Pencurian, pemerasan, pemerasan, dan peniruan identitas marak secara online, dengan ribuan orang menjadi korban berbagai penipuan dan serangan setiap bulan. Salah satu modus serangan tersebut menggunakan sejenis ransomware yang dikenal sebagai LockBit 3.0. Jadi, dari mana ransomware ini berasal, bagaimana penggunaannya, dan apa yang dapat Anda lakukan untuk melindungi diri Anda sendiri?
Dari Mana LockBit 3.0 Berasal?
LockBit 3.0 (juga dikenal sebagai LockBit Black) adalah jenis ransomware yang berasal dari keluarga ransomware LockBit. Ini adalah sekelompok program ransomware yang pertama kali ditemukan pada September 2019, setelah gelombang serangan pertama terjadi. Awalnya, LockBit disebut sebagai ".abcd virus", tetapi pada saat itu, tidak diketahui bahwa Pembuat dan pengguna LockBit akan terus membuat iterasi baru dari ransomware asli program.
Keluarga program ransomware LockBit menyebar sendiri, tetapi hanya korban tertentu yang ditargetkan—terutama mereka yang mampu membayar uang tebusan besar. Mereka yang menggunakan ransomware LockBit sering membeli akses Remote Desktop Protocol (RDP) di web gelap sehingga mereka dapat mengakses perangkat korban dari jarak jauh dan lebih mudah.
Operator LockBit telah menargetkan organisasi di seluruh dunia sejak penggunaan pertama, termasuk Inggris, AS, Ukraina, dan Prancis. Keluarga program jahat ini menggunakan Ransomware sebagai Layanan (RaaS) model, di mana pengguna dapat membayar operator untuk memiliki akses ke jenis ransomware tertentu. Ini sering melibatkan beberapa bentuk langganan. Terkadang, pengguna bahkan dapat memeriksa statistik untuk melihat apakah penggunaan ransomware LockBit mereka berhasil.
Baru pada tahun 2021 LockBit menjadi jenis ransomware yang umum, melalui LockBit 2.0 (pendahulu strain saat ini). Pada titik ini, geng yang menggunakan ransomware ini memutuskan untuk mengadopsi model pemerasan ganda. Ini melibatkan enkripsi dan exfiltrating (atau mentransfer) file korban ke perangkat lain. Metode serangan tambahan ini membuat seluruh situasi menjadi lebih menakutkan bagi individu atau organisasi yang ditargetkan.
Jenis ransomware LockBit terbaru telah diidentifikasi sebagai LockBit 3.0. Jadi, bagaimana cara kerja LockBit 3.0, dan bagaimana penggunaannya saat ini?
Apa itu LockBit 3.0?
Pada akhir Musim Semi 2022, iterasi baru dari grup ransomware LockBit ditemukan: LockBit 3.0. Sebagai program ransomware, LockBit 3.0 dapat mengenkripsi dan mengekstrak semua file pada perangkat yang terinfeksi, memungkinkan penyerang untuk menyandera data korban tampaknya sampai tebusan yang diminta adalah dibayar. Ransomware ini sekarang aktif di alam liar, dan menyebabkan banyak kekhawatiran.
Proses serangan LockBit 3.0 yang khas adalah:
- LockBit 3.0 menginfeksi perangkat korban, mengenkripsi file, dan menambahkan ekstensi file terenkripsi sebagai "HLjkNskOq".
- Kunci argumen baris perintah yang dikenal sebagai "-pass" kemudian diperlukan untuk melakukan enkripsi.
- LockBit 3.0 membuat berbagai utas untuk melakukan banyak tugas secara bersamaan sehingga enkripsi data dapat diselesaikan dalam waktu yang lebih singkat.
- LockBit 3.0 menghapus layanan atau fitur tertentu untuk membuat proses enkripsi dan eksfiltrasi menjadi lebih mudah.
- API digunakan untuk menampung akses database manajer kontrol layanan.
- Wallpaper desktop korban diubah sehingga mereka tahu bahwa mereka sedang diserang.
Jika tebusan tidak dibayar oleh korban dalam jangka waktu yang ditentukan, penyerang LockBit 3.0 kemudian akan menjual data yang telah mereka curi di web gelap ke penjahat dunia maya lainnya. Ini bisa menjadi bencana besar bagi korban individu dan organisasi.
Pada saat penulisan, LockBit 3.0 paling terkenal untuk mengeksploitasi Windows Defender untuk menyebarkan Cobalt Strike, alat pengujian penetrasi yang dapat menjatuhkan muatan. Perangkat lunak ini juga dapat menyebabkan rantai infeksi malware di beberapa perangkat.
Dalam proses ini, alat baris perintah MpCmdRun.exe dieksploitasi sehingga penyerang dapat mendekripsi dan meluncurkan beacon. Ini dilakukan dengan mengelabui sistem agar memprioritaskan dan memuat DLL berbahaya (Dynamic-Link Library).
File eksekusi MpCmdRun.exe digunakan oleh Windows Defender untuk memindai malware, sehingga melindungi perangkat dari file dan program berbahaya. Mengingat bahwa Cobalt Strike dapat melewati langkah-langkah keamanan Windows Defender, ini menjadi sangat berguna bagi penyerang ransomware.
Teknik ini juga dikenal sebagai side-loading, dan memungkinkan pihak jahat untuk menyimpan atau mencuri data dari perangkat yang terinfeksi.
Bagaimana Menghindari LockBit 3.0 Ransomware
LockBit 3.0 semakin mengkhawatirkan, terutama di antara organisasi besar yang memiliki tumpukan data yang dapat dienkripsi dan dieksfiltrasi. penting untuk memastikan bahwa Anda menghindari jenis serangan berbahaya ini.
Untuk melakukan ini, pertama-tama Anda harus memastikan bahwa Anda menggunakan kata sandi yang sangat kuat dan otentikasi dua faktor di semua akun Anda. Lapisan keamanan tambahan ini dapat mempersulit penjahat dunia maya untuk menyerang Anda menggunakan ransomware. Mempertimbangkan Serangan ransomware Protokol Desktop Jarak Jauh, Misalnya. Dalam skenario seperti itu, penyerang akan memindai internet untuk koneksi RDP yang rentan. Jadi, jika koneksi Anda dilindungi kata sandi dan menggunakan 2FA, kemungkinan besar Anda tidak akan menjadi sasaran.
Selain itu, Anda harus selalu memperbarui sistem operasi dan program antivirus perangkat Anda. Pembaruan perangkat lunak dapat memakan waktu dan membuat frustrasi, tetapi ada alasannya. Pembaruan semacam itu sering kali disertai dengan perbaikan bug dan fitur keamanan ekstra untuk menjaga perangkat dan data Anda tetap terlindungi, jadi jangan lewatkan kesempatan untuk memperbarui perangkat Anda.
Langkah penting lainnya yang harus diambil untuk tidak menghindari serangan ransomware, tetapi konsekuensinya, adalah mencadangkan file. Terkadang, penyerang ransomware akan menahan informasi penting yang Anda perlukan karena berbagai alasan, sehingga memiliki cadangan akan mengurangi tingkat kerusakan hingga tingkat tertentu. Salinan offline, seperti yang disimpan di stik USB, bisa sangat berharga saat data dicuri atau dihapus dari perangkat Anda.
Tindakan Pasca Infeksi
Meskipun saran di atas dapat melindungi Anda dari ransomware LockBit, masih ada kemungkinan infeksi. Jadi, jika Anda menemukan komputer Anda telah terinfeksi oleh LockBit 3.0, penting untuk tidak bertindak tidak rasional. Ada langkah-langkah yang dapat Anda ambil untuk hapus ransomware dari perangkat Anda, yang harus Anda ikuti dengan cermat dan hati-hati.
Anda juga harus memberi tahu pihak berwenang jika Anda menjadi korban serangan ransomware. Ini membantu pihak terkait untuk lebih memahami dan mengatasi jenis ransomware tertentu.
Serangan LockBit 3.0 Dapat Berlanjut
Tidak ada yang tahu berapa kali ransomware LockBit 3.0 akan digunakan untuk mengancam dan mengeksploitasi korban. Inilah mengapa sangat penting untuk melindungi perangkat dan akun Anda dengan segala cara yang memungkinkan, sehingga data sensitif Anda tetap aman.