Tim Barracuda Managed XDR baru-baru ini berhasil menahan upaya serangan ransomware dari kelompok yang diduga telah menyusup ke jaringan perusahaan sebelum solusi XDR diterapkan. Mereka sempat mengkompromikan beberapa mesin Windows dan akun administrator. Namun, saat para penyerang kembali untuk melancarkan serangan utama, sistem pertahanan XDR Barracuda sudah aktif dan mampu mendeteksi, mengisolasi, serta menetralkan aktivitas berbahaya tersebut.
Ringkasan Insiden
Sebelum solusi Barracuda Managed XDR diinstal, geng ransomware ini telah berhasil mengakses jaringan perusahaan dan menginfeksi dua perangkat serta memperoleh akses ke akun administrator.
Namun saat mereka mencoba memulai fase utama serangan, perusahaan tersebut telah melengkapi diri dengan rangkaian solusi XDR lengkap dari Barracuda—terdiri dari Endpoint Security, Server Security, dan Network Security—yang berhasil mengawasi dan mengendalikan aktivitas penyerangan meskipun titik awal serangan sudah terjadi.
Jalannya Serangan
Pada pukul 08:33 pagi, tim SOC Barracuda menerima peringatan dari sistem mengenai adanya tugas terjadwal mencurigakan yang dibuat dalam jaringan pelanggan. Setelah diselidiki, ditemukan bahwa ini adalah bagian dari serangan ransomware yang sebenarnya sudah dimulai sebelum Managed XDR diterapkan.
Penyerang telah menginfeksi dua mesin, termasuk satu server Windows, serta mengakses akun dengan hak administrator.
Sekitar satu jam kemudian, akun administrator yang telah diretas itu menyebarkan file berisi payload berbahaya berbasis Python bernama python3.12.zip ke tiga perangkat lain, dan mengekstraknya menggunakan PowerShell.
Mereka juga membuat beberapa tugas terjadwal tambahan dengan nama acak seperti \Task_e8ixq., T\Task_258bd060, dan lainnya untuk menjalankan aktivitas berbahaya secara otomatis.
Tindakan Respons dan Penahanan
Beberapa perangkat yang terinfeksi mulai melakukan komunikasi dengan server command-and-control (C2). Tim SOC langsung mengarantina mesin-mesin ini untuk menghentikan penyebaran serangan lebih lanjut.
Tim juga mengidentifikasi hash file dari malware tersebut dan menambahkannya ke dalam daftar blokir, mencegah file serupa dijalankan di lingkungan jaringan lainnya.
Melalui log firewall yang dikumpulkan oleh Managed XDR Network Security, SOC menemukan bukti komunikasi dengan server C2 dari tiga perangkat terinfeksi, serta indikasi eksfiltrasi data dalam jumlah kecil dari salah satu perangkat.
Tim SOC mencoba menggunakan sistem otomatisasi (SOAR dan ATR) untuk memblokir IP berbahaya, namun karena ada kesalahan konfigurasi, pemblokiran otomatis tidak berhasil. Sebagai gantinya, tim bekerja sama dengan pelanggan untuk memblokir IP tersebut langsung melalui firewall.
Berkat keberadaan sistem Managed XDR, para penyerang tidak berhasil melakukan kerusakan yang berarti.
Pelajaran yang Dipetik
Meskipun para penyerang telah menyusup lebih awal, kombinasi solusi XDR dari Barracuda berhasil mendeteksi, menelusuri, dan menghentikan aktivitas mereka.
- Managed XDR Server Security mendeteksi tugas terjadwal mencurigakan.
- Endpoint Security melacak penyebaran malware ke berbagai endpoint.
- Network Security mengidentifikasi komunikasi dengan IP C2 yang berbahaya.
Rangkaian solusi ini secara kolektif mempersingkat waktu kehadiran penyerang dalam jaringan, mengurangi dampak dan gangguan.
Mengapa Scheduled Task Bisa Jadi Tanda Bahaya
Tugas terjadwal Windows sering disalahgunakan oleh penyerang ransomware untuk:
- Menjalankan payload ransomware pada waktu tertentu.
- Memastikan akses berkelanjutan ke sistem yang diretas.
- Mengekspor data dalam pola tersembunyi.
- Menonaktifkan antivirus atau sistem pemulihan.
- Menyebarkan malware ke perangkat lain dalam jaringan.
- Menghapus jejak serangan setelah enkripsi data.
Dalam insiden ini, tanda pertama munculnya ancaman adalah pembuatan scheduled task mencurigakan—dan dari sinilah respons dimulai.
XDR: Pertahanan Utama Melawan Ancaman Modern
Kasus ini menunjukkan bagaimana Barracuda Managed XDR dapat melindungi organisasi dari ancaman kompleks—bahkan saat penyerang sudah berada di dalam sistem.
Dengan pemantauan real-time, analisis dari para ahli, dan respons otomatis, Managed XDR memastikan bahwa para penjahat dunia maya akan menghadapi tembok pertahanan yang kuat.
Jika tertarik, Anda bisa menghubungi Barracuda Indonesia untuk mendapatkan informasi lebih lanjut. Jangan ragu untuk menghubungi PT. iLogo Infralogy Indonesia untuk penjelasan lebih detail.