“RaaS menjadikan LockBit masuk sebagai targeted attack ransomware yang diperhitungkan dan cukup tinggi peredarannya. Perkembangannya cukup pesat, versi 3.0 menggunakan metode Double Extortion. ESET sendiri sejak jauh hari telah mampu mendeteksi kehadiran Lockbit dengan nama Win32/Filecoder.Lockbit.X (X adalah kode variannya) sehingga dipastikan setiap pengguna ESET terlindungi dari ancaman tersebut,” ucap Yudhi Kukuh.
Baca juga: Ransomware yang Ditargetkan Makin Menggila, Kaspersky XDR Siap Melawan
LockBit versi awal
Ransomware Lockbit ditemukan pertama kali pada September 2019, sebelumnya dijuluki ransomware ABCD karena memakai ekstensi ‘.abcd virus’. Penyebaran ransomware ini otomatis dengan menanam LockBit melalui akses Remote Desktop Protocol (RDP) yang dibeli di Dark Web. Kehadiran ransomware ini tak terlalu digubris di ranah siber.
Analisa Payload LockBit menggunakan sistem awanpintar.id |
LockBit versi 2.0
Pada Juni 2021, LockBit versi kedua muncul dengan mengadopsi file ‘.LockBit’. Ransomware ini membutuhkan pengunduhan browser Tor dalam instruksi tebusan dan mengarahkan ke situs alternatif melalui akses internet tradisional. Peluang untuk menggandakan uang dimanfaatkan developer LockBit dengan menerapkan metode Double Extortion atau pemerasan ganda. Metode ini mendapatkan uang dengan file yang dienkrip sambil mengambil data korban dan menjual di situs Darkweb. Ransomware ini mudah dikenali dengan melihat nama file tebusan, yaitu Restore-My-Files.txt. LockBit memperkuat eksistensi dengan membuat situs daftar korban berprofil tinggi, sehingga makin populer di ranah malware.
Analisa Payload LockBit 2.0 menggunakan system awanpintar.id |
LockBit versi 3.0
Pertama kali muncul pada Juni 2022, Lockbit versi 3.0 juga dikenal sebagai Lockbit Black. Sasaran ransomware ini adalah server berbasis Windows, Linux dan VMware ESXL. Ini berarti sasaran ransomware tersebut multi sistem operasi. Layaknya versi sebelumnya, ransomware ini juga menerapkan Double Extortion. Uniknya lagi, pada Juli 2022 Lockbit juga menggelar Bug Bounty Program. Ajang tersebut mengundang para peretas untuk menemukan kelemahan pada LockBit versi 3.0.
Ciri khas LocBit versi 3.0
- Multi Sistem Operasi: Microsoft, Linux dan MacOS
- Penamaan file acak seperti HljkNskOq
- Dapat bekerja multitasking bersamaan, sehingga lebih cepat dan efisien
- Menghindari pengecekan dengan mode Stealth
- Tulisan ancamab dengan latar belakang warna hitam (LockBit Black) pada wallpaper komputer korban
- Ancaman penyebaran file yang sudah diambil ke Dark Web jika korban tak segera membayar tebusan sesuai batas waktu
- Memanfaatkan celah kerentanan pada Windows Defender jika sistem operasi tidak segera di-update. Metode ini dikenal sebagai teknik side-loading
- Pemanfaatan celah kerentanan pada protokol RDP
- Tidak mempengaruhi sistem operasi dengan bahasa Rumania (Moldova), Arab (Syria), dan Tatar (Russia)
latar wallpaper komputer korban Lockbit versi 3.0 |
Aktor dan Sasaran LockBitPelaku ransomware LockBit adalah organisasi kejahatan siber yang paling aktif dan sukses di dunia. Sasaran mereka adalah organisasi atau perusahaan tertentu di Amerika Serikat dan Eropa. Kendati demikian, korbannya bisa juga di negara-negara di luar kawasan tersebut. Asal negara LockBit tidak dapat dipastikan, tetapi bahasa yang digunakan pada iklan adalah bahasa Rusia. Ada kecenderungan operasi ransomware LockBit menyebar di beberapa negara. Kabarnya, salah satu tim LockBit berhasil ditangkap pihak yang berwenang di Kanada pada November 2022.
Pada umumnya fokus serangan LockBit merupakan entitas pemerintah dan perusahaan di berbagai sektor. Sektor-sektor yang menjadi sasaran mencakup perawatan kesehatan, layanan keuangan, serta barang dan jasa industri. Berdasar pengamatan, sasaran ransomware ini adalah negara-negara global. Fitur menarik LockBit lainnya adalah pemrograman sedemikian rupa sehingga tidak bisa digunakan untuk menyerang perangkat berbahasa Rumania (Moldova), Arab (Syria), dan Tatar (Russia). |
sumber: AwanPintar.id |
Mitigasi LockBit
Demi mencegah serangan ransomware LockBit, lakukan beberapa langkah mitigasi berikut ini :
- Terapkan kata sandi yang kuat pada semua akun dengan login kata sandi. Login tersebut termasuk pada akun layanan, akun administrator dan akun administrator domain
- Gunakan autentikasi dua faktor (TFA) pada semua layanan
- Selalu perbarui semua sistem operasi dan perangkat lunak
- Hapus akses yang tidak perlu ke pembagian administratif
- Gunakan firewall untuk mengaktifkan koneksi ke pembagian administrasi melalui blok pesan server (SMB) dari sekelompok perangkat dengan akses administrator
- Tampilkan file yang dilindungi di sistem operasi Windows untuk mencegah perubahan tidak sah pada file penting
- Lakukan patch pada semua jenis sistem operasi dan applikasi yang berjalan di atasnya
- Terapkan cloud mail security, lebih baik menggunakan layanan yang memiliki server di Indonesia untuk mencegah malware yang disebar melalui email. Hal ini demi mencegah malware sebelum masuk ke dalam jaringan
- Lakukan backup secara berkala dengan menerapkan konsep backup 3-2-1 , termasuk pada virtual machine yang digunakan
Sumber: AwanPintar.id |
Baca juga: ESET Tawarkan Teknologi Keamanan Siber yang Selaras UU PDP
“Secara kualitas, ransomware makin berevolusi dan akibatnya makin merugikan korban. Selain itu, dampak lanjutan dari jual-beli data pribadi atau data rahasia sebagai dampak Double Extortion patut diwaspadai, ” tutup Yudhi Kukuh.