Tag: barracuda indonesia

Ringkasan Insiden Sebuah perusahaan manufaktur menjadi korban serangan ransomware Akira pada pagi hari. Para penyerang masuk melalui akun “hantu”—akun yang dibuat untuk vendor pihak ketiga dan tidak dinonaktifkan setelah vendor tersebut meninggalkan perusahaan. Pada pukul 1:17 pagi, penyerang mencoba bergerak lateral di dalam jaringan dan menonaktifkan keamanan endpoint, tetapi kedua upaya tersebut berhasil diblokir oleh Barracuda Managed XDR. Mereka kemudian mengalihkan fokus serangan mereka ke server yang tidak terlindungi, menaikkan hak akses mereka, dan meluncurkan ransomware pada pukul 2:54 pagi. Pada pukul 2:59 pagi, semua perangkat yang terdampak dan terlindungi oleh XDR telah dinetralisir. Tim SOC bekerja sama dengan perusahaan untuk menyelidiki dan mendukung pemulihan. SOC adalah bagian dari Barracuda Managed XDR, yang menyediakan deteksi ancaman, analisis, dan mitigasi yang dipimpin oleh AI 24/7.   Bagaimana Serangan Terjadi Area yang Terbuka dalam Infrastruktur IT Target Beberapa kerentanannya ada pada infrastruktur IT dan kebijakan keamanan perusahaan yang memungkinkan serangan ini terjadi, antara lain: Perangkat yang tidak terlindungi di jaringan. Saluran VPN yang terbuka di firewall. Tidak adanya penerapan multi-factor authentication (MFA) secara menyeluruh di seluruh perusahaan. Adanya akun pihak ketiga yang tidak dinonaktifkan setelah vendor tersebut pergi. Penyerang mendapatkan akses dengan memperoleh kredensial akun “hantu” dan memanfaatkan saluran VPN yang terbuka untuk menembus jaringan. Penting untuk dicatat bahwa penerapan XDR Network Security bisa mendeteksi aktivitas VPN yang mencurigakan lebih awal dan memblokir serangan tersebut.   Serangan Utama Pada pukul 1:17 pagi, XDR Endpoint Security mendeteksi penyerang yang mencoba bergerak lateral di jaringan dengan menggunakan malware dan teknik pass-the-hash, yang berhasil diblokir. Pergerakan lateral yang mencurigakan adalah indikator utama dari serangan ransomware, dan pada tahun 2024, 44% dari insiden ransomware teridentifikasi pada fase ini. Penyerang kemudian melakukan dua upaya untuk mengatasi perlindungan endpoint: Pada pukul 1:37 pagi, mereka menjalankan Advanced IP Scanner untuk mengidentifikasi perangkat di jaringan. Pada pukul 1:41 pagi, mereka mencoba menonaktifkan XDR Endpoint Security, namun upaya ini gagal berkat kemampuan anti-tampering XDR. Penyerang kemudian menggunakan WinRAR untuk mengompres file sebagai persiapan untuk exfiltrasi data dan mengalihkan fokus serangan mereka ke server yang tidak terlindungi. Mereka berhasil menaikkan hak akses mereka pada server tersebut dan meluncurkan serangan dari sana. Jika server tersebut terlindungi oleh XDR, aktivitas mencurigakan ini pasti akan terdeteksi. Pada pukul 2:54 pagi, penyerang meluncurkan ransomware Akira dari server yang tidak terlindungi dan mencoba mengenkripsi perangkat lain yang dapat mereka jangkau melalui jaringan. Enkripsi jarak jauh adalah taktik umum yang digunakan penyerang untuk menghindari kontrol keamanan yang bisa teraktivasi jika mereka mencoba menjalankan ransomware pada setiap host secara individual. Namun, begitu proses enkripsi jarak jauh dimulai, aturan STAR kustom XDR Endpoint Security mendeteksi aktivitas jahat tersebut dan mulai mengisolasi endpoint yang menjadi target dari jaringan. Dalam empat menit, pada pukul 2:59 pagi, semua endpoint yang terdampak dan terlindungi oleh XDR telah diputuskan dari jaringan. Tim SOC XDR kemudian mengeluarkan peringatan keamanan dengan tingkat risiko tinggi dan menghubungi perusahaan untuk memberi tahu mereka tentang insiden ini.   Pemulihan dan Pemulihan Setelah insiden dinetralisir, insinyur keamanan endpoint SOC bekerja sama dengan perusahaan untuk menyelidiki insiden dan mendukung proses pemulihan. Mereka menggunakan XDR Endpoint Security untuk menjalankan perintah rollback pada endpoint yang terdampak dan mengembalikannya ke snapshot terakhir sebelum insiden terjadi. Investigasi pasca-insiden mengungkapkan adanya saluran VPN yang terbuka dan kurangnya penerapan MFA sebagai kelemahan utama.   Pelajaran yang Dipetik Serangan ini menunjukkan bagaimana serangan siber semakin menjadi multi-langkah dan multi-level, dengan penyerang yang siap beradaptasi dan mengeksploitasi setiap area yang tidak terlindungi. Untuk melindungi dari ancaman seperti ini, organisasi memerlukan pertahanan yang komprehensif dan berlapis dengan visibilitas yang terintegrasi. Pelajaran utama yang bisa dipetik antara lain: Selalu terapkan MFA, terutama pada akun VPN yang dapat diakses dari luar. Terapkan kebijakan kata sandi yang mengharuskan rotasi kredensial secara teratur. Audit akun pengguna aktif secara rutin dan nonaktifkan akun yang tidak lagi digunakan. Dalam studi kasus ini, kurangnya perlindungan keamanan membantu penyerang untuk mengakses jaringan dan tetap tidak terdeteksi hingga mereka memutuskan untuk bergerak lateral. Begitu mereka menargetkan endpoint yang terlindungi oleh XDR, setiap upaya untuk melanjutkan serangan segera dimitigasi dan diperbaiki dalam waktu singkat.   Manfaat XDR XDR dapat meningkatkan keamanan dengan cara: Secara proaktif mengidentifikasi perangkat yang tidak terlindungi di jaringan, memberikan peringatan pada organisasi mengenai potensi kerentanannya. Mendeteksi aktivitas mencurigakan, seperti eksploitasi VPN, lebih awal dalam siklus serangan. Memperluas perlindungan XDR untuk mencakup server, di mana aktivitas dan kenaikan hak akses yang tidak biasa bisa terdeteksi. Dengan mengintegrasikan intelijen ancaman, Respons Ancaman Otomatis, dan solusi seperti XDR Server Security, XDR Network Security, dan XDR Cloud Security, Barracuda Managed XDR menawarkan pendekatan keamanan yang komprehensif yang mengurangi waktu huni dan meminimalkan dampak serangan. Apakah Anda sudah mempertimbangkan Barracuda sebagai pilihan solusi keamanan Anda? Jika tertarik, Anda bisa menghubungi Barracuda Indonesia untuk mendapatkan informasi lebih lanjut. Jangan ragu untuk menghubungi PT. iLogo Infralogy Indonesia untuk penjelasan lebih detail.

Phishing-as-a-Service (PhaaS) memberikan penyerang set alat canggih dan templat yang memungkinkan mereka untuk dengan cepat meluncurkan kampanye phishing. Kenaikan pesat dan evolusi PhaaS mendorong perubahan mendasar dalam ekosistem phishing, menjadikannya ancaman yang semakin kompleks dan canggih. Para pengembang di balik kit phishing ini menginvestasikan sumber daya yang cukup besar untuk penciptaan dan peningkatan berkelanjutan. Menurut analis ancaman Barracuda, sekitar 30% dari serangan kredensial yang terjadi pada 2024 menggunakan PhaaS, dan diperkirakan angka ini akan meningkat menjadi 50% pada 2025. Barracuda memantau aktivitas beberapa platform PhaaS terkemuka, salah satunya adalah Tycoon. Penggunaan Tycoon telah tersebar luas sejak Agustus 2023. Kit ini berkembang menjadi Tycoon 2FA dengan kemampuan untuk menghindari otentikasi multi-faktor (MFA), dalam hal ini 2FA, dengan mengumpulkan dan menggunakan cookie sesi Microsoft 365. Versi terbaru dari Tycoon 2FA pertama kali terlihat pada November 2024, dan menampilkan taktik canggih yang dirancang untuk menghalangi, menggagalkan, dan menghambat upaya alat keamanan untuk mengonfirmasi niat jahatnya dan memeriksa halaman webnya. Taktik-taktik ini meliputi: Penggunaan akun email yang sah — kemungkinan telah dikompromikan — untuk meluncurkan serangan Kode sumber yang dibuat khusus untuk menghalangi analisis halaman web Langkah-langkah untuk memblokir penggunaan skrip keamanan otomatis dan alat pengujian penetrasi Mendeteksi penekanan tombol yang mengindikasikan inspeksi web dan kemudian memblokir aktivitas lebih lanjut Menonaktifkan menu klik kanan yang bisa mengungkapkan niat sebenarnya dari halaman web Memblokir pengguna untuk menyalin teks penting dari halaman web untuk analisis offline Dalam Sorotan Ancaman ini, kami akan menggali beberapa taktik ini dan melihat bagaimana mereka digunakan untuk menghindari deteksi dan inspeksi. Evolusi Terbaru Tycoon 2FA Tycoon 2FA memungkinkan penyerang untuk mencegat dan menghindari langkah-langkah keamanan berlapis yang dirancang untuk melindungi akun. Dengan mengeksploitasi kerentanannya dalam proses 2FA, penyerang dapat memperoleh akses tidak sah ke akun yang seharusnya aman. Pada awal November 2024, kami mencatat peningkatan penggunaan versi baru dari Tycoon yang lebih tersembunyi dibandingkan dengan edisi sebelumnya dan menggunakan berbagai taktik canggih untuk menghalangi deteksi dan analisis. Penggunaan Identitas Email yang Sah Salah satu perubahan signifikan dibandingkan dengan versi sebelumnya dari Tycoon 2FA adalah bahwa email phishing kini dikirimkan dari alamat email yang sah, yang kemungkinan telah dikompromikan. Taktik Canggih untuk Mencegah Analisis Halaman Phishing Kode Sumber yang Menghalangi Selain cara pengiriman email phishing, kami juga memperhatikan perubahan besar pada kode sumber untuk halaman login palsu. Kode ini memulai proses pemuatan sumber daya JavaScript, stylesheet, font, dan meta tag yang digunakan di halaman phishing. Namun, pada versi terbaru Tycoon 2FA, pola tipikal pemanggilan sumber daya JavaScript eksternal, stylesheet, dan meta tag dilewati, dan fungsi skrip baru ditambahkan untuk menghalangi upaya untuk menganalisis halaman web tersebut. Deteksi Skrip Keamanan Otomatis Analisis mendalam terhadap kode Tycoon 2FA yang diperbarui juga mengungkapkan langkah-langkah untuk mendeteksi dan memblokir jenis alat atau skrip otomatis yang umumnya digunakan oleh solusi keamanan untuk menentukan apakah kode tersebut berbahaya, seperti alat pengujian penetrasi ‘Burp’. Versi terbaru Tycoon 2FA dapat mendeteksi dan memblokir kombinasi tombol atau pintasan yang sering digunakan oleh pengembang atau tim keamanan untuk memeriksa halaman web, membuatnya lebih sulit bagi analis untuk menyelidiki halaman web untuk kode yang mencurigakan, riwayat browser, dan lainnya. Apakah Anda sudah mempertimbangkan Barracuda sebagai pilihan solusi keamanan Anda? Jika tertarik, Anda bisa menghubungi Barracuda Indonesia untuk mendapatkan informasi lebih lanjut. Jangan ragu untuk menghubungi PT. iLogo Infralogy Indonesia untuk penjelasan lebih detail.

Mengurangi Risiko Pasca-Pengiriman Sambil Meringankan Beban TI Tidak peduli seberapa kuat langkah-langkah keamanan email Anda, beberapa ancaman akan tetap lolos dari pertahanan awal. Baik itu serangan phishing yang canggih atau varian malware yang muncul, kemampuan untuk mendeteksi dan merespons ancaman pasca-pengiriman dengan cepat sangat penting untuk membatasi kerusakan dan memastikan kelangsungan bisnis. Di sinilah respons insiden otomatis menjadi solusi yang mengubah permainan dan menjadi bagian penting dari keamanan email Anda.   Kebutuhan untuk Mitigasi Ancaman Pasca-Pengiriman Organisasi sering kali sangat bergantung pada keamanan email pra-pengiriman untuk menyaring sebagian besar serangan. Namun, kenyataannya adalah bahwa bahkan pertahanan terbaik pun tidak dapat menangkap semuanya. Ketika ancaman lolos, tim keamanan perlu bertindak cepat. Tanggapan yang terlambat atau tidak efisien dapat memungkinkan penyerang bergerak secara lateral, mengeksfiltrasi data sensitif, atau mengganggu operasi. Mitigasi ancaman pasca-pengiriman yang proaktif sangat penting untuk: • Mengendalikan potensi kerusakan. • Meminimalkan penyebaran konten berbahaya. • Melindungi pengguna akhir dan data kritis. Sayangnya, banyak organisasi yang kesulitan untuk merespons dengan efektif karena keterbatasan sumber daya dan ketidakefisienan manual.   Tantangan Respons Insiden Manual Respons insiden manual adalah hal yang umum, namun memiliki sejumlah kekurangan: • Memakan waktu: Mengatasi satu email phishing saja bisa memakan waktu berjam-jam, terutama jika melibatkan identifikasi semua pengguna yang terdampak, mengarantina pesan, dan melakukan tindak lanjut. • Bergantung pada sumber daya: Staf TI yang terbatas sering kali tidak dapat mengikuti volume ancaman, yang mengarah pada penundaan dalam respons. • Rentan terhadap kesalahan: Pengawasan manusia meningkatkan risiko melewatkan indikator penting atau gagal bertindak cukup cepat untuk mencegah penyebaran lebih lanjut.   Mengapa Respons Insiden Otomatis adalah Solusi Respons insiden otomatis mengubah keamanan pasca-pengiriman dengan mengatasi ketidakefisienan ini. Dengan otomatisasi, organisasi dapat meminimalkan risiko dengan mengotomatisasi deteksi dan perbaikan ancaman sebelum mereka menyebabkan kerusakan besar. Ini berarti perbaikan yang lebih cepat yang akan secara signifikan mengurangi waktu antara deteksi dan respons. Ini juga memungkinkan Anda untuk menangani volume insiden yang besar dengan mudah, memastikan perlindungan bahkan untuk organisasi dengan sumber daya terbatas. Semua ini dilakukan sambil meningkatkan akurasi dan meminimalkan risiko kesalahan manusia.   Komponen Utama dari Respons Insiden Otomatis Meskipun rincian sistem respons insiden otomatis dapat bervariasi, solusi yang efektif sering kali mencakup: • Alat Pemburuan dan Investigasi Ancaman: Tim TI harus dapat secara proaktif mengidentifikasi, menganalisis, dan mengurangi potensi ancaman dalam lingkungan organisasi sebelum mereka menyebabkan kerusakan signifikan. Ini melibatkan kombinasi keahlian manusia dan teknologi canggih untuk mencari tanda-tanda aktivitas berbahaya. Sebagai contoh: • Analisis pesan yang dilaporkan oleh pengguna • Intelijen berbasis kerumunan dari insiden yang dibuat oleh organisasi lain atau tim Anda sendiri • Wawasan terperinci tentang pola serangan dan pengguna yang terdampak, memungkinkan tim TI untuk menilai skala penuh insiden. • Perbaikan: Memberikan kemampuan untuk secara otomatis menarik semua email berbahaya dan menetralkan potensi ancaman di semua kotak masuk yang terdampak. Identifikasi seluruh cakupan serangan, termasuk semua pengguna dan kotak masuk yang terpengaruh, dan hapus permanen email berbahaya langsung dari kotak masuk pengguna. • Otomatisasi: Respons insiden otomatis sepenuhnya akan merampingkan tugas-tugas berulang dengan tindakan berbasis aturan, memastikan konsistensi dan akurasi sambil mengurangi upaya manual yang diperlukan dari tim TI. Sebagai contoh, buat buku panduan respons kustom untuk mengotomatisasi seluruh proses respons insiden Anda dengan mendefinisikan pemicu, menentukan kondisi, dan menetapkan tindakan yang diinginkan melalui antarmuka pengguna yang sederhana.   ROI dari Otomatisasi Respons insiden otomatis memberikan nilai yang terukur. Ini memastikan waktu respons yang lebih cepat, karena tindakan langsung mencegah ancaman meningkat. Ini meminimalkan risiko dengan mengurangi jendela eksposur dan potensi kerusakan. Efisiensi operasional tercapai dengan membebaskan tim TI untuk fokus pada prioritas strategis alih-alih tugas-tugas berulang. Selain itu, penghematan biaya tercapai melalui pengurangan biaya operasional TI dengan mengurangi beban kerja manual yang diperlukan untuk mengelola ancaman.   Bagaimana Barracuda Dapat Membantu? Hanya Barracuda Email Protection Plans yang mencakup respons insiden otomatis sebagai kemampuan standar untuk semua pelanggan. Solusi kami membuat keamanan tingkat perusahaan menjadi terjangkau dan mudah diakses, menyediakan cara yang dapat diskalakan dan efisien untuk meningkatkan postur keamanan organisasi Anda tanpa memerlukan sumber daya TI tambahan. Capai keamanan email yang dapat diskalakan, efisien, dan terjangkau dengan Barracuda. Temukan bagaimana kemampuan respons otomatis kami dapat melindungi organisasi Anda sambil mengurangi beban pada tim TI Anda. Jelajahi Email Protection Plans kami hari ini.   Apakah Anda sudah mempertimbangkan Barracuda sebagai Solusi Keamanan Anda? Jika Anda tertarik, jangan ragu untuk menghubungi Barracuda Indonesia untuk informasi lebih lanjut.

Tahun 2024 penuh dengan berita keamanan siber. Itu adalah tahun terjadinya pelanggaran data, ransomware, munculnya komputasi kuantum, dan masih banyak lagi. Satu-satunya hal yang tetap adalah perubahan. Seiring dengan ransomware yang terus menyebabkan kerusakan, menurut Security Intelligence, pembayaran ransomware mencapai rekor tertinggi pada 2024, dengan korban membayar sekitar $459,8 juta pada paruh pertama tahun ini. Pembayaran tebusan terbesar yang terungkap adalah $75 juta kepada kelompok ransomware Dark Angels oleh sebuah perusahaan Fortune 50 yang tidak disebutkan namanya. Terdapat juga adopsi zero trust yang semakin meningkat pada 2024 dan pertumbuhan eksponensial perangkat IoT. Menurut IoT Analytics, hingga 2024, jumlah perangkat Internet of Things (IoT) yang terhubung di seluruh dunia diperkirakan mencapai sekitar 18,8 miliar, yang mencatatkan peningkatan sebesar 13 persen dari 16,6 miliar pada 2023. Pertumbuhan ini diperkirakan akan terus berlanjut, dengan proyeksi bahwa jumlah perangkat IoT akan mencapai sekitar 40 miliar pada 2030. Pelbagai pelanggaran data besar terjadi, mulai dari raksasa perawatan kesehatan hingga Krispy Kreme dan hampir semua sektor lainnya.   Beberapa sorotan keamanan siber 2024 Kami berdiskusi dengan lima ahli keamanan siber untuk mendengar pandangan mereka tentang momen-momen paling berkesan pada 2024. Berikut adalah wawasan mereka tentang peristiwa-peristiwa utama keamanan siber tahun ini:   Simon Wijckmans, CEO c/side: “Isu terbesar tahun 2024 adalah serangan rantai pasokan di sisi browser. Skrip situs web pihak ketiga yang rentan, yang digunakan untuk berbagai hal mulai dari portal pembayaran hingga analitik dan chatbot, menjadi cerita besar dalam dunia keamanan siber. Serangan Polyfill yang menonjol di pertengahan tahun memengaruhi setengah juta situs web. Ini menunjukkan betapa besar masalah yang ditimbulkan oleh skrip pihak ketiga yang tidak dipantau. Ruang lingkup serangan ini berkisar dari mengalihkan pengguna ke situs berbahaya hingga menangkap informasi pembayaran sensitif.” “Untuk penyedia layanan terkelola (MSP), serangan ini merupakan perbatasan baru dalam masalah keamanan. Mereka sekarang harus melindungi klien mereka tidak hanya dari ancaman jaringan tradisional, tetapi juga dari skrip pihak ketiga yang dapat membahayakan banyak klien sekaligus,” tambah Wijckmans. Ia juga menyebutkan bahwa dengan diterapkannya persyaratan PCI DSS v4.0.1 pada Maret 2025, tekanan untuk organisasi semakin besar. Mereka harus memiliki strategi pemantauan dan deteksi yang cukup untuk skrip pihak ketiga, terutama di halaman pembayaran.   Joe Robinson, Koordinator Komunikasi di QR Code Developer: “Hal yang paling mengkhawatirkan yang saya dengar tahun ini adalah bahwa aktor jahat kini dapat menggunakan AI untuk mengkloning suara seseorang hanya dari tiga detik audio,” kata Robinson, menambahkan bahwa ini sangat mengkhawatirkan jika dikaitkan dengan penipuan penyamaran, yang meningkat pesat dalam beberapa tahun terakhir. “Orang tua berada pada risiko tinggi terutama dengan penipuan ‘cucu yang sedang dalam kesulitan’ yang menggunakan suara yang tampaknya milik kerabat mereka, dan saya yakin kita akan mulai mendengar tentang penipuan ‘whale phishing’ menggunakan teknik-teknik ini.”   Para ahli merefleksikan momen penting dan ancaman yang muncul Denis Vyazovoy, Chief Product Officer di AdGuard VPN: “Beberapa orang mungkin sudah lupa karena ini terjadi pada bulan Januari, tetapi peretas mencuri 26 miliar catatan dalam pelanggaran data terbesar — bukan hanya di 2024, tetapi sepanjang masa — yang dikenal sebagai ‘Mother of All Breaches’. Dampaknya akan terus terasa selama bertahun-tahun, terutama mengingat kemunculan komputasi kuantum dan potensinya dalam memfasilitasi dekripsi data di masa depan.” Tom Leahy, SVP, Sales dan Marketing di SureShield: “Pelanggaran data Change Healthcare adalah salah satu insiden keamanan siber paling signifikan. Skala dan dampaknya memengaruhi jutaan individu dan informasi sensitif mereka. Pelanggaran ini menyebabkan pengiriman sekitar 100 juta pemberitahuan individu. Ini mengekspos catatan pribadi dan medis sejumlah besar orang Amerika. Kelompok yang bertanggung jawab adalah BlackCat/ALPHV. Mereka menyusup ke jaringan Change Healthcare dan beroperasi selama 9 hari, melakukan ekstraksi data. Kemudian, mereka mengirimkan ransomware untuk mengenkripsi file, yang menyebabkan kerusakan lebih lanjut pada jaringan.” AJ Thompson, CCO Northdoor: “Cerita terbesar dalam keamanan siber 2024 adalah eskalasi biaya pelanggaran data yang terus meningkat. Tren ini disorot dalam laporan IBM 2024 Cost of a Data Breach. Biaya rata-rata pelanggaran data global telah mencapai $4,88 juta. Ini menandai lonjakan luar biasa sebesar 10 persen, peningkatan terbesar sejak pandemi. Yang lebih kritis, 35 persen dari pelanggaran ini melibatkan data bayangan, dan pelanggaran di cloud publik kini menempati posisi teratas dalam daftar biaya dengan $5,17 juta. Tren yang mengkhawatirkan ini menunjukkan semakin kompleksnya risiko siber. Organisasi harus menghadapinya dengan langkah-langkah keamanan siber yang ditingkatkan dan kesadaran yang lebih tinggi.”   Menutup tahun 2024 Saat 2024 berakhir, dunia keamanan siber menyaksikan pembayaran ransomware yang memecahkan rekor dan munculnya penerapan zero trust. Tahun ini juga menyaksikan pertumbuhan eksponensial perangkat IoT. MSP menghadapi ancaman yang semakin besar, dengan pelanggaran data besar yang memengaruhi berbagai industri, mulai dari perawatan kesehatan hingga ritel. Lanskap ini berkembang pesat, menghadirkan tantangan dan peluang bagi penyedia layanan terkelola.