INFO TEKNO – LockBit, nama Ransomware yang sedang naik daun di jagad digital Indonesia. Target serangan LockBit biasanya memfokuskan pada entitas pemerintah dan perusahaan di berbagai sektor, seperti perawatan kesehatan, layanan keuangan, dan barang dan jasa industri. Diamati menargetkan negara-negara secara global.
Vektor serangan awal LockBit seperti dilansir awanpintar.id termasuk social engineering, seperti phising, spear phising, dan Business Email Compromise (BEC), mengeksploitasi aplikasi publik, menyewa initial Access Broker (IAB), dan menggunakan kredensial curian untuk mengakses akun yang valid, seperti protokol desktop jarak jauh (RDP), serta serangan cracking brute-force.
LockBit merupakan malware yang cukup unik. Mengkombinasikan keahlian IT dengan Bisnis. Beroperasi sebagai model Ransomware-as-a-service (RaaS). Bahkan memposting iklan untuk program afiliasi di forum kriminal dunia maya dengan sistem bagi hasil untuk afiliasi sebesar 60 - 75 persen.
“RaaS menjadikan LockBit masuk sebagai targeted attack ransomware yang diperhitungkan dan cukup tinggi peredarannya. Perkembangannya cukup pesat, versi 3.0 menggunakan metode Double Exortion,” kata IT Security Consultant PT Prosperita Mitra Indonesia, Yudhi Kukuh.
Menurut dia, ESET sejak jauh hari telah mampu mendeteksi kehadiran Lockbit dengan nama Win32/Filecoder.Lockbit.X (X adalah kode variannya). “Sehingga dipastikan setiap pengguna ESET terlindungi dari ancaman tersebut.”
Selain itu, jika ransomware LockBit menyerang, terdapat beberapa cara untuk menanggulanginya. Terdapat beberapa mitigasi atau tindakan pencegahaan yang dapat dilakukan untuk menanggulangi serangan ransomware LockBit:
- Wajibkan semua akun dengan login kata sandi.
- Membutuhkan otentikasi multi-faktor untuk semua layanan sejauh mungkin
- Selalu perbarui semua sistem operasi dan perangkat lunak
- Hapus akses yang tidak perlu ke pembagian administratif
- Gunakan firewall untuk mengaktifkan koneksi ke pembagian administrasi melalui blok pesan server (SMB) dari sekelompok perangkat dengan akses administrator
- Menampilkan file yang dilindungi di Sistem Operasi Windows untuk mencegah perubahan tidak sah pada file penting.
- Menerapkan cloud mail security, lebih baik yg server berada di Indonesia untuk mencegah malware yang disebar melalui email agar dapat dicegah sebelum masuk ke dalam jaringan
Untuk detail mitigasi dapat dilihat di: https://kb.prosperita.co.id/pencegahan-ransomware/. “Secara kualitas, ransomware semakin berevolusi dan akibatnya semakin merugikan korban. Selain itu, dampak lanjutan dari jual-beli data pribadi atau data rahasia sebagai dampak Double Exortion patut diwaspadai” kata Yudhi Kukuh.
LockBit pertama kali ditemukan pada September 2019, sebelumnya dikenal sebagai ransomware ABCD karena penggunaan ekstensi “.abcd virus”. Menyebar secara otomatis dimulai dengan menanam LockBit melalui akses RDP (Remote Desktop Protocol) yang dibeli di Dark Web. Kehadirannya tidak terlalu dianggap di dunia maya.
Sementara versi kedua muncul pada Juni 2021, mengadopsi ekstensi file “.LockBit”. Diidentifikasi tidak hanya memerlukan pengunduhan browser Tor dalam instruksi tebusannya. Namun mengirim korban ke situs alternatif melalui akses internet tradisional. Developer LockBit melihat peluang menggandakan uang dengan menerapkan metode Double Exortion, selain mendapatkan uang dengan file yang dienkrip, juga mengambil data korban dan menjual di situs Dark Web. Mudah dikenali dengan melihat nama file tebusan, yaitu Restore-My-Files.txt. Untuk memperkuat eksistensinya, LockBit membuat situs daftar korban high profile menjadikan nama mereka semakin dikenal di dunia malware.
Muncul pertama kali pada Juni 2022. Dikenal pula dengan nama Lockbit Black. Menargetkan server berbasis sistem operasi Windows, Linux, dan VMware ESXi. Dapat diartikan sebagai Multi Sistem Opoerasi. Sama dengan versi sebelumnya, Double Exortion juga diterapkan. Yang menarik, pada Juli 2022 pembuat LockBit juga mengadakan Bug Bounty Program, mengundang para hacker untuk mencari kelemahan dari LockBit v3.0 =.
Ciri khusus dari versi ini: Multi Sistem Operasi: Microsoft, Linux dan MacOS; Menggunakan penamaan file acak seperti HljkNskOq; Lebih cepat dan efisien karena dapat bekerja multitasking bersamaan; Menggunakan mode Stealth untuk menghindari pengecekan; Wallpaper komputer korban akan berubah mengeluarkan tulisan ancaman dengan latar belakang warna hitam (Lockbit Black).(*)
