Mengenal Ransomware LockBit, Kelompok Hacker Paling Ganas yang Curi 1,5 TB Data BSI

Kelompok ransomware LockBit mengklaim telah mencuri 1,5 TB data milik Bank Syariah Indonesia (BSI), di antaranya 15 juta data pengguna (nasabah) dan password untuk akses internal dan layanan. Siapa aktor di balik LockBit?

oleh Iskandar diperbarui 14 Jan 2024, 08:24 WIB
Ransomware LockBit mencuri dan menyandera data BSI. Credit: Twitter @secgron

Liputan6.com, Jakarta - Kelompok ransomware LockBit mengklaim telah mencuri 1,5 TB data milik Bank Syariah Indonesia (BSI), di antaranya 15 juta data pengguna (nasabah) dan password untuk akses internal dan layanan.

LockBit sendiri dikenal sebagai nama kelompok hacker yang paling produktif dan ganas dalam serangan ransomware.

Mengutip The Guardian, Sabtu (13/5/2023), kelompok LockBit juga menjual jenis malware (ransomware) ke operator lain untuk keuntungan finansial, dalam model yang dikenal sebagai ransomware as a service (Raas).

Di forum underground, malware telah dipromosikan sebagai 'perangkat lunak enkripsi tercepat di seluruh dunia'.

“Kami telah melihat tren nyata dalam geng ransomware yang mengoperasikan 'model afiliasi' di mana mereka menjual akses ke malware ini di dark web dengan imbalan pembayaran, seringkali dalam mata uang kripto,” kata Toby Lewis, kepala analisis ancaman global di Darktrace, perusahaan keamanan siber Inggris.

“Strategi jahat itu membantu LockBit untuk menskalakan operasinya seperti waralaba,” Lewis menambahkan.

Lewis mengatakan operator LockBit tidak hanya mengenkripsi file tetapi juga melakukan pemerasan ganda, di mana mereka mencuri data dan mengancam akan merilisnya secara online.

Kelompok ransomware LockBit, seperti kebanyakan grup ransomware, menuntut pembayaran dalam bentuk kripto. Bitcoin menjadi metode pembayaran yang disukai secara historis tetapi menurut Sophos, sebuah perusahaan keamanan siber Inggris, LockBit menuntut pembayaran dalam aset digital lainnya.

“Banyak kelompok seperti hacker LockBit telah beralih ke monero cryptocurrency, karena peningkatan anonimitas yang diberikannya,” kata Peter Mackenzie, yang memimpin tim respons insiden di Sophos.


Siapa Aktor di Balik LockBit?

Sebagian besar grup ransomware cenderung beroperasi dari Eropa timur, eks Republik Soviet dan Rusia sendiri. “LockBit termasuk dalam kategori yang sama,” kata Lewis.

Pada November 2022, Departemen Kehakiman AS (Department of Justice/DoJ) mendakwa warga negara ganda Rusia dan Kanada, Mikhail Vasiliev, atas dugaan partisipasi dalam kampanye ransomware LockBit.

DoJ mengatakan LockBit telah dikerahkan terhadap setidaknya 1.000 korban di AS dan di seluruh dunia, telah menghasilkan setidaknya US$ 100 juta dalam tuntutan tebusan dan telah 'mendapatkan puluhan juta dolar dalam pembayaran uang tebusan yang sebenarnya'.

Korban serangan LockBit termasuk Pendragon, sebuah perusahaan dealer mobil Inggris, yang telah menolak untuk membayar permintaan ransomware senilai US$ 60 juta.

Menurut Trustwave, sebuah perusahaan keamanan siber AS, grup LockBit 'mendominasi ruang ransomware' dan menggunakan pembayaran besar untuk merekrut aktor berpengalaman.

Itu menyumbang 44% dari serangan ransomware pada Januari-September tahun lalu, menurut Deep Instinct, sebuah perusahaan keamanan siber Israel.

 


Cara Kerja Ransomware LockBit

Ilustrasi Ransomware WannaCrypt atau yang disebut juga Wannacry (iStockphoto)

Ransomware LockBit dianggap oleh banyak otoritas sebagai bagian dari keluarga malware “LockerGoga & MegaCortex”.

Perusahaan keamanan siber Kaspersky, melalui situs resminya menjelaskan secara singkat bagaimana cara kerja ransomware LockBit dalam melakukan serangan.

  • Menyebarluaskan diri dalam suatu organisasi, alih-alih membutuhkan arahan manual
  • Menargetkan korban, bukan menyebar dengan cara scattershot seperti malware spam
  • Menggunakan alat serupa untuk menyebar, seperti Windows Powershell dan Server Message Block (SMB)

"Yang paling signifikan adalah kemampuannya untuk memperbanyak diri, artinya menyebar dengan sendirinya. Dalam pemrogramannya, LockBit diarahkan oleh proses otomatis yang telah dirancang sebelumnya," tulis Kaspersky, dikutip Sabtu (13/5/2023).

Hal ini membuatnya unik dari banyak serangan ransomware lainnya yang digerakkan secara manual di jaringan, terkadang selama berminggu-minggu untuk menyelesaikan pengintaian dan pengawasan.

"Setelah penyerang menginfeksi satu host secara manual, penyerang dapat menemukan host lain yang dapat diakses, menghubungkannya ke host yang terinfeksi, dan membagikan infeksi menggunakan skrip. Serangan ini diselesaikan dan diulang sepenuhnya tanpa campur tangan manusia," Kaspersky menambahkan.

Selain itu, LockBit menggunakan alat dalam pola yang original di hampir semua sistem komputer Windows. Maka tak heran, banyak sistem keamanan titik akhir kesulitan menandai aktivitas jahat ini.

"Itu juga menyembunyikan file enkripsi yang dapat dieksekusi dengan menyamarkannya sebagai format file gambar .PNG yang umum, yang selanjutnya menipu pertahanan sistem," Kaspersky memungkaskan.


Infografis Kejahatan Siber (Liputan6.com/Abdillah)

Infografis Kejahatan Siber (Liputan6.com/Abdillah)

POPULER

Berita Terkini Selengkapnya