TEMPO.CO, Jakarta - Geng ransomware LockBit mengaku bertanggung jawab atas gangguan semua layanan di Bank Syariah Indonesia (BSI), dan menyatakan insiden down di bank pemerintah tersebut adalah akibat dari serangan mereka. Hal itu diungkap akun @darktracer_int pada Sabtu, 13 Mei 2023.

LockBit juga mengumumkan telah mencuri 15 juta catatan pelanggan, informasi karyawan, dan sekitar 1,5 terabyte data internal. Mereka selanjutnya mengancam akan merilis semua data di web gelap jika negosiasi gagal. Siapakah LockBit?

LockBit muncul pada akhir 2019, dan pertama kali menyebut dirinya “ABCD ransomware.” Sejak itu, ia berkembang pesat. Grup tersebut adalah operasi "ransomware-as-a-service", yang berarti bahwa tim inti membuat malwarenya dan menjalankan situs webnya sambil melisensikan kodenya kepada "afiliasi" yang meluncurkan serangan.

Biasanya, ketika grup ransomware-as-a-service berhasil menyerang bisnis dan mendapatkan bayaran, mereka akan berbagi keuntungan dengan afiliasi. Dalam kasus LockBit, Jérôme Segura, direktur senior intelijen ancaman di Malwarebytes, mengatakan bahwa model afiliasinya terbalik. Afiliasi mengumpulkan pembayaran dari korban mereka secara langsung dan kemudian membayar biaya kepada tim inti LockBit. Strukturnya tampaknya berfungsi dengan baik dan dapat diandalkan untuk LockBit. “Model afiliasi berjalan dengan sangat baik,” kata Segura, sebagaimana dilaporkan Wired.

Meskipun para peneliti telah berulang kali melihat penjahat dunia maya dari segala jenis memprofesionalkan dan merampingkan operasi mereka selama dekade terakhir, banyak kelompok ransomware terkemuka dan produktif mengadopsi persona publik yang flamboyan dan tidak dapat diprediksi untuk mendapatkan ketenaran dan mengintimidasi korban. Sebaliknya, LockBit dikenal relatif konsisten, fokus, dan teratur.

“Dari semua grup, saya pikir mereka mungkin yang paling mirip bisnis, dan itu adalah bagian dari alasan umur panjang mereka,” kata Brett Callow, analis ancaman di perusahaan antivirus Emsisoft. “Tetapi fakta bahwa mereka memposting banyak korban di situs mereka tidak selalu menyamakan mereka sebagai kelompok ransomware yang paling produktif, seperti yang diklaim beberapa orang. Mereka mungkin cukup senang dideskripsikan seperti itu. Itu bagus untuk perekrutan afiliasi baru.”

Grup ini tentu saja tidak semuanya hype. LockBit tampaknya berinvestasi dalam inovasi teknis dan logistik dalam upaya memaksimalkan keuntungan. Peter Mackenzie, direktur respons insiden di firma keamanan Sophos, mengatakan kelompok tersebut telah bereksperimen dengan metode baru untuk menekan korbannya agar membayar uang tebusan.

“Mereka punya cara pembayaran yang berbeda,” kata Mackenzie. “Anda dapat membayar untuk menghapus data Anda, membayar untuk merilisnya lebih awal, membayar untuk memperpanjang tenggat waktu Anda,” kata Mackenzie, dan menambahkan bahwa LockBit membuka opsi pembayarannya kepada siapa pun. Ini bisa, setidaknya secara teoritis, mengakibatkan perusahaan saingan membeli data korban ransomware. “Dari sudut pandang korban, ini merupakan tekanan ekstra bagi mereka, yang membantu membuat orang membayar,” kata Mackenzie.

Sejak LockBit memulai debutnya, pembuatnya telah menghabiskan banyak waktu dan upaya untuk mengembangkan malwarenya. Grup tersebut telah mengeluarkan dua pembaruan besar untuk kode—LockBit 2.0, dirilis pada pertengahan 2021, dan LockBit 3.0, dirilis pada Juni 2022.

Kedua versi tersebut masing-masing juga dikenal sebagai LockBit Red dan LockBit Black. Para peneliti mengatakan evolusi teknis telah menyejajarkan perubahan dalam cara kerja LockBit dengan afiliasi. Sebelum rilis LockBit Black, grup ini bekerja dengan grup eksklusif yang terdiri dari 25 hingga 50 afiliasi paling banyak. Namun, sejak rilis 3.0, geng tersebut telah terbuka secara signifikan, mempersulit untuk mengawasi jumlah afiliasi yang terlibat dan juga mempersulit LockBit untuk melakukan kontrol atas kolektif.

LockBit sering memperluas malware-nya dengan fitur-fitur baru, tetapi yang terpenting, ciri khas malwarenya adalah sederhana dan mudah digunakan. Intinya, ransomware selalu menawarkan kemampuan anti-deteksi, alat untuk menghindari pertahanan Microsoft Windows, dan fitur untuk peningkatan hak istimewa dalam perangkat yang disusupi.

LockBit menggunakan alat peretasan yang tersedia untuk umum jika memungkinkan, tetapi juga mengembangkan kemampuan khusus. Laporan FBI tahun 2022 mencatat bahwa kelompok tersebut terkadang menggunakan kerentanan yang sebelumnya tidak diketahui dalam serangannya. Dan grup tersebut memiliki kemampuan untuk menargetkan berbagai jenis sistem.

“Bukan hanya Windows. Mereka akan menyerang Linux, mereka akan mengincar mesin host virtual Anda,” kata Mackenzie. “Mereka menawarkan sistem pembayaran yang solid. Ada banyak infrastruktur backend yang disertakan dengan ini. Sayangnya, itu produk yang dibuat dengan baik. Pada bulan Oktober, dilaporkan bahwa malware LockBit disebarkan setelah nol hari digunakan untuk meretas server Microsoft Exchange — kejadian yang relatif jarang terjadi dalam hal geng ransomware.

“Ada fitur tambahan yang membuat ransomwarenya lebih berbahaya—misalnya, memiliki komponen worm,” tambah Segura. “Mereka juga membahas hal-hal seperti melakukan serangan denial-of-service terhadap korban, selain pemerasan.”

Dengan dirilisnya LockBit 3.0, grup tersebut juga mengisyaratkan niatnya untuk berkembang. Kelompok itu memperkenalkan skema hadiah bug ransomware pertama, menjanjikan untuk membayar peneliti keamanan atau penjahat yang sah yang dapat mengidentifikasi kelemahan di situs webnya atau perangkat lunak enkripsi. LockBit mengatakan akan membayar siapa pun US$ 1 juta jika mereka dapat menyebutkan siapa yang berada di belakang LockBitSupp, persona publik grup tersebut.

Anggota inti di puncak LockBit tampaknya termasuk pemimpinnya dan satu atau dua mitra tepercaya lainnya. Pemimpinnya telah mengatakan di berbagai waktu bahwa dia secara pribadi beroperasi di luar Cina atau bahkan Amerika Serikat, di mana dia mengatakan bahwa dia adalah pemilik sebagian dari dua restoran di New York City. Namun, semua anggota LockBit tampaknya berbahasa Rusia, dan DiMaggio mengatakan bahwa meskipun dia tidak dapat memastikannya, dia yakin grup tersebut berbasis di Rusia.

“Pemimpinya tampaknya tidak memiliki kekhawatiran ditangkap. Dia pikir dia penjahat super, dan dia memainkan peran itu dengan baik, ”kata DiMaggio. “Tapi saya percaya dia memiliki kekhawatiran yang sehat bahwa jika pemerintah Rusia ingin menangkapnya, dia harus membuat keputusan untuk menyerahkan sebagian besar uangnya kepada mereka atau melakukan pekerjaan untuk mereka seperti membantu mereka dengan perang Ukraina.

THE WIRED

Selalu update info terkini. Simak breaking news dan berita pilihan dari Tempo.co di kanal Telegram “Tempo.co Update”. Klik https://t.me/tempodotcoupdate untuk bergabung. Anda perlu meng-install aplikasi Telegram terlebih dahulu.