LockBitLockBit adalah kelompok penjahat dunia maya yang mengusulkan ransomware sebagai layanan (RaaS). Perangkat lunak yang dikembangkan oleh kelompok tersebut (juga disebut ransomware) memungkinkan aktor jahat yang bersedia membayar untuk menggunakannya untuk melakukan serangan dengan dua taktik di mana mereka tidak hanya mengenkripsi data korban dan meminta pembayaran uang tebusan, tetapi juga mengancam akan membocorkannya ke publik, jika tuntutan mereka tidak dipenuhi.[1] Menurut pernyataan bersama berbagai lembaga pemerintah, LockBit adalah ransomware paling produktif di dunia pada tahun 2022.[2] Diperkirakan pada awal tahun 2023 bertanggung jawab atas 44% dari seluruh insiden ransomware secara global.[3] Di Amerika Serikat antara Januari 2020 dan Mei 2023, LockBit digunakan dalam sekitar 1.700 serangan ransomware, dengan US$ 91 juta dibayarkan sebagai tebusan kepada peretas.[4] Instansi pemerintah tidak secara formal mengaitkan kelompok tersebut dengan negara bangsa mana pun.[5] Software dengan nama "LockBit" muncul di forum kejahatan dunia maya berbasis bahasa Rusia pada Januari 2020.[4] Kelompok ini mempunyai motivasi finansial.[3] Pada bulan Februari 2024 lembaga penegak hukum menguasai situs web gelap LockBit yang digunakan untuk serangan.[6][7] Namun, serangan lebih lanjut dengan ransomware LockBit kemudian dilaporkan, dan kelompok tersebut berusaha untuk melakukan serangan balik.[8][9] KeteranganPerangkat lunak LockBit, ditulis dalam bahasa pemrograman C dan C++ hingga . .NET digunakan untuk LockBit-NG-Dev yang sedang dikembangkan saat penghapusan pada tahun 2024, [8] memperoleh akses awal ke sistem komputer menggunakan akses yang dibeli, kerentanan yang belum ditambal, akses orang dalam, dan eksploitasi zero-day, dengan cara yang sama seperti malware lainnya. LockBit kemudian mengambil kendali sistem yang terinfeksi, mengumpulkan informasi jaringan, dan mencuri serta mengenkripsi data. Korban kemudian diminta membayar uang tebusan agar datanya didekripsi agar tersedia kembali, dan pelaku menghapus salinannya, dengan ancaman akan membuat data tersebut menjadi publik. [10] (Meskipun data tidak dipublikasikan jika uang tebusan dibayarkan, ditemukan ketika LockBit dihapus oleh penegak hukum bahwa data tersebut belum dihapus).[11] LockBit mendapat perhatian karena pembuatan dan penggunaan malware yang disebut "StealBit", yang mengotomatiskan transfer data ke penyusup. Alat ini diperkenalkan dengan dirilisnya LockBit 2.0, yang memiliki kemampuan enkripsi cepat dan efisien. Untuk memperluas jangkauannya, LockBit juga merilis Linux-ESXI Locker versi 1.0, yang menargetkan host Linux, khususnya server VMware ESXi.[1] LockBit merekrut afiliasi dan mengembangkan kemitraan dengan kelompok kriminal lainnya. Mereka menyewa broker akses jaringan, bekerja sama dengan organisasi seperti Maze, dan merekrut orang dalam dari perusahaan sasaran. Untuk menarik para hacker berbakat, mereka mensponsori kontes penulisan teknis bawah tanah.[1] LockBit telah menyasar berbagai industri secara global, namun sektor kesehatan dan pendidikan adalah korban terbesarnya. Menurut Trend Micro, dalam hal upaya serangan, Amerika Serikat, India, dan Brasil adalah negara sasaran utama.[1] LockBit efisien dan mudah beradaptasi: mereka menekankan kecepatan dan kemampuan malware untuk menarik korban. Mereka mempertimbangkan faktor eksternal seperti undang-undang privasi data ketika menargetkan calon korban. Kesuksesan LockBit juga sangat bergantung pada program afiliasinya, yang membantu mereka berinovasi dan bersaing dalam lanskap ransomware.[1] Di situsnya di web gelap, LockBit menyatakan bahwa mereka "berlokasi di Belanda, sepenuhnya apolitis dan hanya tertarik pada uang".[12] Teknik dan taktikOperator LockBit sering kali mendapatkan akses awal dengan mengeksploitasi server Remote Desktop Protocol (RDP) yang rentan atau kredensial yang disusupi yang dibeli dari afiliasi. Vektor akses awal juga mencakup email phishing dengan lampiran atau tautan berbahaya, memaksa kata sandi RDP atau VPN yang lemah, dan mengeksploitasi kerentanan seperti CVE-2018-13379 di Fortinet VPN.[1] Setelah diinstal, ransomware LockBit sering dijalankan di Microsoft Windows melalui argumen baris perintah, tugas terjadwal, atau skrip PowerShell seperti PowerShell Empire. LockBit menggunakan alat seperti Mimikatz, GMER, Process Hacker, dan pengeditan registri untuk mengumpulkan kredensial, menonaktifkan produk keamanan, dan menghindari pertahanan. Ini menghitung koneksi jaringan untuk mengidentifikasi target bernilai tinggi seperti pengontrol domain menggunakan pemindai seperti Advanced Port Scanner.[1] Untuk pergerakan lateral, LockBit menyebar melalui koneksi berbagi file SMB di dalam jaringan, menggunakan kredensial yang dikumpulkan sebelumnya. Teknik pergerakan lateral lainnya termasuk mendistribusikan dirinya melalui objek Kebijakan Grup yang disusupi, atau menggunakan alat seperti PsExec atau Cobalt Strike.[1] Muatan ransomware LockBit mengenkripsi file dan berbagi jaringan menggunakan enkripsi AES dan RSA . Ini hanya mengenkripsi beberapa kilobyte pertama dari setiap file untuk pemrosesan lebih cepat, dan menambahkan ekstensi ".lockbit". LockBit kemudian mengganti wallpaper desktop dengan catatan tebusan; itu juga dapat mencetak catatan tebusan ke printer yang terpasang. Tujuannya adalah untuk memeras pembayaran uang tebusan untuk membalikkan gangguan sistem dan memulihkan akses file.[1] SejarahMalware LockBit sebelumnya dikenal sebagai ".abcd", setelah ekstensi file yang ditambahkan ke file terenkripsi karena dibuat tidak dapat diakses.[13] LockBit pertama kali diamati pada September 2019.[14] LockBit 2.0LockBit 2.0 muncul pada tahun 2021[14] dan menjadi sorotan dengan serangan mereka terhadap Accenture pada tahun yang sama, di mana orang dalam mungkin membantu grup tersebut memasuki jaringan. LockBit menerbitkan beberapa data yang dicuri dalam serangan ini.[15][1] Pada Januari 2022, perusahaan elektronik Thales menjadi salah satu korban Lockbit 2.0.[16] Pada bulan Juli 2022, layanan administrasi dan manajemen La Poste Mobile diserang.[17] Pada bulan September 2022, peretas kelompok tersebut mengklaim melakukan serangan siber terhadap 28 organisasi, 12 di antaranya melibatkan organisasi Prancis. [18] Diantaranya, rumah sakit Corbeil Essonnes menjadi sasaran permintaan tebusan sebesar US$10 juta.[19] Pada bulan Oktober 2022, kelompok LockBit mengaku bertanggung jawab atas serangan terhadap Pendragon PLC, sekelompok pengecer otomotif di Inggris, menuntut uang tebusan sebesar US$60 juta untuk mendekripsi file dan tidak membocorkannya; pihak perusahaan menyatakan bahwa mereka menolak permintaan tersebut.[20] Pada 31 Oktober 2022, kelompok hacker LockBit mengaku telah menyerang Thales Group untuk kedua kalinya dan tidak meminta uang tebusan, namun menyatakan bahwa datanya akan dirilis. Kelompok peretas menawarkan bantuan kepada pelanggan Thales yang terkena dampak pencurian tersebut, untuk mengajukan pengaduan terhadap Thales, sebuah kelompok "yang sangat mengabaikan aturan kerahasiaan". [21] Pada 10 November 2022, grup LockBit 3.0 menerbitkan di darknet versi 9.5 Arsip GB dengan informasi curian mengenai kontrak Thales di Italia dan Malaysia.[22][23] Pada November 2022, OEHC - Office d'Équipement Hydraulique de Corse - menjadi korban serangan siber yang mengenkripsi data komputer perusahaan. Permintaan tebusan diajukan oleh kelompok peretas, namun OEHC tidak menanggapinya.[24] Pada bulan Desember 2022, kelompok peretas LockBit mengaku bertanggung jawab atas serangan terhadap Administrasi Keuangan California . Kantor gubernur mengakui menjadi korban serangan tersebut, tanpa menyebutkan skalanya. Lockbit mengklaim telah mencuri 246.000 file dengan ukuran total 75,3 GB.[25] Pada Desember 2022, kelompok peretas mengaku telah menyerang pelabuhan Lisbon . Uang tebusan ditetapkan sebesar US$1,5 juta, harus dibayarkan paling lambat 18 Januari 2023.[26] Pada 18 Desember 2022, sekelompok peretas menyerang Rumah Sakit Anak Sakit Toronto . Setelah menyadari kesalahan mereka, kelompok peretas menghentikan serangan, meminta maaf dan menawarkan solusi gratis untuk memulihkan file terenkripsi.[27] LockBit 3.0Pada akhir Juni 2022, grup ini meluncurkan "LockBit 3.0", varian terbaru dari ransomware mereka, setelah dua bulan pengujian beta . Khususnya, kelompok tersebut memperkenalkan program bug bounty, yang pertama dari jenisnya di bidang operasi ransomware. Mereka mengundang peneliti keamanan untuk menguji perangkat lunak mereka guna meningkatkan keamanan mereka, menawarkan imbalan uang yang besar mulai dari US$ 1.000 hingga $1 juta.[1] Pada Agustus 2022, produsen peralatan Jerman Continental mengalami serangan ransomware LockBit. Pada bulan November 2022, tanpa tanggapan terhadap permintaan uang tebusan, kelompok peretas tersebut menerbitkan sebagian dari data yang dicuri dan menawarkan akses ke semuanya dengan biaya 50 juta euro. Di antara data yang dicuri adalah kehidupan pribadi karyawan Grup, serta pertukaran dengan produsen mobil Jerman. Selain pencurian data, bahayanya terletak pada terbukanya jalan bagi spionase industri. Memang benar, di antara pertukaran dengan Volkswagen adalah aspek TI, mulai dari mengemudi otomatis hingga hiburan, yang mana Volkswagen ingin Continental berinvestasi.[28] Pada November 2022, Departemen Kehakiman Amerika Serikat mengumumkan penangkapan Mikhail Vasiliev, warga negara ganda Rusia dan Kanada, sehubungan dengan kampanye ransomware LockBit. Berdasarkan dakwaan, Vasiliev diduga berkonspirasi dengan pihak lain yang terlibat dalam LockBit, varian ransomware yang telah digunakan dalam lebih dari 1.000 serangan secara global pada November 2022. Menurut laporan, operator LockBit telah mengajukan permintaan tebusan setidaknya $100 juta, yang puluhan juta di antaranya telah dibayarkan oleh para korban. Penangkapan tersebut menyusul penyelidikan selama 2,5 tahun terhadap kelompok ransomware LockBit oleh Departemen Kehakiman.[29] Pada Januari 2023, kelompok peretas mengaku telah menyerang perusahaan barang mewah Prancis Nuxe [30] dan ELSAN, grup klinik swasta Prancis. Kelompok peretas mengambil data sebesar 821 GB dari kantor pusat perusahaan. [31] Pada bulan yang sama, layanan ekspor internasional Royal Mail sangat terganggu oleh serangan ransomware Lockbit. [32] [33] Pada bulan Februari 2023, kelompok tersebut mengaku bertanggung jawab atas serangan terhadap Indigo Books and Music, sebuah jaringan toko buku Kanada. [34] Pada Maret 2023, kelompok tersebut mengaku bertanggung jawab menyerang BRL Group , seorang spesialis air di Perancis. [35] Pada 16 Mei 2023, kelompok peretas mengaku bertanggung jawab atas serangan surat kabar Tiongkok cabang Hong Kong, China Daily . Ini adalah pertama kalinya kelompok peretas menyerang perusahaan Tiongkok. LockBit tidak menyerang entitas Rusia dan menghindari menyerang sekutu Rusia. [36] Pada Mei 2023, kelompok peretas mengaku bertanggung jawab atas serangan terhadap Voyageurs du Monde . Kelompok peretas mencuri sekitar 10.000 dokumen identitas dari file pelanggan perusahaan. [37] Pada bulan Juni 2023, Departemen Kehakiman Amerika Serikat mengumumkan tuntutan pidana terhadap Ruslan Magomedovich Astamirov, seorang warga negara Rusia, atas dugaan partisipasinya dalam kampanye ransomware LockBit sebagai afiliasi. Tuduhan tersebut menuduh bahwa Astamirov secara langsung mengeksekusi setidaknya lima serangan ransomware terhadap korban dan menerima sebagian pembayaran tebusan dalam bentuk bitcoin. [38] Pada akhir Juni 2023, grup TSMC menjadi korban serangan ransomware melalui salah satu pemasoknya. LockBit meminta uang tebusan $70 juta. [39] Pada Juli 2023, LockBit menyerang Pelabuhan Nagoya di Jepang, yang menangani 10% perdagangan negara tersebut. Serangan itu memaksa penutupan operasi kontainer. [40] Pada Oktober 2023, LockBit mengaku telah mencuri data sensitif dari Boeing . [41] Boeing mengakui bahwa mereka mengetahui adanya insiden dunia maya yang mempengaruhi beberapa suku cadang dan bisnis distribusi mereka beberapa hari kemudian, meskipun hal itu tidak mempengaruhi keselamatan penerbangan; mereka tidak menyebutkan nama tersangka penyerang. [42] Pada November 2023, LockBit menyerang anak perusahaan Bank Industri dan Komersial Tiongkok milik negara Tiongkok. [43] Bloomberg melaporkan bahwa unit ICBC AS pada saat itu dianggap sebagai pemberi pinjaman terbesar di dunia berdasarkan aset. [44] Pada November 2023, LockBit merilis data internal yang dicuri kelompok tersebut sebulan sebelumnya dari Boeing ke Internet.[45] Pada November 2023, LockBit menyerang Chicago Trading Company dan Alphadyne Asset Management . Bloomberg melaporkan bahwa CTC telah diretas pada bulan Oktober, dan pada tahun sebelumnya Lockbit telah "menjadi kelompok ransomware paling produktif di dunia." Sejak tahun 2020, mereka dilaporkan telah melakukan 1.700 serangan dan memeras $91 juta, menurut Badan Keamanan Siber dan Infrastruktur AS. [46] Register melaporkan pada akhir November 2023 bahwa LockBit menghadapi frustrasi internal yang semakin besar, dan bahwa para pemimpinnya merombak beberapa metode negosiasi dengan para korban sebagai respons terhadap rendahnya tingkat gaji yang dicapai.[47] Pada Januari 2024, LockBit menyerang komputer Fulton County.[48][49] Lokasi tersebut mengeluarkan pernyataan mengenai serangan tersebut pada bulan berikutnya, mengatakan bahwa mereka belum membayar uang tebusan, bahwa hal tersebut tidak terkait dengan proses pemilu, mereka tidak mengetahui adanya ekstraksi informasi sensitif tentang warga negara atau karyawan. [48] [49] LockBit-NG-Dev (LockBit 4?)Ketika server LockBit ditutup oleh penegak hukum pada bulan Februari 2024, ditemukan bahwa versi baru, LockBit-NG-Dev, mungkin akan dirilis sebagai LockBit 4.0, telah dalam pengembangan lanjutan; [50] Trend Micro menerbitkan laporan terperinci tentang hal itu.[51] Penyitaan oleh penegak hukum pada tahun 2024Pada 19 Februari 2024, Badan Kejahatan Nasional bekerja sama dengan Europol dan lembaga penegak hukum internasional lainnya menyita kendali situs darknet milik peretas ransomware LockBit sebagai bagian dari Operasi Cronos.[52][53][54][6][7] Sebuah laporan yang belum diverifikasi mengatakan bahwa Lockbit mengatakan bahwa servernya yang berjalan pada bahasa pemrograman PHP telah diserang, namun mereka memiliki server cadangan tanpa PHP yang "tidak tersentuh".[12] Satu orang ditangkap di Ukraina, satu di Polandia, dan dua di Amerika Serikat. Dua warga Rusia juga disebutkan namanya, namun belum ditangkap. Menurut Graeme Biggar, Direktur Jenderal Badan Kejahatan Nasional, penegak hukum telah "mengendalikan infrastruktur mereka, menyita kode sumbernya, dan memperoleh kunci yang akan membantu korban mendekripsi sistem mereka."[11] Dekripsi untuk LockBit 3.0 dibuat menggunakan kunci yang disita dan dirilis untuk penggunaan gratis di No More Ransom.[55] Setelah penghapusan tersebut, penegak hukum memposting informasi tentang grup tersebut di situs web gelapnya, termasuk bahwa grup tersebut memiliki setidaknya 188 afiliasi.[8] Penegakan hukum juga memperoleh 30.000 alamat Bitcoin yang digunakan untuk mengelola keuntungan grup dari pembayaran uang tebusan, yang berisi 2.200 BTC ($112 juta USD).[56] Hingga 22 Februari 2024, ransomware LockBit masih menyebar.[57][8] Pada 24 Februari 2024 muncul situs web baru yang mengaku dijalankan oleh LockBit. [58] Situs baru ini mencantumkan lebih dari selusin korban termasuk FBI, rumah sakit dan Fulton County, Georgia.[58] Situs baru tersebut mengancam akan merilis informasi terkait Fulton County kecuali uang tebusan dibayarkan paling lambat tanggal 2 Maret 2024.[58] Situs baru tersebut mengaku memiliki identitas anggota juri dalam persidangan pembunuhan.[58] Ada juga ancaman untuk melepaskan dokumen Fulton County terkait kasus pengadilan yang melibatkan Donald Trump jika uang tebusan tidak dibayarkan.[58] Pada tanggal 7 Mei 2024, dakwaan dan sanksi diumumkan terhadap Dmitry Khoroshev, tersangka administrator dan pengembang LockBit.[59][60] Pada 21 Mei 2024, LockBit mengaku bertanggung jawab atas serangan terhadap kantor perusahaan jaringan ritel Kanada London Drugs, menuntut pembayaran sebesar $25 juta.[61][62] Semua toko Obat London ditutup secara nasional dari 28 April–7 Mei 2024 karena serangan tersebut. [63] [64] London Drugs menolak membayar uang tebusan, dan menyatakan bahwa data pelanggan dan "karyawan utama" tidak dikompromikan.[61][62] Pada bulan Juni 2024, LockBit mengaku bertanggung jawab atas pelanggaran besar terhadap Evolve Bank & Trust,[65] bank mitra dari banyak perusahaan teknologi keuangan termasuk Stripe, Mercury, Affirm, dan Airwallex.[66] Kelompok ini mengancam akan membocorkan data dari Federal Reserve AS, namun data yang bocor tersebut tampaknya datang langsung dari Evolve, bukan Federal Reserve.[67] Lockbit 3.0 disebut-sebut dalam kasus pembobolan Pusat Data Nasional (PDN) dengan modus ransomware yang memakan korban 210 instansi. Sebelumnya, Pusat Data Nasional Sementara (PDNS) 2 di Surabaya mengalami gangguan sejak 20 Juni. Beberapa layanan publik, termasuk imigrasi, lumpuh. "Insiden pusat data sementara ini adalah serangan siber dalam bentuk ransomware dengan nama braincipher ransomware," ujar Hinsa Siburian, Kepala Badan Siber dan Sandi negara (BSSN).[68] Referensi
|