Lockbit 3.0 adalah jenis ransomware yang dirancang untuk mengenkripsi file di komputer korban dan meminta tebusan sebagai imbalan atas kunci dekripsi. Versi pertama Lockbit ditemukan pada tahun 2019, dan sejak itu, malware ini telah mengalami beberapa pembaruan dan perbaikan.
Ransomware Lockbit 3.0 dikenal dengan algoritme enkripsinya yang canggih dan rumit, yang membuatnya sangat sulit untuk mendekripsi file tanpa kunci dekripsi. Malware ini biasanya menyebar melalui email phishing, tautan berbahaya, atau kerentanan perangkat lunak, dan setelah menginfeksi sistem, dia segera mulai mengenkripsi file.
Lockbit 3.0 unik karena memiliki mekanisme pemerasan dua lapis, yang berarti bahwa dia tidak hanya mengenkripsi file tetapi juga mengancam untuk merilis data yang dicuri jika tebusannya tidak dibayar. Ransomware ini juga memiliki fitur yang disebut “Big Game Hunting,” yang menargetkan organisasi dan perusahaan yang lebih besar, yang menuntut uang tebusan yang lebih tinggi.
Pengembang Lockbit 3.0 beroperasi sebagai model ransomware-as-a-service (RaaS), di mana mereka menyediakan ransomware untuk afiliasi yang kemudian melakukan serangan dan berbagi keuntungan dengan para pengembang. Model ini memungkinkan distribusi ransomware yang lebih luas dan mempersulit pelacakan para penyerang.
- Ada beberapa insiden dunia maya yang disebabkan oleh ransomware Lockbit, termasuk:
- Serangan Badan Perlindungan Lingkungan Skotlandia (SEPA): Pada bulan Desember 2020, Badan Perlindungan Lingkungan Skotlandia (SEPA) terkena serangan ransomware Lockbit 2.0 yang mengenkripsi lebih dari 4.000 file. Para penyerang menuntut uang tebusan sebesar £30 juta sebagai imbalan atas kunci dekripsi dan mengancam akan merilis data sensitif jika uang tebusan tidak dibayarkan. SEPA tidak membayar uang tebusan, dan para penyerang merilis beberapa data yang dicuri di web gelap.
- Serangan Ransomware Kesehatan Universitas Utah: Pada bulan Juli 2020, University of Utah Health mengalami serangan ransomware oleh geng ransomware Lockbit. Serangan tersebut menyebabkan rumah sakit mematikan beberapa sistem TI-nya, termasuk email dan sistem catatan pasien, selama beberapa hari. Rumah sakit tidak mengungkapkan jumlah permintaan tebusan atau apakah mereka membayar tebusan.
- Serangan Ransomware Kota Tulsa: Pada Mei 2021, Kota Tulsa di Oklahoma terkena serangan ransomware Lockbit yang mengenkripsi file pada sistemnya. Para penyerang meminta tebusan sebesar $8,5 juta sebagai imbalan atas kunci dekripsi, tetapi kota tersebut tidak membayar tebusan dan malah memulihkan sistemnya dari cadangan.
Insiden-insiden ini menyoroti dampak destruktif yang dapat ditimbulkan oleh ransomware Lockbit terhadap organisasi dan pentingnya menerapkan langkah-langkah keamanan siber yang kuat untuk mencegah dan mengurangi risiko serangan semacam itu.
Menurut laporan dari perusahaan penanggulangan insiden ransomware Coveware, LockBit bertanggung jawab atas 15% serangan ransomware yang dialami perusahaan di seluruh dunia selama kuartal pertama tahun 2022, urutan kedua setelah ransomware Conti dengan prosentase 16%. Dalam laporan yang lebih baru, perusahaan keamanan siber NCC Group melaporkan bahwa LockBit bertanggung jawab atas 40% serangan ransomware pada bulan Mei 2022, diikuti oleh Conti.
Berdasarkan data dari situs kebocoran data LockBit, hampir setengah dari organisasi yang menjadi korban berasal dari Amerika Serikat, diikuti oleh Italia, Jerman, Kanada, Prancis, dan Inggris. Hal ini disebabkan karena prevalensi asuransi dunia maya dan pendapatan yang lebih tinggi di wilayah Amerika Utara dan Eropa, sebagaimana diungkapkan oleh anggota geng LockBit dalam sebuah wawancara. Industri yang paling terkena dampak adalah layanan profesional dan hukum, konstruksi, pemerintah federal, real estat, ritel, teknologi tinggi, dan manufaktur. Malware ini juga berisi kode yang mencegah eksekusinya pada sistem dengan pengaturan bahasa Eropa Timur.
Para penyerang di balik ransomware Lockbit biasanya meminta pembayaran dalam mata uang kripto seperti Bitcoin sebagai imbalan atas kunci dekripsi. Mereka sering kali memberikan instruksi tentang cara melakukan pembayaran dan cara menerima kunci dekripsi setelah pembayaran dilakukan. Rata-rata, afiliasi LockBit meminta sekitar $85.000 dari setiap korban, 10 – 30% di antaranya diberikan kepada operator RaaS, dan ransomware ini telah menginfeksi ribuan perangkat di seluruh dunia. Lebih dari 20% korban berada di sektor perangkat lunak dan layanan.
Dalam beberapa kasus, ransomware Lockbit juga dapat menghapus atau merusak file untuk lebih meningkatkan tekanan pada korban untuk membayar tebusan. Jumlah waktu yang dihabiskan oleh penyerang LockBit di dalam jaringan sebelum menyebarkan ransomware telah berkembang lebih cepat, dari sekitar 70 hari pada Q4 2021 menjadi 35 hari pada Q1 2022 dan kurang dari 20 hari pada Q2 2022. Ini berarti organisasi memiliki lebih sedikit waktu untuk mendeteksi intrusi jaringan pada tahap awal dan menghentikan penyebaran ransomware.
Hingga saat ini, belum ada laporan spesifik tentang penangkapan yang terkait langsung dengan pelaku ransomware Lockbit. Geng ransomware Lockbit beroperasi menggunakan model ransomware-as-a-service (RaaS), di mana mereka menyediakan ransomware kepada afiliasi yang melakukan serangan. Struktur yang terdesentralisasi ini membuatnya sulit untuk melacak dan menangkap individu di balik serangan ransomware.
Namun, ada beberapa penangkapan penting terhadap pelaku ransomware dalam beberapa tahun terakhir. Beberapa kasus penting hingga tahun 2021:
- GandCrab: Pada bulan Juni 2018, pihak berwenang Ukraina dan Rumania, berkolaborasi dengan berbagai perusahaan keamanan siber, telah berhasil melakukan operasi gabungan yang berujung pada penangkapan beberapa individu yang terkait dengan ransomware GandCrab. GandCrab adalah jenis ransomware produktif yang menginfeksi banyak sistem dan memeras jutaan dolar dari para korban.
- Evil Corp: Pada bulan Desember 2019, Departemen Kehakiman AS mengumumkan dakwaan terhadap individu-individu yang terkait dengan Evil Corp, sebuah kelompok penjahat siber terkenal yang bertanggung jawab atas pendistribusian Trojan perbankan Dridex dan ransomware WastedLocker. Salah satu anggota utama Evil Corp, Maksim Yakubets, telah ditetapkan sebagai terdakwa, dan pemerintah AS menawarkan hadiah hingga $5 juta untuk informasi yang mengarah pada penangkapannya.
- NetWalker: Pada bulan Januari 2021, pihak berwenang Kanada dan Bulgaria berkolaborasi dengan mitra internasional telah berhasil melumpuhkan infrastruktur operasi ransomware NetWalker. Hasilnya, seorang warga negara Kanada yang dikenal sebagai “Sebastian,” yang diduga merupakan bagian dari geng NetWalker, telah ditangkap. Pihak berwenang menyita sejumlah besar mata uang kripto dan infrastruktur yang terkait dengan ransomware.
Perlu dicatat bahwa meskipun penangkapan ini merupakan operasi yang berhasil melawan para pelaku ransomware, perang melawan ransomware masih terus berlangsung, dan para pelaku dan jenis baru terus bermunculan. Lembaga penegak hukum dan perusahaan keamanan siber terus melanjutkan upaya kolaboratif mereka untuk memerangi ancaman ini dan berusaha semaksimal mungkin untuk membawa operator ransomware ke pengadilan.
Mencegah serangan ransomware melibatkan kombinasi tindakan teknis dan non-teknis. Berikut ini adalah beberapa langkah pencegahan yang dapat diambil oleh individu dan organisasi untuk mengurangi risiko ransomware:
- Selalu perbarui perangkat lunak dan sistem: Perbarui perangkat lunak dan sistem operasi secara teratur untuk menutup kerentanan yang diketahui, yang dapat dieksploitasi oleh penyerang ransomware.
- Gunakan perangkat lunak antivirus dan anti-malware: Instal dan pelihara perangkat lunak antivirus dan anti-malware yang mutakhir untuk mendeteksi dan menghapus ransomware dan perangkat lunak berbahaya lainnya.
- Gunakan kata sandi yang kuat dan autentikasi multi-faktor: Gunakan kata sandi yang kuat dan rumit serta aktifkan autentikasi multi-faktor jika memungkinkan untuk mempersulit penyerang mendapatkan akses ke sistem dan data.
4. Cadangkan data penting: Cadangkan file dan data penting secara teratur pada perangkat eksternal atau penyimpanan cloud. Hal ini dapat membantu memulihkan data jika terjadi serangan ransomware.
- Berhati-hatilah terhadap email dan tautan yang mencurigakan: Berhati-hatilah saat membuka email atau mengklik tautan dari sumber yang tidak dikenal atau mencurigakan. Jangan mengunduh atau membuka lampiran dari sumber yang tidak dikenal atau mengeklik tautan dalam email atau situs web yang tampak mencurigakan.
- Mendidik karyawan: Berikan edukasi kepada karyawan tentang risiko ransomware dan cara mengidentifikasi serta melaporkan aktivitas yang mencurigakan. Berikan pelatihan tentang praktik terbaik untuk keamanan siber dan lakukan kampanye kesadaran rutin.
- Menerapkan segmentasi jaringan: Mensegmentasi jaringan dapat membantu menahan infeksi ransomware dan membatasi kerusakan pada jaringan. Ini melibatkan pembagian jaringan ke dalam sub-jaringan yang lebih kecil dengan akses terbatas ke bagian lain dari jaringan.
Dengan menerapkan langkah-langkah pencegahan ini, individu dan organisasi dapat mengurangi risiko serangan ransomware dan melindungi sistem dan data mereka agar tidak disusupi.
Add a Comment