Dalam dunia keamanan siber, ancaman ransomware terus berkembang dan semakin canggih. Salah satu kelompok ransomware yang mulai mencuri perhatian sejak awal 2025 adalah GOLD SALEM, juga dikenal sebagai Warlock Group. Kelompok ini telah aktif melakukan serangan ransomware dengan menggunakan teknik yang cukup canggih dan strategi yang sudah terbukti efektif, menjadikannya salah satu pemain menonjol di lanskap ransomware saat ini.
Siapa GOLD SALEM dan Seberapa Berbahayanya?
GOLD SALEM adalah grup ransomware yang mulai menginfeksi jaringan dan menjalankan ransomware Warlock sejak Maret 2025. Meskipun Microsoft menduga grup ini berbasis di China, bukti konkret belum cukup kuat untuk memastikan asal mereka secara pasti.
Sejauh ini, GOLD SALEM telah mengklaim sekitar 60 korban dari berbagai sektor, mulai dari perusahaan kecil hingga korporasi multinasional di Amerika Utara, Eropa, dan Amerika Selatan. Menariknya, mereka menghindari target di China dan Rusia, meski ada indikasi korban Rusia pernah muncul di situs kebocoran data mereka—ini menunjukkan bahwa grup ini mungkin beroperasi dari luar wilayah tersebut untuk menghindari pengejaran hukum.
Metode Serangan dan Teknik yang Digunakan
GOLD SALEM memperlihatkan kemampuan teknis yang mumpuni. Mereka menggunakan eksploitasi rentan aplikasi umum seperti Veeam, ESXi, dan SharePoint untuk mendapatkan akses awal. Misalnya, di akhir Juli 2025, GOLD SALEM diketahui memanfaatkan rantai eksploitasi yang dikenal sebagai ToolShell untuk mengakses server SharePoint.
Setelah berhasil masuk, mereka memasang web shell berbahaya yang memungkinkan mereka menjalankan perintah secara jarak jauh dan mengontrol server yang disusupi. Selain itu, mereka juga menggunakan teknik canggih seperti BYOVD (Bring Your Own Vulnerable Driver) untuk menonaktifkan sistem keamanan endpoint tanpa terdeteksi.
GOLD SALEM juga memanfaatkan alat forensik dan respon insiden open-source, Velociraptor, untuk membangun jaringan komunikasi rahasia di dalam lingkungan korban, yang akhirnya berujung pada penyebaran ransomware Warlock.
Dampak Serangan dan Taktik Pemerasan
GOLD SALEM menjalankan situs khusus di jaringan Tor untuk mempublikasikan data korban yang telah mereka curi. Dari 60 korban yang mereka klaim, mereka telah mempublikasikan data sekitar 32%, sementara data lainnya dikabarkan sudah dijual ke pembeli privat—ini menambah risiko kebocoran data secara lebih luas.
Sistem penagihan tebusan mereka juga cukup terstruktur, memberikan tenggat waktu sekitar 12-14 hari setelah data korban dipublikasikan di situs mereka. Jika korban gagal membayar, data akan dipublikasikan lebih luas sebagai tekanan tambahan.
Bagaimana Cara Melindungi Organisasi Anda?
Menghadapi ancaman seperti GOLD SALEM, langkah proaktif sangat krusial. Organisasi harus menerapkan:
-
Pemantauan Permukaan Serangan secara rutin untuk mendeteksi potensi celah keamanan.
-
Penerapan Patch dan Pembaruan Sistem yang cepat dan konsisten, terutama pada layanan yang terhubung ke internet.
-
Pemantauan Endpoint dan Respon Insiden yang agresif untuk mendeteksi dan menghentikan eksploitasi zero-day.
-
Penggunaan Kontrol Akses yang Ketat untuk membatasi akses ke sistem dan mencegah penyebaran lateral serangan.
Sophos sendiri telah menyediakan perlindungan yang mampu mendeteksi aktivitas terkait serangan ini, termasuk deteksi Trojan yang digunakan oleh GOLD SALEM.
Kesimpulan: Jangan Remehkan Ancaman GOLD SALEM
Kelompok ransomware seperti GOLD SALEM menunjukkan bahwa ancaman siber tidak hanya semakin banyak tetapi juga semakin pintar dan terorganisir. Mereka menggunakan perpaduan teknik eksploitasi, alat terbuka yang sah, dan metode penghindaran deteksi yang canggih untuk menargetkan organisasi di berbagai belahan dunia.
Maka dari itu, sangat penting bagi setiap organisasi untuk tetap waspada, memperkuat pertahanan keamanan siber, dan selalu siap menghadapi potensi serangan. Melalui kesadaran dan tindakan preventif, kita bisa meminimalkan risiko dan menjaga data serta operasional bisnis tetap aman.
Butuh bantuan merancang strategi keamanan khusus yang memanfaatkan kekuatan Sophos Endpoint? Saya siap membantu Anda mengamankan bisnis dengan percaya diri.
🔒 Keamanan siber yang tangguh bukan hanya soal teknologi, tapi juga soal kepercayaan dan kinerja terbukti. Sophos menghadirkannya.
Khawatir data dan sistem Anda kena serangan siber? Sophos punya solusi yang bisa membuat pertahanan digital Anda jadi lebih kuat.
📲 Hubungi Tim Sophos Indonesia sekarang juga,
atau
🤝 Bicarakan kebutuhan keamanan Anda dengan PT. iLogo Infralogy Indonesia.
Kami siap membantu Anda membuat dan menjalankan sistem keamanan yang cepat, kuat, dan efektif supaya bisnis Anda aman dari serangan dunia maya.
