Dalam dunia keamanan siber, garis antara alat pertahanan dan senjata serangan semakin kabur. Apa yang awalnya dirancang untuk melindungi organisasi, kini bisa saja dipelintir oleh pihak tak bertanggung jawab menjadi celah untuk menyerang. Kasus terbaru yang diteliti oleh tim Sophos Counter Threat Unit (CTU™) pada Agustus 2025 menunjukkan hal tersebut dengan sangat jelas: Velociraptor, sebuah alat open-source untuk digital forensics dan incident response (DFIR), ternyata disalahgunakan penyerang sebagai pintu masuk jarak jauh ke dalam sistem korban.
Bagaimana Serangan Ini Terjadi?
Kronologi serangan ini cukup menarik. Penyerang memanfaatkan msiexec, utilitas bawaan Windows, untuk mengunduh file installer berbahaya (v2.msi) dari domain Cloudflare Workers. File tersebut ternyata memasang Velociraptor yang sudah dikonfigurasi agar terhubung ke server command-and-control (C2) milik penyerang.
Tidak berhenti di situ, sang penyerang juga menggunakan perintah PowerShell terenkripsi untuk mengeksekusi Visual Studio Code (VS Code) yang diunduh dari domain berbahaya yang sama. VS Code ini dijalankan dengan opsi tunnel, sebuah fitur sah yang memungkinkan akses jarak jauh. Di tangan administrator, fitur ini bermanfaat. Namun di tangan penyerang, ia berubah menjadi saluran komunikasi rahasia dengan server pengendali.
Hasilnya? VS Code berhasil dipasang sebagai layanan sistem, output-nya dialihkan ke log file, dan jalur komunikasi ke luar jaringan pun terbuka. Bahkan, dari staging folder tersebut, penyerang juga mencoba mengunduh file tambahan (sc.msi) yang diduga sebagai malware lanjutan.
Ancaman Ransomware yang Tertunda
Untungnya, aktivitas mencurigakan ini memicu Taegis™ alert, sehingga tim keamanan bisa segera melakukan investigasi. Host yang terinfeksi diisolasi, mencegah penyerang mencapai tujuan akhirnya: penyebaran ransomware. Analisis menunjukkan bahwa pola serangan ini kemungkinan besar memang dirancang untuk berakhir dengan penguncian data dan permintaan tebusan.
Yang menarik, serangan ini bukan sekadar “dropper malware” biasa. Dengan menyalahgunakan Velociraptor—alat yang umumnya digunakan oleh tim keamanan untuk mendeteksi dan merespons ancaman—penyerang berusaha meminimalkan jejak digital mereka. Alih-alih mengandalkan malware kompleks, mereka menunggangi alat sah yang lebih sulit dicurigai.
Evolusi Baru: Dari RMM ke IR Tools
Fenomena penyalahgunaan remote monitoring and management (RMM) tools sebenarnya bukan hal baru. Penyerang sudah sering memanfaatkan software sah seperti AnyDesk, TeamViewer, atau bahkan alat bawaan sistem seperti PowerShell dan WMI. Namun, kasus Velociraptor ini menandai evolusi strategi: kini mereka mulai melirik alat incident response (IR).
Mengapa ini berbahaya? Karena IR tools memang dirancang untuk memiliki akses mendalam ke sistem, termasuk kemampuan memonitor, mengeksekusi perintah, hingga mengakses file sensitif. Jika jatuh ke tangan yang salah, akses sah ini justru menjadi senjata ampuh untuk menguasai jaringan.
Pelajaran untuk Organisasi
Serangan ini mengajarkan kita beberapa hal penting:
- Waspada terhadap penggunaan alat yang tidak sah
Jangan hanya mencari malware. Bahkan aplikasi legal seperti Velociraptor bisa menjadi indikator kompromi jika muncul tanpa otorisasi. - Pantau aktivitas yang menyimpang
Aktivitas tunneling, komunikasi ke domain mencurigakan, atau instalasi layanan sistem yang tidak biasa perlu segera ditindaklanjuti. - Implementasi Endpoint Detection & Response (EDR)
Teknologi EDR modern mampu mendeteksi pola serangan berbasis perilaku, bukan hanya tanda tangan malware. Inilah kunci untuk menghentikan serangan yang memanfaatkan alat sah. - Backup dan segmentasi jaringan
Jika serangan berujung ransomware, organisasi yang memiliki backup terpisah serta segmentasi jaringan akan jauh lebih siap menghadapi dampaknya. - Budaya keamanan sebagai benteng utama
Teknologi tanpa kesadaran tim IT dan pengguna tetap rapuh. Melatih tim untuk mengenali tanda-tanda serangan bisa menghemat banyak kerugian.
Mengapa Ini Penting untuk Kita?
Bayangkan jika serangan ini tidak terdeteksi. Data sensitif bisa terkunci, layanan bisnis lumpuh, dan reputasi perusahaan hancur. Biaya pemulihan dari serangan ransomware bisa mencapai jutaan dolar, belum termasuk kehilangan kepercayaan pelanggan.
Sebaliknya, dengan deteksi dini dan respons cepat, kerusakan bisa ditekan seminimal mungkin. Kasus Velociraptor ini menjadi bukti nyata bahwa investasi pada keamanan siber bukan lagi pilihan, melainkan kebutuhan mendesak.
Penutup
Di dunia yang semakin digital, batas antara pertahanan dan serangan semakin tipis. Alat yang kita gunakan untuk melindungi sistem bisa saja berbalik arah menjadi senjata lawan. Velociraptor adalah contoh terbaru dari fenomena ini.
Bagi organisasi, pesan yang harus ditangkap jelas: jangan pernah lengah. Pantau, deteksi, dan tanggapi setiap anomali—bahkan jika itu berasal dari alat sah. Karena pada akhirnya, dalam keamanan siber, yang membedakan pemenang dan pecundang bukan hanya teknologi, tetapi ketepatan dan kecepatan dalam merespons ancaman.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan sophos indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi sophos.ilogoindonesia.id untuk informasi lebih lanjut!
