BISNISASIA.CO.ID, JAKARTA – Terdengar seperti plot dari film thriller yang menegangkan, tetapi kenyataannya, ancaman ransomware seperti LockBit masih menghantui dunia digital kita. Di tahun 2022 ini, kebocoran data yang disebabkan oleh LockBit masih merupakan perhatian serius, terutama setelah insiden terbaru yang memperlihatkan para penyerang menggunakan strategi baru yang lebih canggih.
Tim Kaspersky Global Emergency Response mengungkap bahwa para penjahat siber telah mengembangkan varian baru dari malware enkripsi LockBit, lengkap dengan kemampuan propagasi mandiri yang menakutkan. Mereka mencuri kredensial administrator yang kuat, kemudian menyalin identitas karyawan untuk meresap ke dalam infrastruktur perusahaan dengan cara yang tidak terlihat.
Salah satu contoh insiden terbaru terjadi di Guinea-Bissau, mengungkapkan bahwa ransomware khusus ini menggunakan teknik menyamar yang sangat licik. Hasilnya, ini menciptakan efek domino di mana setiap host yang terinfeksi mencoba menyebarkan malware lebih jauh lagi ke dalam jaringan. Kaspersky melakukan analisis mendalam terhadap kejadian ini.
Peniruan. Dengan memanfaatkan kredensial yang diperoleh secara tidak sah, pelaku ancaman menyamar sebagai administrator sistem dengan hak istimewa. Skenario ini sangat penting, karena akun dengan hak istimewa memberikan peluang luas untuk melakukan serangan dan mendapatkan akses ke area paling penting dari infrastruktur perusahaan.
Penyebaran Mandiri. Ransomware yang disesuaikan juga dapat menyebar secara mandiri ke seluruh jaringan menggunakan kredensial domain dengan hak istimewa tinggi dan melakukan aktivitas berbahaya, seperti menonaktifkan Windows Defender, mengenkripsi berbagi jaringan, dan menghapus Windows Event Logs untuk mengenkripsi data hingga menyembunyikan tindakannya.
Perilaku malware menghasilkan skenario di mana setiap host yang terinfeksi berupaya menginfeksi host lain dalam jaringan.
Fitur adaptif. File konfigurasi yang disesuaikan, bersama dengan fitur-fitur yang disebutkan di atas, memungkinkan malware menyesuaikan dirinya dengan konfigurasi spesifik arsitektur perusahaan yang menjadi korban. Misalnya, penyerang dapat mengonfigurasi ransomware untuk hanya menginfeksi file tertentu, seperti semua file .xlsx dan .docx, atau hanya sekumpulan sistem tertentu.
Saat menjalankan build kustom ini di mesin virtual, Kaspersky mengamatinya melakukan aktivitas berbahaya dan menghasilkan catatan ransom khusus atau custom ransom note di desktop. Dalam skenario nyata, catatan ini mencakup rincian tentang bagaimana korban harus menghubungi penyerang untuk mendapatkan dekripsi.
“Pembuat LockBit 3.0 bocor pada tahun 2022, tetapi penyerang masih aktif menggunakannya untuk membuat versi yang disesuaikan – dan bahkan tidak memerlukan keterampilan pemrograman tingkat lanjut. Fleksibilitas ini memberikan banyak peluang bagi musuh untuk meningkatkan efektivitas serangan mereka, seperti yang ditunjukkan dalam kasus baru-baru ini. Hal ini membuat serangan menjadi lebih berbahaya, mengingat meningkatnya frekuensi kebocoran kredensial perusahaan”, – kata Cristian Souza, Incident Response Specialist di Kaspersky Global Emergency Response Team.
Kaspersky juga menemukan bahwa penyerang menggunakan skrip SessionGopher untuk menemukan dan mengekstrak kata sandi yang disimpan untuk koneksi jarak jauh di sistem yang terpengaruh.
Insiden yang melibatkan berbagai jenis teknik berdasarkan pembuat LockBit 3.0 yang bocor – tetapi tidak memiliki kemampuan propagasi mandiri dan peniruan identitas seperti yang ditemukan di Guinea-Bissau – sering terjadi di berbagai industri dan wilayah. Serangan serupa terjadi di Rusia, Chili, dan Italia, dan geografi serangannya mungkin semakin meluas.
Produk Kaspersky mendeteksi ancaman tersebut dengan dugaan berikut:
• Trojan-Ransom.Win32.Lockbit.gen
• Trojan.Multi.Crypmod.gen
• Trojan-Ransom.Win32.Generik
Skrip SessionGopher terdeteksi sebagai:
• HackTool.PowerShell.Agent.l
• HackTool.PowerShell.Agent.ad
LockBit adalah kelompok penjahat siber yang menawarkan ransomware sebagai layanan (RaaS). Pada bulan Februari 2024, operasi penegakan hukum internasional mengambil alih kendali kelompok tersebut. Beberapa hari setelah operasi tersebut, kelompok ransomware dengan lantang mengumumkan bahwa mereka kembali beraksi.
Kaspersky merekomendasikan langkah-langkah umum berikut untuk memitigasi serangan ransomware:
- Menerapkan jadwal pencadangan yang sering dan melakukan pengujian rutin.
- Jika Anda menjadi korban ransomware dan belum ada dekripsi yang diketahui, simpan file terenkripsi penting Anda
- Baru-baru ini, pihak berwenang melakukan operasi, menghapus kelompok ransomware LockBit. Selama operasi, penegak hukum memperoleh kunci dekripsi pribadi dan menyiapkan alat untuk mendekripsi file berdasarkan ID yang diketahui. Alat-alat ini, seperti check_decryption_id.exe dan check_decrypt.exe, membantu menilai apakah file dapat dipulihkan.
- Menerapkan solusi keamanan yang kuat seperti Kaspersky Endpoint Security, memastikan solusi tersebut dikonfigurasi dengan benar. Pertimbangkan layanan Deteksi dan Respons Terkelola (MDR) untuk perburuan ancaman secara proaktif.
- Kurangi permukaan serangan Anda dengan menonaktifkan layanan dan port yang tidak digunakan.
- Mempertahankan sistem dan perangkat lunak terkini untuk segera menambal kerentanan.
- Secara teratur melakukan uji penetrasi dan pemindaian kerentanan untuk mendeteksi kelemahan dan menerapkan tindakan penanggulangan yang tepat.
- Memberikan pelatihan keamanan siber secara berkala kepada karyawan untuk meningkatkan kesadaran akan ancaman siber dan strategi mitigasinya.(saf)