Dilansir dari The Guardian LockBit muncul sebagai nama yang paling produktif dalam serangan ransomware dan sekarang disalahkan atas serangan yang menghantam operasi internasional Royal Mail milik Inggris dan Bank Syariah Indonesia.
Inilah yang kami ketahui tentang LockBit dan cara kerjanya.
Apa itu ransomware?
Ransomware adalah perangkat lunak berbahaya, atau malware, yang sering dimasukkan ke dalam jaringan komputer entitas melalui apa yang disebut “upaya phishing”. Ini melibatkan menipu penerima untuk mengunduh malware, biasanya dengan mengklik tautan atau lampiran yang terdapat dalam email.
Upaya phishing juga dapat mencakup dan mencoba mengakses nama pengguna dan kata sandi orang tersebut untuk masuk ke jaringan, dengan membodohi mereka dengan berpikir bahwa mereka masuk ke jaringan yang dimaksud.
Malware kemudian mengenkripsi komputer yang terinfeksi, sehingga tidak mungkin untuk mengakses kontennya. Pelaku jahat di balik serangan itu kemudian meminta uang dari entitas yang terpengaruh – biasanya perusahaan atau organisasi pemerintah – agar komputer tersebut dibuka atau didekripsi.
Menurut Departemen Keuangan AS, bank dan lembaga keuangan AS sendiri memproses sekitar $1,2 miliar (£990 juta) dalam pembayaran ransomware pada tahun 2021.
Bagaimana cara kerja LockBit?
LockBit adalah nama yang diberikan untuk malware tertentu, dengan organisasi kriminal di belakangnya juga membawa nama itu.
Grup LockBit juga menjual malware ini ke operator lain untuk keuntungan finansial, dalam model yang dikenal sebagai ransomware as a service (Raas).
Di forum bawah tanah, malware telah diiklankan sebagai “perangkat lunak enkripsi tercepat di seluruh dunia”.
“Kami telah melihat tren nyata dalam geng ransomware yang mengoperasikan ‘model afiliasi’ di mana mereka menjual akses ke malware ini di web gelap dengan imbalan pembayaran, seringkali dalam mata uang kripto,” kata Toby Lewis, kepala analisis ancaman global di Darktrace, perusahaan keamanan siber Inggris.
“Ini membantu LockBit untuk menskalakan operasinya seperti waralaba.”
Lewis mengatakan operator LockBit tidak hanya mengenkripsi file tetapi juga melakukan “pemerasan ganda” di mana mereka mencuri data dan mengancam akan merilisnya secara online.
Beberapa fitur malware termasuk mampu mencetak permintaan tebusan pada printer jaringan yang terpengaruh, detail yang telah dilaporkan dalam peretasan Royal Mail, dengan Daily Telegraph melaporkan bahwa catatan ransomware menyatakan: “Lockbit Black Ransomware. Data Anda dicuri dan dienkripsi.”
LockBit, seperti kebanyakan grup ransomware, menuntut pembayaran dalam cryptocurrency. Bitcoin telah menjadi metode pembayaran yang disukai secara historis tetapi menurut Sophos, sebuah perusahaan keamanan siber Inggris, LockBit menuntut pembayaran dalam aset digital lainnya.
“Banyak orang seperti LockBit telah beralih ke monero cryptocurrency, karena peningkatan anonimitas yang diberikannya,” kata Peter Mackenzie, yang memimpin tim respons insiden di Sophos.
Dia menambahkan: “Tuntutan tebusan LockBit dapat berkisar dari ratusan ribu hingga puluhan juta dolar biasanya berdasarkan jumlah kerusakan yang diyakini telah disebabkan, jenis data yang dicuri, dan seberapa banyak yang mereka yakini mampu dibayar oleh korban.”
Siapa di belakang LockBit?
Sebagian besar grup ransomware cenderung beroperasi dari Eropa timur, bekas Republik Soviet, dan Rusia sendiri. “LockBit termasuk dalam kategori yang sama,” kata Lewis.
Pada bulan November, Departemen Kehakiman AS mendakwa warga negara ganda Rusia dan Kanada, Mikhail Vasiliev, atas dugaan partisipasi dalam kampanye ransomware LockBit. DoJ mengatakan LockBit telah dikerahkan terhadap setidaknya 1.000 korban di AS dan di seluruh dunia, telah menghasilkan setidaknya $100 juta dalam tuntutan tebusan dan telah “mendapatkan puluhan juta dolar dalam pembayaran uang tebusan yang sebenarnya”.
Korban serangan LockBit termasuk Pendragon, sebuah perusahaan dealer mobil Inggris, yang telah menolak untuk membayar permintaan ransomware senilai $60 juta.
Menurut Trustwave, sebuah perusahaan keamanan siber AS, grup LockBit “mendominasi ruang ransomware” dan menggunakan pembayaran besar untuk merekrut aktor berpengalaman.
Itu menyumbang 44% dari serangan ransomware pada Januari-September tahun lalu, menurut Deep Instinct, sebuah perusahaan keamanan siber Israel.
Malware sebelumnya dikenal sebagai “.abcd”, setelah ekstensi file yang ditambahkan ke file terenkripsi karena dibuat tidak dapat diakses.
Ransomware, dan grup di belakangnya, sering mengalami perubahan nama untuk menghindari penegakan hukum atau latihan rebranding ala perusahaan setelah menjadi terkenal secara berlebihan.
“Rebranding sering terjadi. Ini mungkin untuk menghindari penegakan hukum atau hanya berkaitan dengan pemasaran, ”kata Lewis.
Bisakah serangan ransomware dinonaktifkan?
Ini sulit. Begitu serangan masuk, sangat sulit untuk dihentikan. “Peluang terbaik Anda adalah menghentikan serangan sejak awal,” kata Lewis.
Pembersihan sering melibatkan pembangunan kembali sistem dan jaringan. “Jika Anda memiliki ransomware di jaringan Anda, sangat sulit untuk mendapatkan jaminan dengan cara lain selain membangun kembali sistem dari awal.”
Apakah ilegal untuk membayar permintaan ransomware?
Tahun lalu pengawas data Inggris, Kantor Komisi Informasi, dan Pusat Keamanan Cyber Nasional menulis kepada para profesional hukum di Inggris dan Wales menekankan bahwa penegakan hukum “tidak mendorong” pembayaran uang tebusan meskipun pembayaran biasanya tidak melanggar hukum. Misalnya, membayar uang tebusan adalah ilegal jika entitas yang terkena dampak mengetahui, atau memiliki alasan untuk mencurigai, uang tebusan tersebut akan digunakan untuk mendanai terorisme.
Surat ICO dan NCSC mengatakan: “Pembayaran mendorong perilaku berbahaya lebih lanjut oleh pelaku jahat dan tidak menjamin dekripsi jaringan atau pengembalian data yang dicuri.”
Di AS, pembayaran uang tebusan tidak disarankan oleh pemerintah, tetapi catatan penasehat dari Departemen Keuangan AS pada tahun 2020 menekankan bahwa ini “hanya untuk penjelasan” dan “tidak memiliki kekuatan hukum”.
