Penelitian tim X-Labs kami menemukan dan mengidentifikasi ransomware sederhana yang menargetkan bisnis-bisnis di Turki. Vektor serangan dimulai dari lampiran PDF yang dikirim melalui email mencurigakan, berasal dari domain “internet[.]ru”. Tautan yang disematkan dalam PDF tersebut memungkinkan pengunduhan payload exe tahap berikutnya saat pengguna berinteraksi. Ransomware ini mengenkripsi file dengan ekstensi “.shadowroot”. Saat ini, ransomware ini secara aktif menargetkan berbagai bisnis di seluruh dunia, termasuk sektor kesehatan dan belanja online. Akses Awal (Initial Access): PDF ini berisi tautan URL yang mengunduh payload exe lanjutan dari akun GitHub yang telah dikompromikan: hxxps://raw[.]githubusercontent[.]com/kurumsaltahsilat/detayfatura/main/PDF.FaturaDetay_202407.exe Eksekusi Payload Tahap Berikutnya: File unduhan tersebut adalah binary 32-bit yang dikompilasi dengan Borland Delphi 4.0. Dalam analisis exe-nya, terlihat bahwa file ini men-drop payload lanjutan ke: C:\TheDream\RootDesign.exe C:\TheDream\Uninstall.exe C:\TheDream\Uninstall.ini Payload RootDesign.exe dilindungi dengan dotnet confuser core versi 1.6. Kita dapat melihat class dengan nama acak berisi karakter khusus dan semua nama fungsi yang sudah di-obfuscate. Teknik ini umum digunakan pembuat malware untuk menghindari deteksi oleh perangkat keamanan tradisional, dan merupakan alat open-source untuk proteksi aplikasi .NET. Setelah men-drop payload, PDF.FaturaDetay_202407.exe menjalankan PowerShell tersembunyi untuk mengeksekusi RootDesign.exe dalam mode tersembunyi. Perintah yang digunakan: “C:\Windows\System32\cmd.exe” /c PowerShell.exe -windowstyle hidden powershell -c C:\TheDream\RootDesign.exe Mutant/Mutex yang Dibuat: Local\ZonesCacheCounterMutex Local\ZonesLockedCacheCounterMutex mtx Aktivitas Malware: File yang di-drop ini akan membuat thread rekursif dari dirinya sendiri di memori dengan PID baru, dan mulai melakukan enkripsi. Aktivitas setiap thread-nya dicatat dalam file log C:\TheDream\log.txt dengan menambahkan komentar baris baru “ApproveExit.dot”. Thread-thread rekursif ini juga menyebabkan peningkatan konsumsi memori. Setelah itu, malware mulai mengenkripsi berbagai file penting sistem (non-PE dan file Office), mengganti nama file tersebut dengan ekstensi “.ShadowRoot”, dan men-drop file readme.txt. Isi Readme.txt: File ini menampilkan catatan tebusan dalam bahasa Turki, dan file terenkripsi ditaruh di desktop. Tidak ditemukan informasi langsung tentang alamat dompet kripto, namun korban diarahkan melalui readme untuk menghubungi alamat email yang disediakan guna melakukan pembayaran dan mendapatkan alat dekripsi. Perilaku Tambahan: Kami mengamati proses rekursif yang dibuat sendiri oleh RootDesign.exe, yang menyebabkan file dienkripsi beberapa kali dan meningkatkan konsumsi memori. Malware juga men-drop banyak salinan file terenkripsi di direktori root. Ekstensi file bahkan dapat ditambahkan beberapa kali (misalnya .docx.shadowroot.shadowroot). Di dalam kode, ditemukan penggunaan class .NET AESCryptoServiceProvider, yang umum digunakan untuk enkripsi di aplikasi .NET dan skrip PowerShell. Komunikasi C2 (Command & Control): Malware melakukan koneksi SMTP ke server: smtp[.]mail[.]ru (port 587) Kemudian mengirimkan informasi detail melalui layanan email ke akun mencurigakan: username: kurumsal[.]tasilat @internet[.]ru Domain ini juga digunakan sebagai pengirim email. Kesimpulan: Ransomware ini tampaknya menargetkan bisnis di Turki dengan mengirimkan faktur PDF palsu yang mencurigakan dan mendorong pengguna untuk mengklik tautan berbahaya. Ini mengunduh payload Delphi mencurigakan dan men-drop binary .NET yang dilindungi dotnet confuser untuk menjalankan aktivitas lebih lanjut. File korban dienkripsi dengan ekstensi “.ShadowRoot” dan malware terhubung ke server email SMTP asal Rusia. Ransomware ini tampaknya masih dasar (rudimentary), kemungkinan dikembangkan oleh pelaku yang belum berpengalaman, dan hanya menunjukkan fungsionalitas dasar. Pernyataan Perlindungan (Protection Statement): Pelanggan Forcepoint terlindungi dari ancaman ini di beberapa tahapan serangan: Tahap 2 (Umpan/Lure) – Lampiran PDF berbahaya diidentifikasi dan diblokir. Tahap 5 (Dropper File) – File dropper ditambahkan ke database berbahaya Forcepoint dan diblokir. Tahap 6 (Call Home) – Kredensial C2 diblokir. Indikator Kompromi (IOCs) Hash Payload: CD8FBF0DCDD429C06C80B124CAF574334504E99A 1C9629AEB0E6DBE48F9965D87C64A7B8750BBF93 Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan forcepoint indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi forcepoint.ilogoindonesia.id untuk informasi lebih lanjut!
Category: Uncategorized
Orkestrasi Forcepoint DSPM Mengotomatisasi Tata Kelola Data
Di era yang didorong oleh data saat ini, organisasi menghadapi arus informasi yang terus-menerus. Volume data yang belum pernah terjadi sebelumnya ini membawa peluang sekaligus tantangan. Meskipun data menyimpan wawasan yang berharga, jumlahnya yang besar membuat tata kelola data yang efektif menjadi sulit dilakukan. Orkestrasi alur kerja memainkan peran penting dalam manajemen keamanan dan privasi data. Ia mengotomatiskan tugas-tugas, menetapkan kepemilikan dan tanggung jawab secara jelas, menyederhanakan respons dan tindakan peringatan, serta memastikan kepatuhan yang konsisten terhadap peraturan. Hal ini memungkinkan organisasi merespons insiden tata kelola data dan masalah kepatuhan dengan cepat, meminimalkan risiko, dan meningkatkan efisiensi operasional. Menyederhanakan Orkestrasi dengan Pengaturan yang Intuitif Salah satu fitur unggulan Forcepoint DSPM adalah alat orkestrasi alur kerja yang kuat namun ramah pengguna. Pengaturan dimulai dengan wizard (panduan langkah demi langkah) yang menyederhanakan proses penetapan kepemilikan dan tanggung jawab, pembuatan notifikasi khusus, serta penentuan tindakan remediasi yang ditargetkan untuk setiap dataset berdasarkan definisi pencocokan yang unik. Pengaturan yang komprehensif namun mudah ini merupakan bagian dari visi Forcepoint dalam mewujudkan “Security Simplified”. Dengan memandu pengguna dalam proses konfigurasi, Forcepoint DSPM menghilangkan spekulasi dan mengurangi waktu penyetelan. Ini tidak hanya mempercepat proses implementasi, tetapi juga meningkatkan akurasi sehingga seluruh dataset dikelola dengan tepat sejak awal. Menyatukan Pemangku Kepentingan untuk Alur Kerja yang Efisien Alur kerja yang terorkestrasi dengan baik sangat penting untuk menyelaraskan peran pemangku kepentingan. Kemampuan orkestrasi Forcepoint DSPM memudahkan dalam membagi peran dan tanggung jawab, mendorong komunikasi dan akuntabilitas yang jelas. Dengan menentukan siapa yang bertanggung jawab atas dataset tertentu dan tindakan yang diperlukan, organisasi dapat memastikan semua pihak berada pada pemahaman yang sama. Penyelarasan ini menghasilkan alur kerja yang lebih efisien dalam menangani setiap sumber data dan aset. Ketika semua orang memahami peran dan prosesnya, tata kelola data menjadi lebih terstruktur dan efektif. Notifikasi dan Remediasi yang Disesuaikan Dengan Forcepoint DSPM, organisasi memiliki fleksibilitas untuk membuat alur kerja yang dipersonalisasi berdasarkan tingkat risiko data, memungkinkan respons yang ditargetkan terhadap berbagai situasi keamanan data. Misalnya, organisasi dapat menetapkan kriteria untuk notifikasi dan tindakan remediasi, seperti memindahkan file yang terekspos publik ke repositori internal yang aman, atau menghapus file yang tidak diperlukan untuk mengurangi potensi risiko—semuanya sambil menerima peringatan real-time atas setiap pencocokan risiko data. Integrasi Kecerdasan Buatan (AI) dalam Orkestrasi Lebih dari sekadar alat orkestrasi, Forcepoint DSPM memanfaatkan kekuatan Kecerdasan Buatan (AI) untuk menghadirkan akurasi dan efisiensi luar biasa dalam mengamankan lanskap data yang terus berkembang. Inilah bagaimana Forcepoint DSPM menyatukan segalanya: Penemuan Data Cepat dan Komprehensif: Forcepoint DSPM dapat memindai hingga satu juta file per jam dari berbagai lingkungan penyimpanan data, termasuk Amazon AWS, Microsoft Azure, Google Drive, dan sistem lokal. Proses ini mengungkap data sensitif tersembunyi, mengidentifikasi overexposure (masalah izin), mendeteksi data usang, redundan, atau sepele (ROT), serta menemukan file yang tersimpan di lokasi yang salah—semuanya mendukung kebersihan dan kepatuhan data. Klasifikasi Data Berbasis AI: Mesin AI canggih yang terintegrasi secara otomatis mengidentifikasi data sensitif dan menilai risikonya, memungkinkan organisasi memprioritaskan perlindungan secara efektif. Teknologi AI mesh yang unik digunakan untuk terus melatih dan meningkatkan model AI. (Baca lebih lanjut dalam blog: AI-Powered Accuracy in Forcepoint DSPM.) Alur Kerja yang Disesuaikan: Seperti dijelaskan sebelumnya, DSPM menetapkan kepemilikan dan tanggung jawab untuk setiap sumber data, menghasilkan alur kerja yang lebih efisien. Organisasi dapat merancang alur kerja khusus berdasarkan tingkat risiko, dengan notifikasi dan tindakan remediasi yang sesuai untuk setiap skenario keamanan data. Remediasi Otomatis dengan Peringatan Real-time: Opsi remediasi fleksibel tersedia dalam orkestrasi DSPM, seperti memindahkan file yang terekspos publik ke repositori internal yang aman atau menghapus file yang tidak dibutuhkan untuk menghilangkan risiko. Sistem ini juga memberikan peringatan real-time untuk insiden tata kelola data atau masalah kepatuhan, memungkinkan pencegahan pelanggaran secara proaktif dan meminimalkan dampak bisnis. Dasbor yang Dapat Ditindaklanjuti: Dasbor Forcepoint DSPM menyajikan ringkasan status keamanan data Anda, termasuk area yang paling rentan terhadap serangan ransomware. Pengguna dapat menelusuri informasi lebih dalam untuk memahami detail risiko. Fitur ini memberikan gambaran yang jelas dan dapat ditindaklanjuti tentang postur keamanan data organisasi, sehingga mendukung pengambilan keputusan yang tepat. Lebih dari Sekadar Keamanan—Membentuk Praktik Terbaik Forcepoint DSPM tidak hanya meningkatkan keamanan, tetapi juga memberdayakan organisasi untuk membentuk praktik terbaik. Dengan menekankan langkah-langkah proaktif, akuntabilitas, dan alur kerja yang efisien, DSPM membangun fondasi untuk masa depan data yang aman. Pendekatan strategis ini meningkatkan efisiensi operasional, memastikan kepatuhan, dan memfasilitasi manajemen lingkungan data secara proaktif. Di era digital yang dinamis ini, Forcepoint DSPM bukan hanya sebuah alat—ia adalah aset penting bagi setiap organisasi yang ingin menjaga integritas dan keamanan data mereka. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan forcepoint indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman. Hubungi kami sekarang atau kunjungi forcepoint.ilogoindonesia.id untuk informasi lebih lanjut!