Pengoperasian Grup Ransomware LockBit: Tampilan Cepat

Pengoperasian Grup Ransomware LockBit: Tampilan Cepat

 

Para peneliti telah menyelidiki bagaimana LockBit, salah satu organisasi ransomware terbaru, beroperasi.
Sesuai contoh tahun ini, ransomware telah muncul sebagai salah satu bentuk kejahatan dunia maya yang paling mengganggu. Sejauh ini, dunia telah menyaksikan krisis ransomware Colonial Pipeline, yang mengakibatkan kekurangan pasokan bahan bakar di seluruh bagian Amerika Serikat; masalah terus-menerus dengan perawatan kesehatan nasional Irlandia; dan gangguan sistematis untuk pemrosesan daging JBS utama sebagai akibat dari infeksi.
Pada tahun 2031, serangan ransomware diperkirakan akan menelan biaya $265 miliar secara global, dan penyelesaian sekarang secara rutin dalam jutaan dolar, seperti dalam kasus JBS. Namun, tidak ada jaminan bahwa kunci dekripsi sesuai dengan tujuan penggunaannya, atau bahwa membayar sekali menjamin bahwa bisnis tidak akan ditargetkan lagi.
Menurut laporan Cybereason yang dikeluarkan minggu ini, hingga 80% organisasi yang menjadi korban ransomware dan membayar uang tebusan telah mengalami serangan kedua, kemungkinan oleh pelaku ancaman yang sama.
Bahaya ransomware bagi bisnis dan infrastruktur penting telah berkembang ke titik di mana ia diangkat selama pertemuan antara Presiden AS Joe Biden dan Presiden Rusia Vladimir Putin di KTT Jenewa.
Prodaft Threat Intelligence (PTI) menerbitkan sebuah studi (.PDF) di LockBit dan afiliasinya pada hari Jumat.
Menurut penelitian, LockBit, yang sebelumnya dikenal sebagai ABCD, menggunakan model RaaS untuk memberi grup afiliasi panel kontrol pusat di mana mereka dapat menghasilkan sampel LockBit baru, memantau korban mereka, membuat artikel blog, dan melihat statistik keberhasilan — atau kegagalan — dari serangan mereka.
Afiliasi LockBit sering membeli akses Remote Desktop Protocol (RDP) ke server sebagai vektor serangan awal, namun, mereka juga dapat menggunakan pendekatan phishing dan isian kredensial tradisional.
“Layanan akses yang disesuaikan semacam itu dapat dibeli dengan harga serendah $5,” kata Prodaft, “membuat pendekatan ini sangat menguntungkan bagi afiliasi.”
Eksploitasi juga digunakan untuk menyerang sistem yang rentan, termasuk kerentanan Fortinet VPN pada mesin korban yang belum diperbaiki. Sesuai dengan studi forensik mesin yang diserang oleh afiliasi LockBit, organisasi ancaman akan sering mencoba menemukan sistem “kritis misi” terlebih dahulu, seperti perangkat NAS, server cadangan, dan pengontrol domain. Data kemudian dieksfiltrasi, dan paket biasanya diunggah ke layanan seperti platform penyimpanan cloud MEGA.
Setelah itu, sampel LockBit diinstal secara manual, dan file dienkripsi menggunakan kunci AES yang dihasilkan. Cadangan dihapus, dan wallpaper sistem diganti dengan pemberitahuan tebusan dengan tautan ke alamat situs web a.onion tempat perangkat lunak dekripsi dapat dibeli. Situs web ini juga menawarkan ‘percobaan’ dekripsi gratis, di mana satu file (berukuran kurang dari 256KB) dapat didekodekan.
Jika korban menghubungi penyerang, jendela obrolan di panel LockBit digunakan untuk berkomunikasi dengan mereka. Permintaan tebusan, tanggal pembayaran, metode (biasanya dalam Bitcoin (BTC)), dan petunjuk tentang cara mendapatkan bitcoin sering dibahas. Prodaft memperoleh akses ke panel LockBit, yang mengungkapkan nama pengguna afiliasi, jumlah korban, tanggal pendaftaran, dan informasi kontak.
Tim peneliti menyatakan bahwa bukti dalam nama dan alamat afiliasi menunjukkan bahwa beberapa mungkin juga terkait dengan Babuk dan REvil, dua organisasi RaaS lainnya; namun, penyelidikan masih berlangsung.
Afiliasi LockBit mencari rata-rata $85.000 dari setiap korban, dengan 10 hingga 30% dari itu masuk ke operator RaaS, dan ransomware telah menyerang ribuan mesin di seluruh dunia. Industri perangkat lunak dan layanan menyumbang lebih dari 20% korban di dasbor.
“Layanan komersial dan profesional serta sektor transportasi juga sangat ditargetkan oleh grup LockBit,” kata Prodaft. “Namun, perlu dicatat bahwa nilai tebusan ditentukan oleh afiliasi setelah berbagai pemeriksaan menggunakan layanan online. Nilai ini tidak semata-mata tergantung pada sektor korban.”
Situs kebocoran LockBit tidak tersedia pada saat publikasi. Setelah membobol sistem LockBit, para peneliti mendekripsi semua korban platform yang dapat diakses.

Pos terkait