks ZScaler Internet Access Proofpoint TAP Microsoft Office 365 Fortinet FortiGate Okta Dengan Purple AI, tim SOC Anda dapat memanfaatkan data ini untuk menemukan ancaman lebih cepat, mendapatkan visibilitas lebih luas, dan fokus membuat keputusan penting. Purple AI menghilangkan kerumitan kueri, memastikan data yang lebih banyak tidak memperlambat proses Anda tetapi justru memberdayakan keamanan yang lebih cepat dan efisien.   Perluas Visibilitas Anda Mulai hari ini, tim keamanan dapat memanfaatkan kemampuan pencarian ancaman dan investigasi Purple AI sepenuhnya untuk membuat kueri di daftar sumber asli dan pihak ketiga yang luas. Analis keamanan dapat mengajukan pertanyaan seperti: “Tunjukkan berapa banyak pengguna yang mengakses aplikasi cloud dari log ZScaler Internet Access pada 12-17 Januari 2025,” atau “Tunjukkan akun pengguna di Okta dengan jumlah upaya login gagal tertinggi hari ini.” Atau, gunakan pertanyaan Quickstart untuk memulai percakapan dengan Purple AI. Anda akan menerima tabel peristiwa yang presisi yang disesuaikan dengan sumber data baru beserta sintaks PowerQuery yang relevan. Pengguna juga dapat memanfaatkan tindak lanjut kontekstual untuk mengungkap wawasan lebih mendalam tanpa melewatkan satu detail pun. Dengan mengintegrasikan data dari platform yang banyak digunakan ini, Purple AI memperluas perannya sebagai mitra terpercaya bagi tim SOC, membantu Anda tetap selangkah lebih maju dari ancaman yang terus berkembang sambil memperkuat alat dan proses yang Anda andalkan setiap hari.   Pertanyaan Multibahasa | Memberdayakan SOC Global dengan Kekuatan Purple Keamanan siber tidak boleh dibatasi oleh batasan wilayah atau bahasa. Sementara Purple AI telah memberdayakan banyak tim keamanan global, SentinelOne sangat menyadari pentingnya memberikan alat keamanan AI terbaik dalam bahasa pilihan. Itulah sebabnya Purple AI dengan bangga memperkenalkan akses awal untuk dukungan pertanyaan multibahasa, tersedia tanpa biaya tambahan untuk semua pelanggan Purple AI. Purple AI kini lebih mudah diakses, memperluas jangkauannya ke organisasi di seluruh dunia.   Manfaat Utama Dukungan Multibahasa Menghapus Hambatan Bahasa – Ajukan pertanyaan dalam bahasa apa pun yang didukung, dan Purple AI akan menerjemahkannya ke dalam sintaks PowerQuery yang diperlukan untuk memberikan hasil yang akurat. Meningkatkan Kolaborasi Global – Dukungan multibahasa menyederhanakan komunikasi dengan memungkinkan terjemahan secara instan. Langkah investigasi disimpan di Notebook dengan ringkasan terjemahan, sehingga memudahkan berbagi temuan dengan tim internasional atau pemangku kepentingan. Misi Global, Akses Lokal – Dengan membuat Purple AI tersedia dalam lebih banyak bahasa, Purple AI mengambil langkah untuk memastikan bahwa setiap organisasi, di mana pun lokasinya, memiliki akses ke alat keamanan kelas dunia.   Berburu Ancaman Global Jadi Lebih Mudah Dukungan multibahasa di Purple AI memungkinkan tim keamanan merespons ancaman dengan kecepatan, akses, dan presisi, terlepas dari preferensi bahasa. Gunakan fitur ini dengan mudah hanya dengan menambahkan kueri dalam bahasa pilihan Anda. Misalnya: Ajukan dalam Bahasa Indonesia : Tunjukkan berapa banyak pengguna yang mengakses aplikasi cloud dari log ZScaler Internet Access pada 12-17 Januari 2025 Ajukan dalam bahasa Jepang: “2025年01月12日から17日までのZscalerインターネットアクセスログからクラウドアプリケーションにアクセスしたユーザー数を表示します。“ Bahasa yang didukung mencakup Indonesia, Jepang, Spanyol, Prancis, Jerman, Italia, Belanda, Arab, Korea, Thailand, Melayu, dan masih banyak lagi. Ajukan pertanyaan dalam bahasa pilihan Anda, dan Purple AI akan mengurus sisanya dengan menerjemahkan kueri, menafsirkan data, dan memberikan wawasan yang akurat.   Menyatukan Semuanya Baik dengan memperluas visibilitas melalui dukungan sumber log yang diperluas atau membuat keamanan dapat diakses oleh audiens global dengan fitur multibahasa, misi dari teknologi Purple AI jelas: Melindungi data Anda dengan memberdayakan setiap analis untuk mendeteksi lebih awal, merespons lebih cepat, dan tetap selangkah lebih maju dari serangan. Dengan pembaruan ini, Purple AI membangun masa depan di mana kolaborasi dan inklusivitas mendorong inovasi dalam keamanan siber. Bersama-sama, kita bisa mengatasi ancaman dan menciptakan dunia yang lebih aman dan terhubung. Tetap waspada, tetap terhubung, dan tetap aman.   Siap mengeksplorasi fitur baru? Pelanggan Singularity Complete dan Purple AI yang sudah ada dapat mulai menjelajahi kemampuan ini hari ini. Buka Purple AI, ketik kueri pertama Anda, dan lihat hasilnya langsung. Jika Anda memiliki pertanyaan atau memerlukan bantuan, hubungi tim Kami [email protected] untuk mendapatkan informasi lebih detail

Kabar Baik | HIPAA Memperbarui Aturan Keamanan dan Pemerintah Sanksi Operator Kampanye Disinformasi Serangan siber terhadap sistem kesehatan membahayakan pasien secara kritis, mengganggu layanan medis mendesak atau perawatan serta membocorkan data sensitif. Mengingat meningkatnya kebocoran dan serangan data di sektor kesehatan, Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) mengusulkan serangkaian pembaruan pada HIPAA. Aturan baru ini diperkirakan akan diterbitkan dalam waktu 60 hari dan mewajibkan penyedia layanan kesehatan untuk mengenkripsi data pasien, mengadopsi multi-factor authentication (MFA), serta menerapkan segmentasi jaringan untuk membatasi pergerakan penyerang jika terjadi pelanggaran. Pernyataan dari Gedung Putih menekankan bahwa ini adalah pembaruan besar pertama pada aturan keamanan HIPAA sejak 2013, dirancang untuk menghadapi peningkatan tajam peretasan dan ransomware di industri kesehatan dalam beberapa tahun terakhir. Meskipun biaya implementasi diproyeksikan mencapai $9 miliar pada tahun pertama, para ahli menegaskan tingginya biaya jika tidak bertindak, mengingat perlindungan infrastruktur kritis dan pencegahan gangguan data serta layanan harus tetap menjadi prioritas.   Departemen Keuangan AS, melalui Kantor Pengawasan Aset Asing (OFAC), juga memberikan sanksi terhadap dua organisasi dari Iran dan Rusia minggu ini atas keterlibatan mereka dalam pemilu AS melalui kampanye disinformasi. Sanksi terbaru terhadap Cognitive Design Production Center (CDPC) di Iran, yang terkait dengan IRGC, dan Center for Geopolitical Expertise (CGE) di Rusia, yang terkait dengan GRU, menambah sanksi sebelumnya yang diberikan karena memicu ketegangan sosial-politik di kalangan audiens AS. Langkah ini sejalan dengan upaya federal yang lebih luas untuk melawan serangan siber asing dan kampanye pengaruh, termasuk tuntutan pidana terhadap operator Iran dan Rusia yang menargetkan data pemerintah sensitif dan proses demokrasi.   Kabar Buruk | Data Penduduk Rhode Island Bocor di Dark Web Setelah Serangan Brain Cipher Kelompok ransomware Brain Cipher mulai membocorkan data sensitif yang dicuri dari platform layanan sosial RIBridges Rhode Island pada awal Desember. Sistem terintegrasi ini, yang mengelola layanan kesehatan, sosial, dan program bantuan makanan, melayani sekitar 650.000 warga termasuk anak-anak sebelum diambil offline. Gubernur McKee mengonfirmasi bahwa informasi yang bocor mencakup nama, alamat, tanggal lahir, nomor jaminan sosial, dan detail perbankan. Tangkapan layar juga menunjukkan bahwa file yang dicuri mencakup database Oracle dan cadangan sistem. Sementara tim TI sedang menyelidiki pelanggaran tersebut, pejabat negara mendesak penduduk Rhode Island untuk melindungi diri mereka dengan membekukan akun penting, mengaktifkan MFA jika memungkinkan, memantau perubahan tagihan kredit, dan mewaspadai tanda-tanda penipuan phishing yang memanfaatkan informasi identitas pribadi (PII) yang dicuri. Brain Cipher, aktif sejak Juni 2024, terutama terlibat dalam pemerasan berlapis dengan ransomware encryptor dan situs kebocoran data (DLS). Encryptor-nya sendiri berasal dari builder LockBit 3.0 yang bocor. Saat ini, DLS milik Brain Cipher tidak aktif, kemungkinan akibat serangan DDoS, tetapi halaman negosiasi berbasis TOR mereka tetap beroperasi. Enam bulan lalu, Brain Cipher menjadi terkenal karena menyerang Pusat Data Nasional Sementara (PDNS) Indonesia, yang dirancang untuk menyimpan server pemerintah secara aman. Serangan ini menyebabkan gangguan besar pada layanan imigrasi, kontrol paspor, dan perizinan acara di lebih dari 200 lembaga pemerintah. Hingga saat ini, negara bagian Rhode Island telah memulai proses pemulihan bertahap dan bertujuan untuk mengembalikan database online pada pertengahan Januari, sambil memastikan bahwa bantuan makanan dan manfaat asuransi kesehatan tidak tertunda akibat serangan tersebut. Kabar Buruk | 185 Kerentanan Baru Ditambahkan ke Katalog KEV CISA pada Tahun 2024 Sepanjang tahun 2024, CISA menambahkan 185 entri baru ke katalog Known Exploited Vulnerabilities (KEV), sehingga totalnya menjadi 1.238 kerentanan yang dieksploitasi secara aktif dalam perangkat lunak dan perangkat keras. Katalog KEV, yang pertama kali didirikan pada November 2021, adalah sumber terpercaya untuk kerentanan yang telah dieksploitasi di dunia nyata. Masukan dalam KEV memungkinkan komunitas pertahanan siber dan vendor untuk secara efisien mengidentifikasi dan mengurangi risiko kerentanan tinggi dan kritis serta memprioritaskan proses pengelolaannya. Dari 185 entri baru tahun ini, 115 di antaranya merupakan kerentanan terbaru, sementara 60 hingga 70 lainnya adalah kerentanan lama, menyoroti bahwa kerentanan yang telah lama dikenal tetap berbahaya. Kerentanan dari tahun 2002 hingga 2012, seperti CVE-2002-0367 dan CVE-2012-4792, masih terus dieksploitasi. Jenis kerentanan umum lainnya meliputi OS Command Injection (CWE-78), Deserialization of Untrusted Data (CWE-502), dan Use-After-Free (CWE-416). Dari entri baru di tahun 2024, Microsoft menjadi vendor yang paling terdampak dengan 36 kerentanan, mencerminkan luasnya pengaruh Microsoft dalam platform cloud global, sistem perusahaan, dan produk perangkat lunak. Vendor lainnya seperti Google Chromium, Adobe, Apple, dan Ivanti juga menghadapi beberapa kerentanan yang serius. Nantikan informasi lebih lanjut setiap minggunya. Jika Anda membutuhkan informasi lebih detail silahkan menghubungi SentinelOne Indonesia.