Jualbeli Ransomware LockBit Makin Legit, Ini Cara Mitigasinya

Belakangan LockBit membuat heboh jagat maya tanah air. Ransomware yang mengkombinasikan keahlian IT dengan bisnis ini bekerja sebagai model Ransomware-as-a-service (RaaS).

Ransomware ini bahkan memposting iklan untuk program afiliasi di forum kriminal dunia maya. Sistem bagi hasilnya pun menggiurkan dengan sistem bagi hasil untuk afiliasi sebesar 60% hingga 75%.

IT Security Consultant PT Prosperita Mitra Indonesia, Yudhi Kukuh melalui keterangan tertulis mengungkapkan bahwa RaaS menjadikan LockBit masuk sebagai targeted attack ransomware yang diperhitungkan dan cukup tinggi peredarannya.

Perkembangannya LockBit cukup pesat. Untuk versi 3.0 menggunakan metode Double Exortion. "ESET sendiri sejak jauh hari telah mampu mendeteksi kehadiran Lockbit dengan nama Win32/Filecoder.Lockbit.X (X adalah kode variannya) sehingga dipastikan setiap pengguna ESET terlindungi dari ancaman tersebut," tutur Yudhi.

LockBit Versi Awal Sepak terjang ransomware LockBit pertama kali ditemukan pada September 2019, sebelumnya dikenal sebagai ransomware ABCD karena penggunaan ekstensi ".abcd virus" saat pertama kali ditemukan. Menyebar secara otomatis dimulai dengan menanam LockBit melalui akses RDP (Remote Desktop Protocol) yang dibeli di Dark Web. Kehadirannya tidak terlalu dianggap di dunia maya. 

LockBit Versi 2.0 Versi kedua muncul pada Juni 2021, mengadopsi ekstensi file “.LockBit”. Diidentifikasi tidak hanya memerlukan pengunduhan browser Tor dalam instruksi tebusannya. Namun mengirim korban ke situs alternatif melalui akses internet tradisional.

Selanjutnya developer LockBit melihat peluang menggandakan uang dengan menerapkan metode Double Exortion, selain mendapatkan uang dengan file yang dienkrip, juga mengambil data korban dan menjual di situs Dark Web. Versi ini mudah dikenali dengan melihat nama file tebusan, yaitu Restore-My- Files.txt. Untuk memperkuat eksistensinya, LockBit membuat situs daftar korban high profile dan menjadikan nama mereka semakin dikenal di dunia malware.

LockBit Versi 3.0 Muncul pertama kali pada Juni 2022. Dikenal pula dengan nama Lockbit Black. Menargetkan pengumpan berbasis sistem operasi Windows, Linux, dan VMware ESXi. Dapat diartikan sebagai Multi Sistem Opoerasi. Sama dengan versi sebelumnya, Double Exortion juga diterapkan. Yang menarik, pada Juli 2022 pembuat LockBit juga mengadakan Bug Bounty Program, mengundang para hacker untuk mencari kelemahan dari LockBit v3.0 =.

Ciri khusus dari versi ini:

• Multi Sistem Operasi: Microsoft, Linux dan MacOS. 
• Menggunakan penamaan file acak seperti HljkNskOq. 
• Lebih cepat dan efisien karena dapat bekerja multitasking bersamaan. 
• Menggunakan mode Stealth untuk menghindari pengecekan.
• Wallpaper komputer korban akan berubah mengeluarkan tulisan ancaman dengan latar belakang warna hitam (Lockbit Black). 
• Jika pembayaran tidak segera dilakukan dalam batas waktu, maka ada ancaman untuk menyebarkan dan menual file yang sudah diambil di dark web.
• Menggunakan kerentanan pada Windows Defender yang terdapat pada sistem oeprasi yang tidak diupdate, dikenal pula dengan teknik side-loading. 
• Menggunakan kerentanan pada protokol RDP. 
• Tidak mempengaruhi sistem operasi dengan bahasa Romanian (Moldova), Arabic (Syria), dan Tatar (Russia).

Aktor di belakang layar ransomware LockBit adalah organisasi kejahatan dunia maya yang paling aktif dan sukses di dunia.

Mereka menargetkan organisasi/perusahaan tertentu di US dan Eropa. Namun tidak menutup kemungkinan negara di luar itu. Tidak dapat dipastikan dari negara mana asal LockBit, namun bahasa yang digunakanu ntuk iklan menggunakan bahasa Rusia. Disinyalir dioperasikan menyebar di beberapa negara.

Pada bulan November 2022 salah satu tim dari Lockbit diberitakan sudah ditangkap pihak yang berwenang di Kanada.

Target LockBit Vektor serangan awal LockBit termasuk social engineering, seperti phising, spear phising, dan Business Email Compromise (BEC), mengeksploitasi aplikasi publik, menyewa initial Access Broker (IAB), dan menggunakan kredensial curian untuk mengakses akun yang valid, seperti protokol desktop jarak jauh (RDP), serta serangan cracking brute-force.

LockBit biasanya memfokuskan serangan pada entitas pemerintah dan perusahaan di berbagai sektor, seperti perawatan kesehatan, layanan keuangan, dan barang dan jasa industri.

Fitur lain yang menarik dari LockBit adalah diprogram sedemikian rupa sehingga tidak dapat digunakan dalam serangan terhadap perangkat berbahasa Romanian (Moldova), Arabic (Syria), dan Tatar (Russia).

Mitigasi LockBit

Berikut adalah mitigasi atau tindakan pencegahan yang dapat dilakukan untuk menanggulangi serangan ransomware LockBit:

1. Wajibkan semua akun dengan login kata sandi (mis., akun layanan, akun admin, dan akun admin domain) untuk memiliki kata sandi yang kuat dan unik.
2. Membutuhkan otentikasi multi-faktor untuk semua layanan sejauh mungkin.
3. Selalu perbarui semua sistem operasi dan perangkat lunak.
4. Hapus akses yang tidak perlu ke pembagian administratif.
5. Gunakan firewall untuk mengaktifkan koneksi ke pembagian administrasi melalui blok pesan server (SMB) dari sekelompok perangkat dengan akses administrator.
6. Menampilkan file yang dilindungi di Sistem Operasi Windows untuk mencegah perubahan tidak sah pada file penting.
7. Melakukan patch pada semua jenis sistem operasi dan applikasi yang berjalan di atasnya.
8. Menerapakan cloud mail security. Lebih baik pilih server yang berada di Indonesia untuk mencegah malware yang disebar melalui email agar dapat dicegah sebelum masuk ke dalam jaringan.
9. Melakukan backup secara berkala, termasuk virtual machine yang digunakan. Konsep backup 3-2-1 dapat diimplementasikan.

“Secara kualitas, ransomware semakin berevolusi dan akibatnya semakin merugikan korban. Selain itu, dampak lanjutan dari jualbeli data pribadi atau data rahasia sebagai dampak Double Exortion patut diwaspadai," tutup Yudhi.