Pada pertengahan Agustus 2025, tim peneliti dari Sophos Counter Threat Unit™ (CTU) menemukan bahwa sebuah alat forensik digital yang sah, yaitu Velociraptor, digunakan dalam aktivitas yang kemungkinan besar merupakan langkah awal untuk penyebaran ransomware. Analisis lanjutan mengungkapkan bahwa kelompok peretas yang dikenal dengan nama GOLD SALEM kemungkinan besar bertanggung jawab atas penyebaran Warlock ransomware ini. Artikel ini akan membahas bagaimana GOLD SALEM memanfaatkan berbagai teknik dan alat dalam serangan mereka, serta langkah-langkah yang perlu diambil oleh organisasi untuk menghindari serangan serupa.
Evolusi Taktik Serangan GOLD SALEM
GOLD SALEM mulai muncul sebagai ancaman nyata pada tahun 2025, dengan serangan pertama yang berhasil diidentifikasi pada bulan Maret 2025. Kelompok ini memanfaatkan celah-celah dalam sistem, terutama yang terkait dengan SharePoint, untuk mendapatkan akses awal ke jaringan organisasi. Serangan mereka biasanya melibatkan eksploitasi dari kerentanannya, yang dikenal sebagai ToolShell.
Pada bulan Juli 2025, serangan GOLD SALEM mulai mendapat perhatian lebih besar setelah Microsoft mengamati kelompok ini mengeksploitasi zero-day vulnerabilities yang ada di SharePoint. Mereka memanfaatkan exploit ini untuk meretas dan menyebarkan Warlock ransomware ke dalam sistem yang rentan.
Taktik, Teknik, dan Prosedur (TTPs) yang Digunakan oleh GOLD SALEM
GOLD SALEM diketahui menggunakan berbagai TTPs (Tactics, Techniques, and Procedures) dalam serangan mereka. Berikut ini adalah beberapa teknik yang mereka terapkan di hampir semua serangan yang teridentifikasi:
-
Eksploitasi Kerentanannya SharePoint
Dalam beberapa serangan, GOLD SALEM memanfaatkan kerentanannya dalam SharePoint sebagai titik masuk utama. Sebuah ToolShell exploit chain digunakan setelah kode eksploitasi yang tersedia di GitHub menyebar. -
Penggunaan Velociraptor untuk Penyerangan Awal
Velociraptor, sebuah alat yang sah yang digunakan untuk forensik digital dan respons insiden, dimanfaatkan oleh GOLD SALEM untuk membobol sistem dan mengumpulkan informasi sensitif. Alat ini, meskipun sah, digunakan oleh penyerang untuk tujuan yang berbahaya. -
Penciptaan Akun Administrator untuk Persistensi
Dalam beberapa serangan, para penyerang membuat akun administrator baru dengan kata sandi yang mudah ditebak (seperti “abcd1234”) untuk mempertahankan akses ke sistem yang telah terinfeksi. -
Penggunaan Alat Antivirus Killer
GOLD SALEM menggunakan alat seperti VMTools AV Killer untuk menonaktifkan solusi antivirus (AV) dan deteksi pada endpoint, yang memungkinkan mereka untuk beroperasi tanpa terdeteksi. -
Penggunaan Cloudflared dan VS Code untuk C2
Di beberapa kasus, GOLD SALEM menggunakan Cloudflared tunneling dan VS Code untuk membuka saluran komunikasi dengan server yang dikendalikan oleh penyerang, memfasilitasi pengiriman dan eksekusi ransomware di sistem yang terinfeksi.
Metode Penyebaran Warlock Ransomware
Setelah berhasil mendapatkan akses awal dan menanamkan alat-alat berbahaya di dalam sistem, GOLD SALEM melanjutkan dengan penyebaran Warlock ransomware. Warlock dikenal dengan ekstensi file .x2anylock yang diberikan pada file yang terenkripsi. Namun, terkadang mereka juga menggunakan ekstensi .xlockxlock pada beberapa insiden.
Warlock ransomware biasanya dikemas bersama dengan ransom note yang memberi tahu korban tentang serangan dan menawarkan opsi pembayaran tebusan untuk mendapatkan kunci dekripsi. qTox ID dan alamat ProtonMail sering digunakan oleh kelompok ini untuk berkomunikasi dengan korban.
Analisis Dampak dan Faktor Kerentanannya
Dalam beberapa kasus, GOLD SALEM juga terdeteksi menggunakan ransomware lainnya, seperti LockBit dan Babuk, yang menunjukkan bahwa mereka memiliki variasi dalam taktik dan kemampuan mereka. Meskipun Warlock tampaknya menjadi ransomware utama yang mereka gunakan, mereka tidak ragu untuk menyebarkan varian lain untuk mencapai tujuan mereka.
Yang lebih mengkhawatirkan adalah sifat serangan mereka yang menargetkan organisasi yang terhubung dengan kegiatan mata-mata atau industri penting, seperti perusahaan telekomunikasi, penelitian energi nuklir, dan organisasi pemerintah. Mereka juga dikenal menargetkan entitas yang terlibat dalam penelitian teknologi lanjutan, yang dapat menunjukkan bahwa mereka mungkin memiliki minat dalam pengumpulan intelijen atau bahkan penyebaran data.
Langkah-langkah yang Perlu Diambil untuk Melindungi Diri dari Warlock Ransomware
Untuk mengurangi risiko serangan seperti ini, berikut beberapa langkah penting yang perlu diterapkan oleh organisasi:
-
Perbaiki Kerentanan SharePoint dan Layanan Internet-facing Lainnya
Mengingat serangan ini sering kali dimulai dengan eksploitasi kerentanannya di SharePoint, penting untuk memastikan bahwa semua perangkat lunak yang berhubungan dengan layanan internet-facing diperbarui dengan patch terbaru. -
Terapkan Keamanan Berlapis pada Jaringan dan Endpoint
Pastikan semua endpoint terlindungi dengan perangkat lunak antivirus yang diperbarui secara teratur dan sistem EDR (Endpoint Detection and Response) yang dapat mendeteksi perilaku yang mencurigakan. -
Gunakan Autentikasi Multi-Faktor (MFA)
Terapkan MFA di seluruh jaringan untuk melindungi akun pengguna dari upaya peretasan yang mungkin dilakukan dengan memanfaatkan kredensial yang dicuri. -
Segera Periksa dan Amankan Alat yang Digunakan untuk Forensik Digital
Tools yang digunakan oleh para penyerang, seperti Velociraptor, meskipun digunakan untuk forensik digital yang sah, dapat disalahgunakan untuk tujuan jahat. Oleh karena itu, pengawasan dan pembatasan akses terhadap alat-alat ini sangat penting. -
Lakukan Pelatihan Keamanan untuk Pengguna dan Tim IT
Semua anggota tim harus dilatih untuk mengenali tanda-tanda serangan dan cara melaporkan insiden dengan cepat. Proses ini harus mencakup tindakan cepat yang harus diambil jika terdeteksi adanya anomali atau serangan di jaringan.
Kesimpulan
GOLD SALEM adalah kelompok peretas yang sangat terorganisir dan terampil dalam menyebarkan ransomware, termasuk Warlock, yang merupakan salah satu ancaman terbaru yang dapat merusak organisasi besar. Dengan pemahaman yang lebih baik tentang teknik yang mereka gunakan dan langkah-langkah mitigasi yang dapat diterapkan, organisasi dapat lebih siap menghadapi ancaman ini. Melalui pembaruan sistem, penggunaan alat deteksi yang efektif, dan kewaspadaan terhadap ancaman yang berkembang, kita dapat mengurangi risiko terkena serangan ransomware yang merusak.
Ingin Melindungi Jaringan Anda dengan Teknologi Keamanan Terkini?
Sophos hadir untuk membantu Anda menjaga keamanan jaringan dengan solusi yang canggih dan terpercaya. Dengan teknologi terbaru dari Sophos, Anda dapat melindungi sistem Anda dari berbagai ancaman, memastikan bahwa data dan aplikasi perusahaan Anda tetap aman.
- Hubungi kami di Sophos Indonesia untuk mendapatkan informasi lebih lanjut tentang solusi keamanan yang tepat untuk kebutuhan Anda, atau
- Konsultasikan dengan tim ahli kami di PT. iLogo Infralogy Indonesia. Kami siap memberikan dukungan penuh dalam merancang dan mengimplementasikan solusi keamanan yang paling efektif untuk perusahaan Anda.
Dengan Sophos, kami memastikan sistem Anda selalu aman dan tangguh, siap menghadapi berbagai ancaman yang terus berkembang. Hubungi kami sekarang dan buat langkah pertama menuju perlindungan siber yang lebih kuat!
