Bayangkan suatu ‘hantu’ digital yang melintas dalam bayang-bayang dunia maya, diam-diam mengunci data Anda, dan meninggalkan pesan menyeramkan untuk meminta tebusan. ‘Hantu’ ini adalah ransomware LockBit, salah satu serangan paling menyebalkan dalam dunia keamanan siber. Pada blog ini, mari kita kupas tuntas misteri LockBit: bagaimana ia menyusup dan membuat kerusakan, menghancurkan sistem, dan mengapa bisnis harus selalu waspada.
Apa itu ancaman LockBit?
LockBit adalah grup Ransomware as a Service (RaaS) yang mengenkripsi file dan meminta tebusan untuk membukanya kembali. LockBit beroperasi di balik layar, sehingga sulit dilacak karena memanfaatkan model RaaS serta teknik serangan canggih dalam berbagai high-profile cyberattack terhadap organisasi di seluruh dunia.
Ancaman LockBit memasuki sistem melalui celah keamanan, mengenkripsi file, dan meninggalkan catatan tebusan yang meminta pembayaran dalam bentuk mata uang kripto untuk dekripsi file. Dikenal karena taktiknya yang licik dan terus berkembang, LockBit telah terlibat dalam berbagai insiden keamanan siber.
Anatomi serangan ransomware LockBit (LockBit 3.0)
1. Akses awal
Tahap pertama dalam serangan ransomware LockBit adalah mendapatkan akses awal ke sistem target. Afiliasi LockBit 3.0 menembus jaringan korban dengan berbagai metode, termasuk mengeksploitasi Remote Desktop Protocol (RDP), drive-by compromise, melakukan kampanye phishing, menyalahgunakan akun yang valid, dan mengeksploitasi kerentanan dalam aplikasi yang dapat diakses publik. Selama proses instalasi, LockBit 3.0 juga berusaha meningkatkan hak akses jika izin awal yang diperoleh tidak mencukupi.
2. Enkripsi
LockBit 3.0 masuk ke dalam jaringan menggunakan kredensial yang sudah ditetapkan atau melalui akun lokal yang aksesnya bocor. Serangan ini menyebar melalui Group Policy Objects dan PsExec melalui protokol Server Message Block.
Ransomware LockBit mengenkripsi data, termasuk file sistem yang penting. Lalu, LockBit akan meninggalkan catatan tebusan, mengubah penampilan perangkat dengan branding LockBit 3.0, dan mengirim informasi yang sudah dienkripsi ke server command-and-control. Setelah tugas ini selesai, LockBit 3.0 dapat menghapus dirinya sendiri dan menghilangkan update Group Policy, tergantung pada konfigurasi saat dikompilasi.
3. Eksfiltrasi
Eksfiltrasi adalah teknik umum yang biasa digunakan afiliasi LockBit 3.0, yang biasanya melalui StealBit, tool eksfiltrasi proprietary turunan dari LockBit 2.0.
Sebagai tambahan, ancaman LockBit 3.0 menggunakan rclone, tool cloud storage open-source, ditambah dengan tool file sharing seperti MEGA. Tool ini memungkinkan afiliasi LockBit 3.0 mengambil data file perusahaan sebelum memulai proses enkripsi.
Variasi ancaman LockBit
Berikut ini adalah beberapa variasi dari ancaman LockBit:
LockBit 2.0
LockBit 2.0, variasi RaaS yang muncul pada Juni 2021, melampaui LockBit dan ransomware ABCD pendahulunya, yang awalnya terdeteksi pada September 2019. Melalui active recruitment pada forum underground, LockBit 2.0 semakin terkenal pada Q3 2021. Dengan software enkripsi tercepatnya, LockBit 2.0 terus beroperasi bahkan ketika program RaaS lainnya hilang pada 2021.
LockBit 3.0
Dikenal juga sebagai LockBit Black, ransomware ini muncul pada Maret 2022 ketika LockBit gang mengumumkan rencananya untuk merilis data korban yang tidak membayar tebusan pada format yang mudah dicari. Dengan menargetkan data penting di Amerika Serikat, Britania Raya, dan Jerman, LockBit bergantung pada password yang lemah dan ketiadaan MFA untuk akses akun admin. Selain itu, LockBit 3.0 juga memiliki program pencarian bug, yang menandakan kemajuan teknologi untuk mendorong hacker mengidentifikasi kerentanan sistem.
LockBit melakukan serangan dengan memanfaatkan kerentanan pada aplikasi, mencoba menebak password RDP, dan menerapkan teknik phishing. Pelaku ancaman LockBit kemudian melakukan serangan ransomware, menghapus log, dan mengenkripsi data pada perangkat local dan remote menggunakan PowerShell Empire.
LockBit Green
LockBit Green adalah tambahan dari variasi ransomware LockBit. Pertama kali diumumkan pada 27 Januari 2023 melalui screenshot yang dibagikan di media sosial oleh tim riset bernama vx-underground, variasi ransomware ini mengikuti pola umum dari LockBit, yaitu menargetkan lingkungan Windows dengan kemampuan ransomware-nya.
LockBit for Mac
Pada April 2023, ransomware LockBit melakukan perubahan besar pada operasionalnya dengan mengembangkan enkriptor yang dirancang khusus untuk menargetkan macOS untuk pertama kalinya. Penemuan ini dilakukan oleh tim riset keamanan siber MalwareHunterTeam, yang mengidentifikasi ZIP archive pada VirusTotal yang tampaknya berisi kumpulan enkriptor LockBit yang baru dibuat.
Serangan LockBit yang pernah terjadi
Pada Februari 2023, The Guardian melaporkan bahwa Royal Mail menolak permintaan tebusan sebesar $80 juta dari hacker yang terhubung dengan Rusia dalam serangan ransomware yang dimulai pada Januari 2023. LockBit memasuki software perusahaan, mengenkripsi file penting, dan menganggu pengiriman internasional.
Transkrip dark web yang terkait dengan ancaman LockBit menunjukkan bahwa terjadi negosiasi alot di mana Royal Mail menolak permintaan tebusan yang semakin meningkat. Setelah dua minggu, hacker menetapkan tebusan sebesar $80 juta sebagai syarat untuk dekripsi file, menganggap bahwa jumlah ini hanya sebesar 0.5% dari revenue perusahaan.
Deteksi ancaman LockBit dengan solusi SIEM
Deteksi ransomware LockBit menggunakan solusi SIEM melibatkan analisis log yang komprehensif dan pemantauan perilaku. Berikut cara ManageEngine Log360 dapat digunakan untuk deteksi yang efektif:
1. Anomali perilaku
Log360 memantau pola perilaku yang mencurigakan, mengidentifikasi secara instan setiap penyimpangan dalam upaya akses file, interaksi sistem, atau traffic jaringan yang mengindikasikan aktivitas ransomware LockBit.
2. Anomali pengguna
UEBA Log360 mengidentifikasi perilaku pengguna yang mencurigakan, seperti eskalasi privilege atau percobaan akses data yang tidak biasa. Hal ini merupakan bagian dari deteksi dini serangan LockBit.
3. Monitoring endpoint
Solusi SIEM memantau endpoint untuk menemukan perubahan file atau proses yang tidak biasa. Solusi ini memberikan alert real-time terkait aktivitas ransomware LockBit.
4. Analisis traffic jaringan
Solusi SIEM menganalisis traffic jaringan untuk mengidentifikasi pola yang serupa pergerakan lateral LockBit. Identifikasi ini membantu mendeteksi dan mengatasi persebaran ransomware dengan cepat.
5. MITRE ATT&CK® mapping
Log360 menyesuaikan mekanisme deteksi dan responsnya dengan framework MITRE ATT&CK untuk fokus pada teknik yang biasanya berhubungan dengan ransomware LockBit, seperti pergerakan lateral.
6. Monitoring file integrity
Solusi SIEM menggunakan pengecekan file integrity untuk mendeteksi modifikasi tidak diizinkan yang menandakan potensi serangan LockBit. Hal ini memungkinkan mitigasi dan respons insiden yang lebih cepat.
Pendekatan keamanan yang penting untuk mencegah LockBit
-
Mencadangkan data penting secara berkala dan memastikan backup data tersebut disimpan di tempat terpisah, aman, dan offline.
-
Menggunakan antivirus, antimalware, dan solusi SIEM terkemuka yang efektif untuk mendeteksi dan memblokir ransomware sebelum menyebar.
-
Menggunakan solusi filter email untuk mengidentifikasi dan memblokir email mencurigakan.
-
Mengimplementasikan solusi pelindungan endpoint untuk memantau dan mengelola perangkat yang terhubung ke jaringan guna mendeteksi dan mencegah aktivitas mencurigakan.
-
Membagi jaringan untuk membatasi penyebaran ransomware. Membatasi pergerakan lateral dengan memisahkan sistem penting dari sistem yang kurang penting.
-
Menerapkan MFA ke akses ke data dan sistem sensitif untuk menambah lapisan keamanan tambahan, sehingga pengguna yang tidak berizin tidak bisa mendapatkan akses.
-
Berpartisipasi dalam threat intelligence sharing untuk tetap mendapatkan informasi terbaru tentang perkembangan dan teknik yang digunakan oleh LockBit serta varian ransomware lainnya.
-
Memastikan compliance dengan regulasi pelindungan data dan keamanan siber yang relevan.
