Lewatkan ke konten utama

LockBit ransomware — Hal yang Perlu Diketahui

LockBit ransomware — apa itu dan cara supaya tetap aman

Definisi LockBit

LockBit ransomware adalah perangkat lunak berbahaya yang dirancang untuk memblokir akses pengguna ke sistem komputer, lalu meminta uang tebusan. LockBit akan otomatis memeriksa target berharga, menyebarkan infeksi, lalu mengenkripsi semua sistem komputer yang bisa diakses dalam jaringan. Ransomware ini dimanfaatkan untuk target serangan yang sangat spesifik seperti perusahaan dan organisasi lainnya. Sebagai bentuk serangan siber yang bisa beroperasi secara mandiri, LockBit terkenal dengan beberapa ancaman berikut kepada organisasi di seluruh dunia:

  • Gangguan operasional menyebabkan fungsi penting mendadak terhenti.
  • Pemerasan demi keuntungan finansial peretas.
  • Pencurian data dan publikasi ilegal sebagai bentuk pemerasan jika korban tidak patuh.

Apa itu LockBit ransomware?

LockBit merupakan jenis serangan ransomware baru dari rentetan serangan siber pemerasan. Dahulu dikenal sebagai ransomware “ABCD”, kini ransomware ini telah berkembang menjadi ancaman unik dalam ruang lingkup alat pemerasan semacam ini. LockBit merupakan bagian dari golongan ransomware yang dikenal sebagai ‘virus kripto’ karena ada permintaan uang tebusan supaya korban bisa mendapatkan dekripsi. Biasanya menargetkan perusahaan dan lembaga pemerintah, bukan individu.

Serangan LockBit berawal pada bulan September 2019, saat dijuluki sebagai “.abcd virus”. Julukannya berasal dari nama ekstensi berkas yang digunakan saat mengenkripsi berkas korban. Ada sejumlah target populer di masa lalu seperti organisasi-organisasi di Amerika Serikat, Tiongkok, India, Indonesia, dan Ukraina. Selain itu, berbagai negara Eropa (Prancis, Inggris Raya, Jerman) telah mengalami serangan ini.

Yang menjadi sasaran empuk adalah korban yang merasa cukup terganggu oleh serangan ini sehingga rela membayar uang tebusan dalam jumlah besar — ​​dan punya dana untuk melakukannya. Sehingga serangannya meluas hingga perusahaan besar, mulai dari perusahaan di bidang layanan kesehatan hingga badan keuangan. Dalam proses pemeriksaan otomatisnya, sepertinya ransomware ini menghindari serangan terhadap sistem lokal Rusia atau semua negara dalam Persemakmuran Negara-Negara Merdeka. Diduga untuk menghindari penuntutan di wilayah tersebut.

LockBit berfungsi sebagai Ransomware-as-a-Service (RaaS), dengan kata lain bisa dijual atau disewakan kepada peretas lain. Pihak-pihak yang berminat akan membayar uang muka untuk memanfaatkan serangan sewaan khusus, dan mendapatkan keuntungan berdasarkan kerangka afiliasi. Uang tebusan dibagi antara tim pengembang LockBit dan afiliasi penyerang, yang menerima hingga ¾ dari uang tebusannya.

Bagaimana cara kerja LockBit ransomware?

LockBit ransomware dianggap oleh banyak pihak berwenang sebagai bagian dari keluarga malware “LockerGoga & MegaCortex”. Artinya ada perilaku yang sama dengan bentuk-bentuk ransomware bertarget yang sudah stabil. Intinya, kita paham bahwa serangan ini:

  • Menyebar sendiri dalam organisasi, bukan atas dasar arahan manual.
  • Bertarget, tidak menyebar secara acak seperti malware spam.
  • Menggunakan alat-alat serupa untuk menyebar, seperti Windows Powershell dan Server Message Block (SMB).

Yang terpenting adalah kemampuannya untuk memperbanyak diri, artinya bisa menyebar sendiri. Dalam pemrogramannya, LockBit diarahkan melalui proses otomatis yang telah dirancang sebelumnya. Sehingga LockBit menjadi lebih unik daripada serangan ransomware lainnya yang diarahkan dengan menempatkannya secara manual dalam jaringan — terkadang selama berminggu-minggu — untuk melakukan pengintaian dan pengawasan secara menyeluruh.

Setelah ransomware ini menginfeksi satu host secara manual, host lain yang bisa diakses akan ditemukan dan dihubungkan ke host yang terinfeksi, lalu infeksinya dibagikan menggunakan skrip. Proses ini diselesaikan dan diulang dari awal tanpa campur tangan manusia.

Selain itu, ransomware ini menggunakan alat dengan pola kerja yang sama seperti hampir semua sistem komputer Windows. Sistem keamanan titik akhir sulit menandai aktivitas berbahaya. Ransomware ini juga menyembunyikan berkas enkripsi yang bisa dijalankan dengan menyamarkannya sebagai format berkas gambar .PNG biasa, sehingga mengakali pertahanan sistem.

Tahap-tahap serangan LockBit

Serangan LockBit bisa dipahami dalam tiga tahap:

  1. Eksploitasi
  2. Penyusupan
  3. Penyebaran

Tahap 1: Eksploitasi kelemahan jaringan. Pembobolan awal tampak seperti serangan berbahaya lainnya. Sebuah organisasi bisa dieksploitasi dengan taktik rekayasa sosial seperti phishing, dalam hal ini penyerang menyamar menjadi personel tepercaya atau pihak berwenang yang meminta kredensial akses. Bisa juga dengan menggunakan serangan brute force di server intranet dan sistem jaringan organisasi. Tanpa konfigurasi jaringan yang baik, penyelesaian pemantauan untuk melakukan serangan mungkin hanya butuh waktu beberapa hari.

Setelah LockBit masuk ke jaringan, ransomware ini akan mempersiapkan sistem untuk melepaskan muatan enkripsi ke semua perangkat yang bisa disusupi. Namun, si penyerang mungkin perlu menyelesaikan beberapa langkah tambahan sebelum melakukan langkah terakhir.

Tahap 2: Penyusupan lebih dalam untuk menuntaskan penyiapan serangan jika diperlukan. Mulai dari tahap ini, program LockBit akan mengarahkan semua aktivitas secara independen. Diprogram untuk memanfaatkan alat “pascaeksploitasi” demi menambah hak istimewa guna mencapai tingkat akses yang siap diserang. Program ini juga akan menyusup melalui akses yang tersedia lewat pergerakan lateral untuk memeriksa kelayakan target.

Pada tahap ini, LockBit akan melakukan persiapan sebelum menyebarkan sebagian enkripsi ransomware. Termasuk menonaktifkan program keamanan dan infrastruktur lainnya yang bisa memulihkan sistem.

Tujuan penyusupan supaya pemulihan tanpa bantuan menjadi mustahil, atau cukup lama menghambat korban sampai tunduk kepada permintaan uang tebusan penyerang dan menganggapnya sebagai satu-satunya solusi praktis. Jika korban sangat ingin perangkatnya kembali berfungsi normal, mereka akan rela membayar uang tebusan.

Tahap 3: Penyebaran muatan enkripsi. Setelah jaringannya disiapkan untuk mengaktifkan LockBit, ransomware ini akan mulai menyebar ke seluruh perangkat yang bisa disusupinya. Seperti penjelasan sebelumnya, LockBit tidak membutuhkan banyak hal untuk menuntaskan tahap ini. Satu unit sistem dengan akses tinggi bisa memerintahkan unit jaringan lainnya untuk mengunduh LockBit dan menjalankannya.

Bagian enkripsinya akan memasang “kunci” pada semua berkas sistem. Korban hanya bisa membuka kunci sistem mereka melalui kunci khusus yang dibuat oleh alat dekripsi LockBit. Dalam prosesnya, juga ada salinan berkas teks catatan tebusan sederhana di setiap folder sistem. Isinya berupa instruksi kepada korban untuk memulihkan sistem mereka dan bahkan disertai ancaman pemerasan dalam beberapa versi LockBit.

Setelah semua tahapan selesai, langkah berikutnya tergantung pada korban. Mereka bisa menghubungi penyebar LockBit dan membayar uang tebusan. Namun, jangan penuhi tuntutan mereka. Tidak ada jaminan bagi korban bahwa penyerang akan memenuhi kesepakatan.

Jenis-jenis ancaman LockBit


Sebagai bentuk serangan ransomware terbaru, ancaman LockBit bisa sangat mengkhawatirkan. Tidak bisa dipungkiri bahwa ancaman ini bisa dialami banyak industri dan organisasi, terutama seiring dengan meningkatnya praktik kerja jarak jauh akhir-akhir ini. Dengan mengenali varian LockBit, kita bisa mengetahui masalah yang sedang dihadapi.

Varian 1 — ekstensi .abcd

LockBit versi asli menamai berkas dengan ekstensi “.abcd”. Disertai juga dengan pesan permintaan uang tebusan yang berisi tuntutan dan instruksi untuk pemulihan dalam berkas “Restore-My-Files.txt” yang disalin ke setiap folder.

Varian 2 —. ekstensi LockBit

Ransomware versi kedua ini diketahui menggunakan ekstensi berkas “.LockBit”, yang menjadi asal julukannya saat ini. Namun, korban bisa mengetahui bahwa ciri-ciri lainnya dari versi ini kebanyakan tampak identik, meski pada akhirnya ada beberapa revisi.

Varian 3 —. LockBit versi 2

Versi LockBit berikutnya yang bisa dikenali tidak lagi memerlukan pengunduhan browser Tor dalam instruksi acaknya. Namun, korban akan dialihkan ke situs web lain lewat akses internet biasa.

Pembaruan dan revisi berkelanjutan untuk LockBit

Belakangan ini, LockBit telah disempurnakan dengan fitur-fitur yang lebih berbahaya, seperti meniadakan titik pemeriksaan izin administratif. Kini LockBit meniadakan perintah keselamatan yang bisa dilihat pengguna jika ada aplikasi yang dijalankan sebagai administrator.

Selain itu, malware ini telah diatur untuk mencuri salinan data server dan menyertakan kalimat pemerasan tambahan dalam catatan permintaan uang tebusan. Jika korban tidak patuh, LockBit akan menyebarkan data pribadi korban kepada publik.

Penghapusan dan dekripsi LockBit

Karena masalah yang ditimbulkan LockBit, perangkat titik akhir membutuhkan standar perlindungan penuh di semua bagian organisasi. Langkah pertama adalah memiliki solusi keamanan titik akhir komprehensif, seperti Kaspersky Integrated Endpoint Security.

Jika organisasi Anda telah terinfeksi, penghapusan ransomware LockBit saja tidak akan mengembalikan akses ke berkas Anda. Tetap dibutuhkan alat untuk memulihkan sistem, karena enkripsi memerlukan “kunci” untuk membukanya. Atau Anda bisa memulihkan sistem operasi dengan melakukan reimaging jika Anda telah membuat cadangannya sebelum terkena infeksi.

Cara berlindung dari LockBit ransomware

Pada akhirnya, Anda harus menyiapkan langkah-langkah perlindungan supaya organisasi tetap tangguh saat melawan serangan ransomware atau serangan berbahaya sejak awal. Berikut beberapa langkah untuk mempersiapkannya:

  1. Kata sandi kuat harus digunakan. Ada banyak kasus peretasan akun karena kata sandi yang mudah ditebak, atau yang cukup mudah ditemukan oleh alat algoritme dalam beberapa hari analisis. Pilih kata sandi yang aman, seperti kata sandi yang lebih panjang dengan karakter bervariasi dan aturan yang dibuat sendiri dalam menyusun frasa sandi.
  2. Aktifkan autentikasi multifaktor. Cegah serangan brute force dengan menambahkan lapisan keamanan setelah login awal menggunakan kata sandi. Tambahkan langkah pengamanan seperti authenticator biometrik atau kunci keamanan USB di seluruh sistem Anda jika memungkinkan.
  3. Nilai ulang dan sederhanakan izin akun pengguna. Batasi izin secara lebih ketat untuk membatasi potensi ancaman supaya tidak lolos tanpa pencegahan. Berikan perhatian khusus kepada perangkat yang diakses pengguna titik akhir dan akun TI yang menggunakan izin administrator. Domain web, platform kolaboratif, layanan rapat web, dan basis data perusahaan harus diamankan.
  4. Hapus akun pengguna lawas yang tidak lagi digunakan. Beberapa sistem lama mungkin memiliki akun karyawan lama yang belum dihapus dan ditutup. Pemeriksaan sistem perlu dituntaskan dengan menghilangkan potensi titik-titik kelemahan ini.
  5. Pastikan konfigurasi sistem mengikuti semua prosedur keamanan. Ini mungkin butuh waktu, tetapi dengan melihat kembali pengaturan yang ada, Anda bisa mengetahui masalah baru dan kebijakan usang yang membuat organisasi Anda rentan diserang. Prosedur operasi standar harus dikaji ulang secara berkala supaya tetap terbarukan dalam menghadapi ancaman siber baru.
  6. Selalu siapkan cadangan di seluruh sistem dan image perangkat bawaan yang bebas dari serangan siber. Insiden bisa terjadi, dan satu-satunya perlindungan sejati supaya tidak kehilangan data secara permanen adalah memiliki salinan di luar jaringan. Secara berkala, organisasi harus membuat cadangan agar selalu mengetahui setiap perubahan penting pada sistem. Jika sebuah cadangan terinfeksi malware, pertimbangkan untuk memiliki beberapa tempat cadangan bergilir agar Anda bisa memilih periode yang bebas dari serangan siber.
  7. Pastikan Anda memiliki solusi keamanan siber perusahaan yang komprehensif. Meski LockBit bisa berupaya untuk mematikan perlindungan di sebuah komputer, perangkat lunak perlindungan keamanan siber perusahaan akan membantu Anda menangkap berkas unduhan di seluruh organisasi lewat perlindungan real-time. Pelajari lebih lanjut tentang Kaspersky Security Solutions for Enterprise untuk membantu melindungi perusahaan dan perangkat.

Produk yang Direkomendasikan:

LockBit ransomware — Hal yang Perlu Diketahui

LockBit ransomware adalah perangkat lunak berbahaya yang dirancang untuk memblokir akses pengguna ke sistem komputer, lalu meminta uang tebusan.
Kaspersky logo

Artikel terkait