Tag: sentinelone indonesia

Hari Valentine identik dengan cinta dan kebahagiaan, namun bagi penjahat siber, momen ini merupakan kesempatan emas untuk memanfaatkan emosi dan kepercayaan demi keuntungan finansial. Mereka tidak pernah libur; justru, mereka meningkatkan aktivitasnya selama musim perayaan dengan memanfaatkan tren dan peristiwa terkini untuk menjebak korban yang tidak waspada. Mulai dari penipuan pengiriman bunga palsu, jebakan asmara, hingga kampanye phishing yang menyamar sebagai promosi hadiah kilat, para pelaku kejahatan siber terus mengembangkan taktiknya seiring perkembangan zaman.   Dari Cinta Menjadi Penipuan: Skema Jebakan Asmara Salah satu bentuk penipuan yang marak terjadi adalah “jebakan asmara”. Dalam skema ini, penipu mendekati target melalui media sosial, aplikasi kencan, atau platform pesan instan dengan berpura-pura membangun hubungan yang tulus. Seiring waktu, mereka membangun kepercayaan dan ikatan emosional dengan korban. Namun, tujuan akhir mereka bukanlah cinta, melainkan eksploitasi finansial. Setelah kepercayaan korban didapat, penipu mulai memperkenalkan peluang investasi palsu, seringkali terkait dengan cryptocurrency atau venture finansial lainnya. Mereka meyakinkan korban bahwa investasi ini akan memberikan keuntungan besar, bahkan menunjukkan bukti keuntungan palsu untuk menambah kredibilitas. Korban yang percaya kemudian mentransfer uang ke akun yang dikendalikan oleh penipu. Seiring berjalannya waktu, korban didorong untuk menginvestasikan lebih banyak uang hingga jumlah yang signifikan. Tanpa peringatan, penipu menghilang bersama uang tersebut, memutus semua kontak dengan korban. FBI melaporkan peningkatan tajam dalam penipuan semacam ini dalam beberapa tahun terakhir, dengan kerugian akibat penipuan investasi meningkat dari $3,31 miliar pada tahun 2022 menjadi $4,57 miliar pada tahun 2023. Selain kerugian finansial, penipuan jebakan asmara seringkali menyebabkan dampak emosional dan psikologis yang signifikan. Korban sering mengalami stres dan trauma mendalam setelah menyadari bahwa mereka telah ditipu oleh seseorang yang mereka percayai. Dalam beberapa kasus, beban emosional ini begitu berat sehingga korban mengambil tindakan tragis. Interpol kini menganjurkan penggunaan istilah “jebakan asmara” untuk menggantikan istilah sebelumnya yang memiliki konotasi negatif, guna mengalihkan fokus dari menyalahkan korban ke penipuan terencana yang dilakukan oleh pelaku. Mendorong korban untuk melapor tanpa rasa malu sangat penting, karena pelaporan tepat waktu dapat membantu mencegah penipuan di masa mendatang dan membantu dalam melacak penjahat siber. Kesadaran dan edukasi tetap menjadi pertahanan terbaik melawan skema penipuan yang merusak ini.   Perangkap Hari Valentine: Penipuan Kartu Hadiah Bertema Liburan Kartu hadiah menjadi pilihan populer bagi mereka yang mencari hadiah Hari Valentine secara cepat, menjadikannya sasaran empuk bagi penipu. Setiap tahun, penjahat siber memanfaatkan kesibukan liburan dengan merancang penipuan yang bertujuan menipu korban agar memberikan informasi pribadi atau mengirim uang. Salah satu skema yang umum adalah promosi kartu hadiah palsu, di mana korban menerima email, pesan teks, atau iklan media sosial yang mengklaim bahwa mereka telah memenangkan penawaran spesial Hari Valentine. Pesan-pesan ini sering kali berisi tautan yang mendesak penerima untuk “klaim kartu hadiah eksklusif Anda” atau “tebus liburan romantis Anda sekarang”. Mengklik tautan berbahaya tersebut biasanya mengarahkan korban ke situs web palsu yang dirancang untuk mencuri detail pribadi, informasi kartu kredit, atau kredensial login. Dalam beberapa kasus, situs tersebut mungkin meminta korban untuk memasukkan informasi pembayaran untuk menutupi “biaya pemrosesan kecil”, memberikan akses langsung kepada penipu ke akun finansial mereka. Versi lain dari penipuan ini melibatkan email phishing yang menyamar sebagai peritel besar, menyarankan bahwa pembelian kartu hadiah memerlukan verifikasi atau bahwa hadiah yang belum diklaim akan segera kedaluwarsa. Selain penipuan digital, penipu juga menggunakan taktik rekayasa sosial untuk meyakinkan korban membeli dan mengirim kartu hadiah secara langsung. Trik umum melibatkan penipu yang berpura-pura sebagai orang terdekat atau bahkan atasan, dengan mendesak meminta kartu hadiah Hari Valentine sebagai bantuan. Setelah korban membagikan detail kartu, penipu menguras saldo dan menghilang. Selalu verifikasi sumber dari penawaran kartu hadiah yang tidak terduga, hindari mengklik tautan mencurigakan—terutama yang tidak Anda harapkan. Saat membeli kartu hadiah, lakukan hanya dari peritel tepercaya. Jika email atau pesan teks tampak terlalu bagus untuk menjadi kenyataan, kemungkinan besar itu adalah penipuan.   Unduhan Palsu, Ancaman Nyata: Unduhan Berbahaya Bertema Hari Valentine Penjahat siber sering memanfaatkan tren musiman, dan Hari Valentine tidak terkecuali. Salah satu taktik yang mereka gunakan adalah unduhan berbahaya yang disamarkan sebagai konten digital bertema liburan, yang mudah dibagikan melalui email atau aplikasi chat antara pasangan, teman, dan anggota keluarga. Baik itu wallpaper bertema, generator kartu elektronik, atau kuis online bertema, penipu membuat unduhan yang disusupi malware yang siap menginfeksi perangkat pengguna yang tidak curiga. Unduhan ini sering dipromosikan melalui email phishing, iklan media sosial palsu, atau toko aplikasi tidak resmi. Trik umum adalah menawarkan wallpaper eksklusif Hari Valentine atau kartu elektronik yang dipersonalisasi yang mengharuskan pengguna menginstal program kecil. Namun, tersembunyi di dalam unduhan ini adalah trojan, spyware, atau ransomware yang dirancang untuk mencuri data pribadi, melacak aktivitas online, atau mengunci

Dalam perkembangan terbaru dunia keamanan siber, berbagai operasi internasional telah berhasil mengganggu aktivitas kelompok ransomware terkenal seperti Phobos, 8Base, dan LockBit. Selain itu, munculnya kelompok ransomware baru bernama Sarcoma telah menambah tantangan dalam lanskap ancaman siber global.   Operasi Internasional Mengguncang Kelompok Ransomware Operasi internasional bertajuk “Phobos Aetor” telah menghasilkan penangkapan empat individu yang diduga memimpin kelompok ransomware 8Base. Para tersangka, yang beroperasi dari Phuket, Thailand, dituduh melakukan lebih dari 1.000 serangan siber di seluruh dunia dan memperoleh sekitar $16 juta dalam bentuk Bitcoin dari para korban. Kelompok 8Base dikenal menargetkan usaha kecil dan menengah (UKM) dengan menggunakan varian ransomware Phobos untuk mengenkripsi data dan menuntut tebusan dalam jumlah besar. Beberapa korban profil tinggi termasuk Nidec Corporation dan Program Pembangunan Perserikatan Bangsa-Bangsa (UNDP). citeturn0search0 Selain itu, otoritas di Amerika Serikat, Inggris, dan Australia telah memberlakukan sanksi terhadap Zservers, penyedia layanan hosting berbasis di Rusia, yang diduga menyediakan infrastruktur untuk operasi ransomware LockBit. Dua warga negara Rusia, Alexander Mishin dan Aleksandr Bolshakov, juga dikenai sanksi karena peran mereka dalam mengelola transaksi mata uang virtual LockBit. Sanksi ini mencakup pembekuan aset dan larangan transaksi dengan individu dan entitas yang ditunjuk. Hadiah sebesar $15 juta ditawarkan bagi informasi yang mengarah pada penangkapan operator, pemilik, administrator, atau afiliasi LockBit.   Serangan Ransomware Sarcoma Terhadap Unimicron Kelompok ransomware baru bernama Sarcoma telah mengklaim bertanggung jawab atas serangan terhadap Unimicron, produsen papan sirkuit cetak (PCB) besar yang berbasis di Taiwan. Sarcoma mengklaim telah mencuri 377 GB data, termasuk file SQL dan dokumen sensitif, dan mengancam akan membocorkan data tersebut jika tebusan tidak dibayarkan. Beberapa data yang dicuri telah dipublikasikan, dan perusahaan tersebut telah ditambahkan ke situs kebocoran data Sarcoma. citeturn0search1 Unimicron mengonfirmasi bahwa serangan terjadi pada 30 Januari 2025, mempengaruhi salah satu anak perusahaannya yang berbasis di Shenzhen, China. Perusahaan menyatakan bahwa dampak serangan tersebut terbatas dan saat ini bekerja sama dengan tim forensik untuk menganalisis insiden dan memperkuat pertahanan mereka. Namun, perusahaan belum mengonfirmasi adanya kebocoran data.   Keterkaitan Antara Ransomware dan Spionase Siber yang Didukung Negara Dalam kampanye terbaru, aktor ancaman yang terkait dengan China, dikenal sebagai Bronze Starlight, telah menggunakan ransomware RA World terhadap perusahaan perangkat lunak dan layanan di Asia Selatan. Serangan ini menonjol karena penggunaan seperangkat alat yang biasanya dikaitkan dengan upaya spionase siber yang disponsori negara China. Para peneliti menemukan bahwa Bronze Starlight menggunakan malware PlugX melalui teknik DLL sideloading, memuat DLL berbahaya melalui executable Toshiba yang sah sebelum meluncurkan payload PlugX yang terenkripsi. Serangan ini juga melibatkan penggunaan NPS proxy, alat komunikasi tersembunyi, dan berbagai payload terenkripsi RC4. Vektor akses awal diduga melalui eksploitasi kerentanan Palo Alto Networks PAN-OS (CVE-2024-0012). citeturn0search4 Insiden ini menambah bukti yang menunjukkan adanya tumpang tindih antara spionase siber dan kejahatan siber yang bermotif finansial. Kelompok APT yang didukung China tampaknya berbagi malware dan infrastruktur, yang semakin mempersulit atribusi dalam ekosistem ancaman yang luas.   Kesimpulan Perkembangan terbaru ini menyoroti upaya kolaboratif komunitas internasional dalam memerangi ancaman ransomware dan spionase siber. Meskipun penegakan hukum telah berhasil mengganggu operasi beberapa kelompok ransomware utama, kemunculan aktor baru seperti Sarcoma menunjukkan bahwa lanskap ancaman siber terus berkembang. Oleh karena itu, penting bagi organisasi dan individu untuk tetap waspada, memperbarui pertahanan siber mereka, dan bekerja sama dengan otoritas terkait untuk mengurangi risiko yang ditimbulkan oleh ancaman ini. Diskusikan team SentinelOne untuk mendapatkan informasi dan upaya pencegahan dari ancaman terbaru berikutnya

Dalam dunia digital yang semakin berkembang pesat, ancaman siber bukan lagi hal yang bisa dianggap enteng. Perusahaan dari berbagai sektor kini menghadapi risiko serangan siber yang semakin kompleks dan canggih. Oleh karena itu, memiliki strategi tanggap insiden yang kuat bukan lagi pilihan, melainkan keharusan. Sebagai salah satu perusahaan terdepan dalam bidang forensik digital dan keamanan siber, CCL terus berinvestasi dalam meningkatkan layanan tanggap insidennya. Baru-baru ini, CCL mengumumkan kemitraan strategis dengan SentinelOne, pemimpin global dalam keamanan siber otonom dan solusi Endpoint Detection and Response (EDR). Langkah ini diyakini akan membawa perubahan besar dalam cara CCL menangani ancaman siber.   Apa Itu SentinelOne dan Mengapa Penting? SentinelOne adalah platform keamanan siber yang berbasis kecerdasan buatan (AI) dan otomatisasi. Teknologi ini memungkinkan perusahaan untuk mendeteksi, mengisolasi, dan menanggulangi ancaman siber secara real-time. Dengan menggunakan Singularity Platform, SentinelOne menawarkan visibilitas penuh terhadap jaringan yang terinfeksi, memungkinkan tim tanggap insiden untuk mengambil tindakan dengan cepat dan tepat. Beberapa keunggulan utama SentinelOne meliputi: ✅ Deteksi Dini Ancaman Siber – Menggunakan AI untuk mendeteksi serangan sebelum menyebabkan kerusakan besar. ✅ Respons Otomatis – Mengisolasi perangkat yang terinfeksi untuk mencegah penyebaran malware atau ransomware. ✅ Pemulihan Cepat – Memungkinkan sistem untuk kembali pulih dengan cepat tanpa perlu pemulihan manual yang rumit. ✅ Efisiensi Sumber Daya – Mengurangi beban kerja analis keamanan dengan otomatisasi yang canggih.   Bagaimana CCL Memanfaatkan Teknologi Ini? Dengan mengadopsi SentinelOne, CCL kini memiliki alat yang lebih kuat untuk menangani insiden keamanan siber dengan lebih efisien. Tim Cyber dan Specialist Services CCL dapat: 🔹 Meningkatkan Kemampuan Deteksi – Mampu mengidentifikasi ancaman lebih awal dan lebih akurat. 🔹 Mempercepat Waktu Respons – Dengan otomatisasi, tim bisa segera bertindak tanpa perlu menunggu proses manual yang lama. 🔹 Mengurangi Beban Kerja Manual – Menggunakan AI untuk melakukan analisis dan investigasi awal secara otomatis. 🔹 Mengurangi Biaya Penanganan Insiden – Karena lebih sedikit sumber daya manusia yang diperlukan untuk menangani ancaman secara langsung. Menurut Adam Shortall, Kepala Tim Investigasi Insiden CCL, kemitraan ini adalah langkah besar dalam mempercepat proses tanggap insiden dan pemulihan bisnis pasca-serangan. “Ini adalah perubahan besar dalam kapabilitas kami. Dengan SentinelOne, kami dapat membantu klien pulih lebih cepat dan lebih hemat biaya dari serangan siber.”   Mengapa Ini Penting bagi Perusahaan? Banyak perusahaan, terutama di sektor bisnis, keuangan, dan pemerintahan, masih mengandalkan sistem keamanan siber yang konvensional. Masalahnya, metode lama sering kali memerlukan waktu lama untuk mendeteksi dan merespons ancaman. Akibatnya, kerusakan yang ditimbulkan bisa sangat besar, baik dari sisi finansial maupun reputasi. Dengan solusi seperti SentinelOne yang diadopsi oleh CCL, perusahaan dapat menikmati manfaat berikut: ✔ Keamanan yang Lebih Proaktif – Tidak hanya menunggu serangan terjadi, tetapi juga mencegahnya sebelum terjadi. ✔ Minim Gangguan Operasional – Serangan siber bisa melumpuhkan sistem, tetapi dengan pemulihan cepat, bisnis bisa terus berjalan. ✔ Efisiensi Biaya – Menangani insiden dengan cepat berarti mengurangi potensi kerugian finansial yang besar. ✔ Perlindungan Lebih Baik terhadap Ransomware – Salah satu ancaman terbesar saat ini adalah serangan ransomware yang dapat mengunci data penting.   Pengalaman Langsung Analis Keamanan CCL Adam Shortall, yang juga merupakan SentinelOne Incident Response Engineer (S1REN) bersertifikat, telah merasakan sendiri bagaimana teknologi ini bekerja. Menurutnya, SentinelOne benar-benar mengubah permainan dalam dunia keamanan siber. Ia mengatakan bahwa sistem ini memberikan visibilitas penuh terhadap jaringan yang terdampak serangan, sehingga analis bisa memahami dengan jelas apa yang sebenarnya terjadi. “Dulu, kita harus mengerahkan banyak tenaga dan sumber daya untuk mengejar peretas dan memahami serangan mereka. Sekarang, SentinelOne melakukan sebagian besar pekerjaan itu untuk kami.” Dengan kata lain, perusahaan kini tidak perlu lagi mengeluarkan biaya besar untuk menyewa banyak analis keamanan. Platform ini memungkinkan analis untuk langsung mengambil keputusan yang diperlukan untuk memulihkan sistem dengan lebih cepat dan efisien.   Kesimpulan: Apakah SentinelOne Solusi Masa Depan? Kemitraan antara CCL dan SentinelOne membuktikan bahwa masa depan tanggap insiden siber akan semakin bergantung pada teknologi AI dan otomatisasi. Dalam dunia yang penuh dengan ancaman digital, kecepatan dalam merespons serangan adalah kunci utama. SentinelOne menawarkan solusi yang tidak hanya lebih cepat tetapi juga lebih efisien dalam menangani ancaman siber. Dengan teknologi ini, perusahaan dapat menghindari kerugian besar akibat serangan yang tidak terdeteksi. Bagi perusahaan yang ingin meningkatkan sistem keamanan mereka, mengikuti jejak CCL dan mengadopsi teknologi seperti SentinelOne bisa menjadi langkah yang sangat bijak. Seperti yang dikatakan Adam Shortall: “Jika saya hanya bisa menambahkan satu teknologi keamanan siber ke dalam toolkit kami saat ini, maka itu pasti SentinelOne.” Jadi, apakah perusahaan Anda siap menghadapi ancaman siber dengan teknologi masa depan? Jika ya, maka SentinelOne bisa menjadi solusi yang tepat untuk memastikan bisnis Anda tetap aman dan berjalan lancar!

Dalam dunia keamanan siber yang terus berkembang, Gartner Magic Quadrant menjadi salah satu tolak ukur utama bagi perusahaan yang ingin memilih solusi terbaik untuk perlindungan endpoint mereka. Salah satu nama yang terus bersinar dalam beberapa tahun terakhir adalah SentinelOne. Dengan rekam jejak yang mengesankan, SentinelOne telah diakui sebagai Pemimpin dalam Gartner Magic Quadrant untuk Platform Perlindungan Endpoint selama empat tahun berturut-turut hingga 2024. Namun, pertanyaannya sekarang adalah: akankah SentinelOne tetap mempertahankan posisinya dalam Gartner Magic Quadrant 2025?   Apa Itu Gartner Magic Quadrant? Gartner Magic Quadrant adalah laporan tahunan yang dikeluarkan oleh Gartner, perusahaan riset dan konsultasi teknologi informasi terkemuka di dunia. Laporan ini mengkategorikan perusahaan teknologi ke dalam empat kuadran berdasarkan kemampuan eksekusi dan kelengkapan visi mereka: Leaders (Pemimpin): Perusahaan yang memiliki eksekusi kuat dan visi strategis yang jelas. Challengers (Penantang): Perusahaan dengan eksekusi kuat tetapi kurang inovatif dalam visinya. Visionaries (Visioner): Perusahaan dengan visi yang kuat tetapi eksekusi yang belum sempurna. Niche Players (Pemain Niche): Perusahaan dengan eksekusi dan visi yang terbatas, sering kali hanya melayani pasar tertentu. Sebagai tolok ukur utama dalam industri, masuk dalam kategori “Leaders” menandakan bahwa perusahaan tersebut telah diakui sebagai pemimpin pasar dengan teknologi canggih dan strategi yang solid.   SentinelOne: Jejak Keberhasilan dalam Gartner Magic Quadrant Sejak pertama kali muncul dalam Gartner Magic Quadrant, SentinelOne terus menunjukkan peningkatan yang luar biasa dalam hal inovasi, efektivitas deteksi ancaman, dan strategi pasar. Beberapa faktor utama yang membuat SentinelOne unggul di bidangnya antara lain: Kemampuan AI yang Canggih SentinelOne menggunakan kecerdasan buatan (AI) untuk mendeteksi dan merespons ancaman secara otomatis tanpa perlu intervensi manusia. Ini memungkinkan respons cepat terhadap serangan siber dan meminimalkan dampak terhadap organisasi. Deteksi dan Respon Endpoint yang Unggul Dibandingkan dengan pesaingnya, SentinelOne menawarkan perlindungan yang lebih kuat dengan analisis perilaku yang canggih. Ini memungkinkan perusahaan untuk mengidentifikasi ancaman yang tidak dikenali oleh solusi keamanan tradisional. Kecepatan dan Efisiensi Dengan pendekatan otomatis yang berbasis AI, SentinelOne dapat mendeteksi dan menangani ancaman dalam hitungan detik, mengurangi waktu yang dibutuhkan untuk analisis manual. Kemudahan Manajemen SentinelOne menyediakan antarmuka yang user-friendly dan integrasi yang mudah dengan berbagai solusi keamanan lainnya, menjadikannya pilihan utama bagi banyak organisasi besar. Rekam Jejak yang Konsisten SentinelOne telah memperoleh pengakuan sebagai Pemimpin dalam Gartner Magic Quadrant selama empat tahun berturut-turut hingga 2024. Ini menunjukkan komitmen mereka terhadap inovasi dan peningkatan layanan.   Prediksi SentinelOne dalam Gartner Magic Quadrant 2025 Meskipun laporan Gartner Magic Quadrant untuk 2025 belum dirilis, ada beberapa faktor yang dapat mempengaruhi posisi SentinelOne: Faktor yang Mendukung SentinelOne untuk Tetap di Puncak Inovasi Berkelanjutan: SentinelOne terus berinvestasi dalam pengembangan teknologi keamanan berbasis AI dan otomatisasi yang dapat meningkatkan efektivitas perlindungan mereka. Ekspansi Pasar: Dengan semakin banyak perusahaan yang mengadopsi teknologi SentinelOne, kehadiran mereka di pasar global semakin kuat. Kemitraan Strategis: SentinelOne menjalin kerja sama dengan berbagai vendor teknologi untuk meningkatkan ekosistem keamanan mereka. Reputasi dan Kepercayaan Pelanggan: Basis pelanggan yang semakin besar dan ulasan positif dari pengguna menunjukkan bahwa SentinelOne tetap menjadi pilihan utama dalam perlindungan endpoint.   Tantangan yang Mungkin Dihadapi Persaingan Ketat: Vendor lain seperti Microsoft Defender, CrowdStrike, dan Palo Alto Networks terus berinovasi untuk merebut pangsa pasar SentinelOne. Perubahan Kriteria Gartner: Jika Gartner mengubah metodologi penilaiannya, bisa saja SentinelOne perlu menyesuaikan diri agar tetap berada di posisi teratas. Ancaman Keamanan yang Semakin Kompleks: Dengan semakin canggihnya serangan siber, SentinelOne harus terus meningkatkan kemampuannya untuk tetap relevan. Kesimpulan Berdasarkan rekam jejak dan inovasi yang terus dilakukan, SentinelOne memiliki peluang besar untuk tetap berada dalam kategori “Leaders” di Gartner Magic Quadrant 2025. Namun, dengan persaingan yang semakin ketat dan tantangan baru di dunia keamanan siber, SentinelOne harus terus beradaptasi dan berinovasi agar tetap mempertahankan posisinya. Bagi organisasi yang mencari solusi keamanan endpoint yang andal, SentinelOne tetap menjadi salah satu pilihan terbaik. Namun, seperti biasa, penting untuk terus memantau perkembangan terbaru dalam laporan Gartner untuk mendapatkan gambaran yang lebih akurat mengenai lanskap keamanan siber di masa depan. Segera menghubungi team SentinelOne Indonesia untuk mendapatkan informasi detailnya

Minggu lalu, Apple merilis pembaruan tanda tangan untuk alat anti-malware di perangkatnya, XProtect, guna memblokir beberapa varian dari apa yang disebut sebagai keluarga malware macOS Ferret: FROSTYFERRET_UI, FRIENDLYFERRET_SECD, dan MULTI_FROSTYFERRET_CMDCODES. Keluarga malware yang dikaitkan dengan DPRK (Korea Utara) ini pertama kali diidentifikasi oleh para peneliti pada bulan Desember dan awal Januari sebagai bagian dari kampanye Contagious Interview, di mana pelaku ancaman menipu target agar menginstal malware melalui proses wawancara kerja. Dalam laporan ini, SentinelOne akan memberikan ringkasan penelitian sebelumnya, termasuk kontribusi Apple melalui tanda tangan malware mereka, sebelum menjelaskan sampel baru yang kami beri nama FlexibleFerret, yang hingga saat ini masih belum terdeteksi oleh XProtect. Gambaran umum mengenai malware ini serta daftar indikator yang dapat digunakan oleh para pemburu ancaman dan tim keamanan. Pelanggan SentinelOne telah terlindungi dari semua varian yang diketahui dari keluarga malware Ferret. Latar Belakang Keluarga FERRET Seperti disebutkan sebelumnya, beberapa komponen malware terkait dengan kampanye Contagious Interview telah dijelaskan dalam laporan sebelumnya. Target biasanya diminta untuk berkomunikasi dengan “pewawancara” melalui tautan yang menghasilkan pesan kesalahan dan meminta mereka menginstal atau memperbarui perangkat lunak yang dibutuhkan, seperti VCam atau CameraAccess untuk pertemuan virtual. Dalam laporan sebelumnya, malware yang diamati menjalankan skrip shell berbahaya dan menginstal agen persistensi serta file eksekusi yang menyamar sebagai pembaruan Google Chrome. Pembaruan tanda tangan Apple minggu lalu menargetkan beberapa komponen dalam kampanye malware ini, termasuk backdoor yang menyamar sebagai file sistem operasi dengan nama com.apple.secd (alias FRIENDLYFERRET), serta modul persistensi ChromeUpdate dan CameraAccess (alias FROSTYFERRET_UI). Tidak mengherankan, indikator dalam keluarga malware FERRET ini memiliki kesamaan dengan kampanye DPRK lainnya, termasuk kampanye Hidden Risk yang baru-baru ini dijelaskan oleh SentinelLABS. Beberapa artefak malware umum dari DPRK yang juga terlihat pada malware tahap 2 dari Hidden Risk adalah penggunaan Dropbox untuk eksfiltrasi data serta penggunaan api.ipify.org untuk menentukan alamat IP publik perangkat korban. FlexibleFerret | Varian Baru dalam Keluarga Malware Sebelum Apple merilis XProtect versi 5286, SentinelLABS telah melacak malware yang diidentifikasi oleh para peneliti sebelumnya serta menganalisis varian dari sampel ChromeUpdate dengan identifikasi Mac-Installer.InstallerAlert. Berbeda dengan sampel sebelumnya, malware ini ditandatangani dengan tanda tangan pengembang Apple yang valid (VFYPGAKSLY) dan Team ID (58CD8AD5Z4). Dari hasil analisis ini, menemukan vektor infeksi baru yang sebelumnya tidak terlihat beserta serangkaian sampel terkait. Paket Instalasi Malware Malware ini disebarkan melalui paket penginstal Apple bernama versus.pkg (388ac48764927fa353328104d5a32ad825af51ce), yang berisi: InstallerAlert.app versus.app File biner bernama “zoom” Skrip postinstall.sh Setelah mendapatkan hak akses yang lebih tinggi, paket penginstal menggunakan skrip postinstall.sh untuk mengeksekusi beberapa komponen di dalam direktori /var/tmp/. Skrip postinstall.sh: Mengeksekusi file zoom jika ditemukan Membuka aplikasi InstallerAlert.app Merekam log eksekusi di /private/tmp/postinstall.log   Cara Kerja FlexibleFerret File “zoom” palsu (ee7a557347a10f74696dc19512ccc5fcfca77bc5) menghubungi domain zoom.callservice[.]us (bukan domain Zoom yang sah). InstallerAlert.app menampilkan pesan kesalahan palsu: “This file is damaged and cannot be opened”, meniru pesan asli dari macOS Gatekeeper untuk mengecoh korban. Malware memasang item persistensi di [~/Library/LaunchAgents/com.zoom.plist], yang menargetkan file eksekusi di /private/var/tmp/logd, menyamar sebagai bagian dari sistem operasi. Saat ini, file logd tidak dapat diperoleh karena C2 (Command & Control) yang terkait sedang tidak aktif. Hubungan InstallerAlert dengan ChromeUpdate Komponen InstallerAlert memiliki 86% kesamaan dengan ChromeUpdate, baik dalam string maupun fungsi. Selain itu, beberapa file yang ditemukan dalam versus.pkg telah diidentifikasi sebagai malware oleh berbagai vendor keamanan, termasuk SentinelOne. Perbedaan utama adalah bahwa InstallerAlert ditandatangani dengan tanda tangan pengembang yang telah dicabut. Namun, dengan memanfaatkan tanda tangan ini, kami berhasil menemukan beberapa sampel lain dari FlexibleFerret yang telah dikenali sebagai malware. Kampanye ‘Contagious Interview’ Menargetkan Pengembang Github Sejak November 2023, malware FlexibleFerret telah digunakan dalam kampanye Contagious Interview, yang awalnya menargetkan pencari kerja. Namun, SentinelLABS baru-baru ini menemukan bahwa para pelaku ancaman kini juga berusaha menyerang pengembang melalui Github. Salah satu metode yang digunakan adalah membuka isu palsu di repositori pengembang dan memberikan instruksi untuk mengunduh malware dalam bentuk skrip ffmpeg.sh. Kesimpulan Kampanye Contagious Interview dan keluarga malware FERRET merupakan ancaman yang masih aktif dan terus berkembang. Para pelaku ancaman secara fleksibel berpindah dari aplikasi yang ditandatangani ke versi yang tidak ditandatangani sesuai kebutuhan. Mereka menggunakan berbagai taktik untuk menyebarkan malware ke beragam target di komunitas pengembang, baik melalui serangan terarah maupun metode yang lebih luas seperti media sosial dan situs berbagi kode seperti Github. SentinelLABS terus memantau dan mengungkap aktivitas ini untuk meningkatkan kesadaran serta melindungi pengguna. Pelanggan SentinelOne telah terlindungi dari semua komponen malware yang diketahui dalam kampanye ini melalui platform Singularity. Untuk informasi lebih lanjut tentang cara SentinelOne melindungi perangkat macOS Anda, hubungi kami atau minta demo gratis.

Pelaku ransomware semakin sering menyalahgunakan fitur bawaan cloud untuk menargetkan data penting. Kampanye ancaman terbaru, seperti yang dijelaskan dalam blog Halcyon, mengungkap bahwa aktor ancaman telah menyalahgunakan fitur Server-Side Encryption dengan Customer-Provided Keys (SSE-C) di Amazon Web Services (AWS). Dengan mengenkripsi objek S3 menggunakan kunci mereka sendiri, penyerang membuat data tidak dapat diakses, memanfaatkan layanan AWS dengan kredensial curian untuk menyederhanakan serangan mereka tanpa perlu mengelola infrastruktur tambahan. Blog ini membahas bagaimana serangan ini terjadi, mengapa SSE-C menjadi alat yang menarik bagi kampanye ransomware, serta strategi mitigasi yang dapat diterapkan. Selain pedoman resmi AWS untuk melindungi diri dari ancaman ini, rekomendasi utama mencakup pembatasan penggunaan SSE-C, penerapan prinsip akses minimum (least privilege), dan mengaktifkan pencatatan lanjutan guna mendeteksi aktivitas mencurigakan. Organisasi harus secara proaktif mengamankan lingkungan AWS mereka untuk mengantisipasi ancaman ini.   Server-Side Encryption dengan Customer-Provided Keys (SSE-C) AWS Server-Side Encryption dengan Customer-Provided Keys (SSE-C) memungkinkan pelanggan mengontrol kunci enkripsi saat menyimpan objek di Amazon S3. Fitur ini memastikan bahwa data dienkripsi di sisi server sambil memberikan kebebasan kepada pelanggan untuk menyediakan dan mengelola kunci mereka sendiri, tanpa bergantung pada AWS untuk menghasilkan atau mengelolanya. Sebagai alternatif, AWS juga menghasilkan dan mengelola Data Encryption Key (DEK) terpisah untuk mengenkripsi data selama penyimpanan, sementara kunci yang disediakan pelanggan tetap bersifat rahasia.   Cara Kerja SSE-C Pelanggan Menyediakan Kunci: Saat mengunggah objek ke S3, pelanggan menyertakan kunci enkripsi dalam permintaan. AWS Mengenkripsi Objek: AWS menggunakan kunci yang diberikan sebagai Key Encryption Key (KEK) untuk mengenkripsi Data Encryption Key (DEK). DEK kemudian digunakan untuk mengenkripsi objek dengan algoritma AES-256 sebelum disimpan. Manajemen Kunci oleh Pelanggan: AWS tidak menyimpan kunci enkripsi pelanggan. AWS hanya menyimpan hash kriptografi (HMAC) dari kunci untuk validasi di operasi berikutnya. Dekripsi Saat Pengambilan: Untuk mengakses objek yang dienkripsi dengan SSE-C, pelanggan harus menyediakan kunci yang sama yang digunakan saat pengunggahan. AWS memvalidasi kunci tersebut dan mendekripsi objek sebelum mengembalikannya.   Fitur Utama SSE-C ✅ Kunci Dikontrol Pelanggan – Pelanggan memiliki kendali penuh atas kunci enkripsi mereka. ✅ Tanpa Penyimpanan Kunci di AWS – AWS tidak menyimpan kunci enkripsi pelanggan, mengurangi risiko kebocoran dari sisi AWS. ✅ Enkripsi Saat Transit & Penyimpanan – Objek dienkripsi sebelum disimpan, dan kunci dienkripsi ditransmisikan melalui HTTPS. ✅ Validasi Kunci dengan HMAC – AWS hanya menyimpan hash kriptografi dari kunci untuk validasi, memastikan bahwa hanya pelanggan yang memiliki akses ke data terenkripsi.   Ketika Enkripsi Digunakan untuk Serangan | Penyalahgunaan SSE-C Enkripsi umumnya dianggap sebagai fondasi keamanan data. Namun, di tangan yang salah, bahkan mekanisme enkripsi yang kuat dapat disalahgunakan oleh pelaku ancaman. Tren terbaru dalam serangan ransomware menunjukkan bagaimana penyerang menyalahgunakan fitur AWS SSE-C untuk mengenkripsi data organisasi yang tersimpan di Amazon S3 buckets.   Penyalahgunaan SSE-C dalam Serangan Ransomware Dalam serangan ransomware tradisional, pelaku mengenkripsi data lokal dan meminta tebusan untuk kunci dekripsi. Dengan meningkatnya penggunaan penyimpanan cloud, penyerang menyesuaikan taktik mereka dengan menyalahgunakan fitur bawaan cloud seperti SSE-C.   Kompromi Kredensial Penyerang memperoleh akses ke kredensial AWS melalui: 🔹 Phishing terhadap karyawan 🔹 Credential stuffing dengan kombinasi kata sandi bocor 🔹 Repositori publik yang tidak sengaja mengekspos kunci akses AWS 🔹 Pencurian kredensial melalui malware infostealer dan log cloud   Penyalahgunaan SSE-C Setelah masuk, penyerang menggunakan kredensial yang dikompromikan untuk: ✅ Mengakses bucket S3 milik korban ✅ Mengunggah kunci enkripsi mereka sendiri, sehingga mengubah enkripsi data tanpa izin korban ✅ Memodifikasi kebijakan siklus hidup untuk menghapus file setelah beberapa hari, menciptakan rasa urgensi bagi korban Karena AWS tidak menyimpan kunci enkripsi pelanggan dalam SSE-C, pemulihan menjadi mustahil tanpa kerja sama penyerang.   Permintaan Tebusan Langkah terakhir adalah meninggalkan catatan tebusan di direktori yang terkena dampak, dengan instruksi pembayaran dan ancaman: bayar atau kehilangan data selamanya. Mengapa SSE-C Menjadi Target Menarik? 🔹 Kunci Dikontrol Pelanggan → AWS tidak menyimpan kunci enkripsi, sehingga pemulihan data mustahil tanpa kunci dari penyerang. 🔹 Izin Minimal yang Diperlukan → Hanya dengan s3:GetObject dan s3:PutObject, penyerang dapat mengganti data asli dengan versi terenkripsi mereka. 🔹 Kurangnya Deteksi Penyalahgunaan → AWS CloudTrail mencatat aktivitas enkripsi/dekripsi, tetapi tidak secara otomatis menandai penggunaan SSE-C sebagai aktivitas mencurigakan. Mitigasi Risiko Ransomware di AWS 💡 Aktifkan Bucket Versioning & MFA Delete ✅ Bucket Versioning: Menyimpan versi lama dari file yang dapat dipulihkan jika terjadi serangan. ✅ MFA Delete: Mencegah penghapusan objek tanpa autentikasi multi-faktor (MFA). 💡 Batasi Penggunaan SSE-C Terapkan kebijakan Identity and Access Management (IAM) dan bucket policy yang membatasi penggunaan SSE-C hanya untuk alur kerja yang benar-benar diperlukan. 🔹 Contoh Kebijakan untuk Mencegah Penyalahgunaan SSE-C: {   “Version”: “2012-10-17”,   “Statement”: [     {       “Effect”: “Deny”,       “Principal”: “*”,       “Action”: “s3:PutObject”,       “Resource”: “arn:aws:s3:::your-bucket-name/*”,       “Condition”: {         “StringExists”: {           “s3:x-amz-server-side-encryption-customer-key”: “true”         }       }     }   ] } Bagaimana SentinelOne Melindungi dari Ransomware Cloud? 🛡 SentinelOne Singularity™ Platform ✅ Storyline Active Response (STAR): Sistem deteksi dan respons berbasis cloud untuk memantau aktivitas mencurigakan. ✅ Cloud Native Security (CNS): Solusi keamanan tanpa agen untuk mendeteksi konfigurasi bucket yang rentan. ✅ Deteksi & Respons Otomatis: Mengidentifikasi upaya enkripsi SSE-C yang mencurigakan.   Kesimpulan: Fitur cloud-native seperti SSE-C membawa manfaat, tetapi juga membuka peluang bagi aktor ancaman untuk menyalahgunakannya. SentinelOne menyediakan perlindungan berlapis terhadap serangan ransomware berbasis AWS, dengan memadukan manajemen postur keamanan proaktif, deteksi real-time, dan respons otomatis untuk memastikan keamanan beban kerja cloud Anda.   🔹 Hubungi SentinelOne Indonesia untuk  informasi lebih lanjut tentang solusi keamanan cloud SentinelOne. Kompromi Kredensial Penyerang memperoleh akses ke kredensial AWS melalui: 🔹 Phishing terhadap karyawan 🔹 Credential stuffing dengan kombinasi kata sandi bocor 🔹 Repositori publik yang tidak sengaja mengekspos kunci akses AWS 🔹 Pencurian kredensial melalui malware infostealer dan log cloud   Penyalahgunaan SSE-C Setelah masuk, penyerang menggunakan kredensial yang dikompromikan untuk: ✅ Mengakses bucket S3 milik korban ✅ Mengunggah kunci enkripsi mereka sendiri, sehingga mengubah enkripsi data tanpa izin korban ✅ Memodifikasi kebijakan siklus hidup untuk menghapus file setelah beberapa hari, menciptakan rasa urgensi bagi korban Karena AWS tidak menyimpan kunci enkripsi pelanggan dalam SSE-C, pemulihan menjadi mustahil tanpa kerja sama penyerang.   Permintaan Tebusan Langkah terakhir adalah meninggalkan catatan tebusan di direktori yang terkena…

Selama enam bulan terakhir, aktivitas ransomware baru dan yang sedang berkembang mengalami peningkatan yang signifikan. Menjelang akhir tahun 2024 hingga awal 2025, muncul beberapa kelompok ransomware baru seperti FunkSec, Nitrogen, dan Termite. Selain itu, kelompok terkenal Cl0p kembali beraksi, serta versi terbaru dari LockBit (LockBit 4.0) dirilis. Dalam periode peningkatan aktivitas ini, layanan Ransomware-as-a-Service (RaaS) HellCat dan Morpheus semakin berkembang dan mendapatkan popularitas. Operator di balik HellCat, khususnya, aktif dalam upaya mereka untuk membangun citra sebagai merek dan layanan “terpercaya” dalam dunia kejahatan siber. Sebagai bagian dari penelitian, Team SentinelOne menganalisis payload dari operasi ransomware HellCat dan Morpheus. Dalam laporan ini membahas bagaimana afiliasi dari kedua operasi tersebut menggunakan kode yang hampir identik dalam pembuatan payload. Dan meninjau dua sampel secara mendalam dan menganalisis karakteristik serta perilaku mereka.   HellCat: Ikhtisar HellCat Ransomware muncul pada pertengahan tahun 2024. Operator utama di balik HellCat adalah anggota tingkat tinggi dari komunitas BreachForums serta beberapa fraksi terkait. Beberapa persona yang diketahui terkait dengan HellCat antara lain: Rey Pryx Grep IntelBroker Nama-nama ini sebelumnya telah dikaitkan dengan serangkaian pelanggaran data terhadap target bernilai tinggi. Operator HellCat menggunakan taktik unik untuk menonjol dalam lanskap ransomware, seperti tuntutan tebusan yang tidak biasa dan liputan media untuk memperkuat posisi mereka. Secara terbuka, mereka menyatakan bahwa fokus utama HellCat adalah menargetkan organisasi besar dan entitas pemerintah.   Morpheus: Ikhtisar Morpheus RaaS meluncurkan situs kebocoran data (Data Leak Site/DLS) pada Desember 2024, meskipun aktivitasnya dapat ditelusuri kembali hingga September 2024. Morpheus beroperasi sebagai RaaS semi-pribadi, sehingga lebih tertutup dibandingkan HellCat dalam hal branding dan publikasi. Morpheus telah mencantumkan dua korban utama dari industri farmasi dan manufaktur. Afiliasi yang terkait dengan Morpheus diketahui menargetkan organisasi di Italia, terutama yang menggunakan lingkungan virtual ESXi. Ransomware ini juga dikenal meminta tebusan hingga 32 BTC (~$3 juta USD).   Afiliasi yang Sama Pada akhir Desember 2024, tim peneliti kami menemukan dua payload ransomware serupa yang diunggah ke VirusTotal pada 22 Desember dan 30 Desember 2024. SHA1 Nama File Tanggal Unggah f86324f889d078c00c2d071d6035072a0abb1f73 100M.exe 22 Desember 2024 b834d9dbe2aed69e0b1545890f0be6f89b2a53c7 100M_redacted.exe 30 Desember 2024 Kedua file ini diunggah oleh pengguna anonim dengan ID pengunggah yang sama, yang menunjukkan kemungkinan bahwa afiliasi yang sama terlibat dalam kedua operasi ini. HellCat Virus Total Submission Morpheus Virus Total Submission Setelah melakukan analisis lebih lanjut, kami menemukan bahwa kedua payload ini hampir identik, dengan satu-satunya perbedaan terletak pada data spesifik korban dan detail kontak penyerang.   Perilaku Payload Payload ransomware HellCat/Morpheus berbentuk file PE 64-bit dengan ukuran ~18KB. Untuk menjalankannya, path harus diberikan sebagai argumen, dengan parameter tambahan ww yang digunakan oleh afiliasi dalam sampel ini.   Perintah Eksekusi Ransomware: encryptor.exe ww  encryptor.exe {path} Selain itu, sebuah file bernama er.bat ditemukan diunggah ke VirusTotal pada 31 Desember 2024 dengan ID pengunggah yang sama. File batch ini memberikan wawasan tentang bagaimana ransomware Morpheus dijalankan di sistem target.   Proses Eksekusi dalam er.bat: File batch ini menyalin berbagai file dari server jaringan ke **C:\users\public**. Setelah itu, ransomware dijalankan dengan parameter ww.   Eksklusi File dari Enkripsi Baik HellCat maupun Morpheus memiliki daftar ekstensi file yang dikecualikan dari enkripsi, termasuk: .dll .sys .exe .drv .com .cat Selain itu, ransomware ini tidak akan mengenkripsi folder \Windows\System32.   Karakteristik Unik: Tidak mengubah ekstensi file yang dienkripsi, hanya isinya yang berubah. Hal ini berbeda dari sebagian besar ransomware lain yang biasanya menambahkan ekstensi unik ke file yang telah dienkripsi.   Teknik Enkripsi Payload HellCat dan Morpheus menggunakan Windows Cryptographic API untuk pembuatan kunci dan enkripsi file. BCrypt digunakan untuk menghasilkan kunci enkripsi. BCryptEncrypt digunakan untuk mengenkripsi isi file. Metode ini sebelumnya telah digunakan oleh ransomware terkenal seperti LockBit dan ALPHV.   Catatan Tebusan (Ransom Note) Setelah enkripsi selesai, ransomware menulis catatan tebusan (README.txt) ke dalam disk dan menampilkannya dengan Notepad.   Perbandingan Catatan Tebusan HellCat vs Morpheus Struktur catatan identik, dengan hanya sedikit perbedaan pada detail kontak. Bagian “Kontak” berisi email penyerang, alamat .onion, dan kredensial login korban. Korban diminta untuk mengakses portal .onion milik penyerang untuk berkomunikasi lebih lanjut.   Kemiripan dengan Underground Team Tim riset SentinelOne menemukan bahwa catatan tebusan HellCat dan Morpheus memiliki kemiripan signifikan dengan catatan tebusan dari Underground Team, kelompok RaaS yang muncul pada tahun 2023. Namun, meskipun format catatan tebusan serupa, analisis lebih lanjut menunjukkan bahwa payload ransomware dari Underground Team secara struktural berbeda dari HellCat dan Morpheus. Saat ini, tidak ada bukti langsung yang menunjukkan hubungan antara Underground Team dan kedua operasi ini.   Kesimpulan Payload HellCat dan Morpheus hampir identik, menunjukkan kemungkinan penggunaan kode atau builder yang sama oleh afiliasi mereka. Ransomware ini memiliki ciri unik yaitu tidak mengubah ekstensi file setelah dienkripsi. Belum ada bukti konkret yang menunjukkan hubungan antara HellCat, Morpheus, dan Underground Team, meskipun ada kemiripan dalam catatan tebusannya.   Rekomendasi Keamanan Memahami bagaimana ransomware berbagi kode dapat membantu deteksi dan pencegahan. Solusi keamanan seperti SentinelOne Singularity dapat mendeteksi dan menghentikan perilaku berbahaya yang terkait dengan HellCat dan Morpheus. Hubungi team SentinelOne Indonesia untuk mendapatkan informasi detailnya