thePONSEL.com – LockBit, nama Ransomware yang tengah jadi sorotan setelah membobol data base Bank Syariah Indonesia (BSI) beberapa waktu lalu merupakan malware yang cukup unik.
Mengkombinasikan keahlian IT dengan Bisnis. Beroperasi sebagai model Ransomware-as-a-service (RaaS).
Bahkan memposting iklan untuk program afiliasi di forum kriminal dunia maya dengan sistem bagi hasil untuk afiliasi sebesar 60% hingga 75%.
IT Security Consultant PT Prosperita Mitra Indonesia, Yudhi Kukuh mengatakan “RaaS menjadikan LockBit masuk sebagai targeted attack ransomware yang diperhitungkan dan cukup tinggi peredarannya. Perkembangannya cukup pesat, versi 3.0 menggunakan metode Double Exortion. ESET sendiri sejak jauh hari telah mampu mendeteksi kehadiran Lockbit dengan nama Win32/Filecoder.Lockbit.X (X adalah kode variannya) sehingga dipastikan setiap pengguna ESET terlindungi dari ancaman tersebut.”
LockBit versi awal
Sepak terjang ransomware LockBit pertama kali ditemukan pada September 2019, sebelumnya dikenal sebagai ransomware ABCD karena penggunaan ekstensi “.abcd virus” saat pertama kali ditemukan.
Menyebar secara otomatis dimulai dengan menanam LockBit melalui akses RDP (Remote Desktop Protocol) yang dibeli di Dark Web. Kehadirannya tidak terlalu dianggap di dunia maya
LockBit versi 2.0
Versi kedua muncul pada Juni 2021, mengadopsi ekstensi file “.LockBit”.
Diidentifikasi tidak hanya memerlukan pengunduhan browser Tor dalam instruksi tebusannya. Namun mengirim korban ke situs alternatif melalui akses internet tradisional.
Developer LockBit melihat peluang menggandakan uang dengan menerapkan metode Double Exortion, selain mendapatkan uang dengan file yang dienkrip, juga mengambil data korban dan menjual di situs Dark Web.
Mudah dikenali dengan melihat nama file tebusan, yaitu Restore-My-Files.txt.
Untuk memperkuat eksistensinya, LockBit membuat situs daftar korban high profile menjadikan nama mereka semakin dikenal di dunia malware.
LockBit versi 3.0
Muncul pertama kali pada Juni 2022. Dikenal pula dengan nama Lockbit Black.
Menargetkan server berbasis sistem operasi Windows, Linux, dan VMware ESXi.
Dapat diartikan sebagai Multi Sistem Opoerasi.
Sama dengan versi sebelumnya, Double Exortion juga diterapkan.
Yang menarik, pada Juli 2022 pembuat LockBit juga mengadakan Bug Bounty Program, mengundang para hacker untuk mencari kelemahan dari LockBit v3.0 =.
Ciri khusus dari versi ini:
- Multi Sistem Operasi: Microsoft, Linux dan MacOS
- Menggunakan penamaan file acak seperti HljkNskOq
- Lebih cepat dan efisien karena dapat bekerja multitasking bersamaan
- Menggunakan mode Stealth untuk menghindari pengecekan
- Wallpaper komputer korban akan berubah mengeluarkan tulisan ancaman dengan latar belakang warna hitam (Lockbit Black)
- Jika pembayaran tidak segera dilakukan dalam batas waktu, maka ada ancaman untuk menyebarkan dan menual file yang sudah diambil di dark web
- Menggunakan kerentanan pada Windows Defender yang terdapat pada sistem oeprasi yang tidak diupdate, dikenal pula dengan teknik side-loading
- Menggunakan kerentanan pada protokol RDP
- Tidak mempengaruhi sistem operasi dengan bahasa Romanian (Moldova), Arabic (Syria), dan Tatar (Russia)
Aktor di Belakang Layar
Ransomware LockBit adalah organisasi kejahatan dunia maya yang paling aktif dan sukses di dunia. Menargetkan organisasi/perusahaan tertentu di US dan Eropa.
Namun tidak menutup kemungkinan negara di luar itu.
Tidak dapat dipastikan dari negara mana asal LockBit, namun bahasa yang digunakan untuk iklan menggunakan bahasa Rusia.
Disinyalir dioperasikan menyebar di beberapa negara. Pada bulan November 2022 salah satu tim dari Lockbit diberitakan sudah ditangkap pihak yang berwenang di Kanada.
Target LockBit
Vektor serangan awal LockBit termasuk social engineering, seperti phising, spear phising, dan Business Email Compromise (BEC).
Termasuk juga mengeksploitasi aplikasi publik, menyewa initial Access Broker (IAB), dan menggunakan kredensial curian untuk mengakses akun yang valid, seperti protokol desktop jarak jauh (RDP), serta serangan cracking brute-force.
LockBit biasanya memfokuskan serangan pada entitas pemerintah dan perusahaan di berbagai sektor, seperti perawatan kesehatan, layanan keuangan, dan barang dan jasa industri.
Diamati menargetkan negara-negara secara global.
Fitur lain yang menarik dari LockBit adalah diprogram sedemikian rupa sehingga tidak dapat digunakan dalam serangan terhadap perangkat berbahasa Romanian (Moldova), Arabic (Syria), dan Tatar (Russia)
Mitigasi LockBit
Berikut adalah mitigasi atau tindakan pencegahan yang dapat dilakukan untuk menanggulangi serangan ransomware LockBit:
- Wajibkan semua akun dengan login kata sandi (mis., akun layanan, akun admin, dan akun admin domain) untuk memiliki kata sandi yang kuat dan unik
- Membutuhkan otentikasi multi-faktor untuk semua layanan sejauh mungkin
- Selalu perbarui semua sistem operasi dan perangkat lunak
- Hapus akses yang tidak perlu ke pembagian administratif
- Gunakan firewall untuk mengaktifkan koneksi ke pembagian administrasi melalui blok pesan server (SMB) dari sekelompok perangkat dengan akses administrator
- Menampilkan file yang dilindungi di Sistem Operasi Windows untuk mencegah perubahan tidak sah pada file penting.
- Melakukan patch pada semua jenis sistem operasi dan applikasi yang berjalan diatasnya
- Menerapakan cloud mail security, lebih baik yg server berada di Indonesia untuk mencegah malware yang disebar melalui email agar dapat dicegah sebelum masuk ke dalam jaringan
- Melakukan backup secara berkala, termasuk virtual machine yang digunakan. Konsep backup 3-2-1 dapat diimplementasikan
Detail mitigasi LockBit dapat dilihat di: https://kb.prosperita.co.id/pencegahan-ransomware/
“Secara kualitas, ransomware semakin berevolusi dan akibatnya semakin merugikan korban. Selain itu, dampak lanjutan dari jual-beli data pribadi atau data rahasia sebagai dampak Double Exortion patut diwaspadai” pungkas Yudhi Kukuh.
