Ransomware LockBit Pernah Serang Sejumlah Perusahaan Global Ini

Liputan6.com, Jakarta - Kelompok Ransomware LockBit kini menjadi sorotan. Apalagi kelompok Ransomware LockBit ini dikabarkan telah menyerang sistem Bank Syariah Indonesia (BSI).

Kelompok ransomware LockBit klaim telah mencuru 1,5 TB data milik Bank Syariah Indonesia (BSI), di antaranya 15 juta data pengguna dan password untuk akses internal dan layanan. LockBit dikenal sebagai nama kelompok hacker yang paling produktif dan ganas dalam serangan ransomware.

Trend Micro Bantu Penegak Hukum Global Lawan Kelompok Ransomware LockBit

Mengutip dari laman Kaspersky, LockBit termasuk serangan ransomware baru dalam rangkaian panjang serangan siber dengan pemesaran.

Sebelumnya dikenal sebagai ransomware “ABCD”, kini telah berkembang menjadi ancaman sebagai alat pemerasan. Sebagian besar serangannya fokus pada perusahaan dan organisasi pemerintah daripada individu.

Serangan memakai LockBit awalnya dimulai pada September 2019, dan saat itu disebut sebagai “virus abcd”. Pada masa lalu, target serangan itu termasuk organisasi di Amerika Serikat, China, India, Indonesia dan Ukraina. Selain itu berbagai negara di seluruh Eropa termasuk Prancis, Inggris, Jerman telah mengalami serangan.

Dikutip dari laman techmonitor dari laporan 14 Februari 2023, ransomware LockBit terus menyerang perusahaan di seluruh dunia. Ransomware LockBit ini diduga menyerang perusahaan listrik Argentina Grup Albanesi, bisnis kimia milik SRF dan lebih dari 200 toko CEFCO di negara bagian selatan Amerika Serikat. Semua diberikan tenggat waktu untuk membayar uang tebusan atau data mereka dipublikasikan secara online.

Ransomware LockBit memukul tiga perusahaan besar dan mengeluarkan ultimatum. Produsen bahan kimia yang berbasis di India, SRF telah diberi waktu hingga 1 Maret untuk menanggapi sebelum semua data yang tersedia akan dipublikasikan.

Demikian pula, perusahaan minyak dan gas alam Argentina Grupo Albanesi, dan menerima batas waktu tebusan 28 Februari.

Selain itu, jaringan supermarket CEFCO juga diduga mengalami serangan. Perusahaan ini memiliki 200 cabang di seluruh negara bagian Texas, Alabama, Mississippi, Oklahoma, Louisiana, dan Florida. Batas waktunya pada 22 Februari.

2 dari 5 halaman

Sejumlah Perusahaan Kena Serangan Ransomware LockBit

Ilustrasi Ransomware WannaCrypt atau Wannacry — Ilustrasi Ransomware WannaCrypt atau yang disebut juga Wannacry (iStockphoto)

Mengutip secureblink.com, pada laporan Novemver 2022, perusahaan otomotif multinasional Continental Automotive di Jerman, baru-baru ini menjadi sasaran serangan siber yang diklaim oleh ransomware LockBit.

LockBit juga dilaporkan dituduh mencuri data tetapi tidak ada informasi yang tersedia tentang data yang dicuri dari jaringan Continental. Ransomware juga mengancam perusahaan otomotif itu untuk memenuhi permintaan uang tebusan dalam 22 jam.

Continental’s VP of Communications and Marketing, Kathryn Blackwell menolak berkomentar mengenai LockBit. Namun, berdasarkan keterangan tertulis perseroan kalau mengambil semua tindakan defensif yang diperlukan untuk memulihkan lengkap sistem IT-nya setelah setelah serangan teridentifikasi.

Sebelumnya, perusahaan lainnya yaitu Foxcoon, E.M.I.T, VMware ESXI dan Bangkok Airways juga dikabarkan terkena serangan LockBit. Perusahan tersebut didesak untuk melaporkan situasi itu setelah setelah FBI mengeluarkan peringatan kilat pada Februari yang merinci indikator kompromi LockBit. Beberapa bulan kemudian pada September, sistem IT IHG hotels menjadi sasaran LockBit 3.0. Bahkan Accenture.

3 dari 5 halaman

Mengenal Ransomware LockBit

Ransomware LockBit mencuri dan menyandera data BSI. Credit: Twitter @secgron

Dikutip dari Kanal Tekno Liputan6.com, kelompok LockBit juga menjual jenis malware (ransomware) ke operator lain untuk keuntungan finansial, dalam model yang dikenal sebagai ransomware as a service (Raas).

Di forum underground, malware telah dipromosikan sebagai 'perangkat lunak enkripsi tercepat di seluruh dunia'. Demikian dilansir dari The Guardian, Sabtu (13/5/2023),

“Kami telah melihat tren nyata dalam geng ransomware yang mengoperasikan 'model afiliasi' di mana mereka menjual akses ke malware ini di dark web dengan imbalan pembayaran, seringkali dalam mata uang kripto,” kata Toby Lewis, kepala analisis ancaman global di Darktrace, perusahaan keamanan siber Inggris.

“Strategi jahat itu membantu LockBit untuk menskalakan operasinya seperti waralaba,” Lewis menambahkan.

Lewis mengatakan operator LockBit tidak hanya mengenkripsi file tetapi juga melakukan pemerasan ganda, di mana mereka mencuri data dan mengancam akan merilisnya secara online.

Kelompok ransomware LockBit, seperti kebanyakan grup ransomware, menuntut pembayaran dalam bentuk kripto. Bitcoin menjadi metode pembayaran yang disukai secara historis tetapi menurut Sophos, sebuah perusahaan keamanan siber Inggris, LockBit menuntut pembayaran dalam aset digital lainnya.

“Banyak kelompok seperti hacker LockBit telah beralih ke monero cryptocurrency, karena peningkatan anonimitas yang diberikannya,” kata Peter Mackenzie, yang memimpin tim respons insiden di Sophos.

4 dari 5 halaman

Siapa Aktor di Balik LockBit?

Ilustrasi ransomware. Dok: Alex Castro/The Verge

Sebagian besar grup ransomware cenderung beroperasi dari Eropa timur, eks Republik Soviet dan Rusia sendiri. “LockBit termasuk dalam kategori yang sama,” kata Lewis.

Pada November 2022, Departemen Kehakiman AS (Department of Justice/DoJ) mendakwa warga negara ganda Rusia dan Kanada, Mikhail Vasiliev, atas dugaan partisipasi dalam kampanye ransomware LockBit.

DoJ mengatakan LockBit telah dikerahkan terhadap setidaknya 1.000 korban di AS dan di seluruh dunia, telah menghasilkan setidaknya US$ 100 juta dalam tuntutan tebusan dan telah 'mendapatkan puluhan juta dolar dalam pembayaran uang tebusan yang sebenarnya'.

Korban serangan LockBit termasuk Pendragon, sebuah perusahaan dealer mobil Inggris, yang telah menolak untuk membayar permintaan ransomware senilai US$ 60 juta.

Menurut Trustwave, sebuah perusahaan keamanan siber AS, grup LockBit 'mendominasi ruang ransomware' dan menggunakan pembayaran besar untuk merekrut aktor berpengalaman.

Itu menyumbang 44% dari serangan ransomware pada Januari-September tahun lalu, menurut Deep Instinct, sebuah perusahaan keamanan siber Israel.

5 dari 5 halaman

Cara Kerja Ransomware

Ransomware LockBit dianggap oleh banyak otoritas sebagai bagian dari keluarga malware “LockerGoga & MegaCortex”.

Perusahaan keamanan siber Kaspersky, melalui situs resminya menjelaskan secara singkat bagaimana cara kerja ransomware LockBit dalam melakukan serangan.

Menyebarluaskan diri dalam suatu organisasi, alih-alih membutuhkan arahan manual
Menargetkan korban, bukan menyebar dengan cara scattershot seperti malware spam
Menggunakan alat serupa untuk menyebar, seperti Windows Powershell dan Server Message Block (SMB)

"Yang paling signifikan adalah kemampuannya untuk memperbanyak diri, artinya menyebar dengan sendirinya. Dalam pemrogramannya, LockBit diarahkan oleh proses otomatis yang telah dirancang sebelumnya," tulis Kaspersky, dikutip Sabtu (13/5/2023).

Hal ini membuatnya unik dari banyak serangan ransomware lainnya yang digerakkan secara manual di jaringan, terkadang selama berminggu-minggu untuk menyelesaikan pengintaian dan pengawasan.

"Setelah penyerang menginfeksi satu host secara manual, penyerang dapat menemukan host lain yang dapat diakses, menghubungkannya ke host yang terinfeksi, dan membagikan infeksi menggunakan skrip. Serangan ini diselesaikan dan diulang sepenuhnya tanpa campur tangan manusia," Kaspersky menambahkan.

Selain itu, LockBit menggunakan alat dalam pola yang original di hampir semua sistem komputer Windows. Maka tak heran, banyak sistem keamanan titik akhir kesulitan menandai aktivitas jahat ini.

"Itu juga menyembunyikan file enkripsi yang dapat dieksekusi dengan menyamarkannya sebagai format file gambar .PNG yang umum, yang selanjutnya menipu pertahanan sistem," Kaspersky memungkaskan.