Serangan ransomware LockBit terus berkembang dengan memanfaatkan berbagai teknik untuk menginfeksi target sambil juga mengambil langkah-langkah untuk menonaktifkan solusi keamanan titik akhir.
“Afiliasi yang menggunakan layanan LockBit melakukan serangan mereka sesuai dengan preferensi mereka dan menggunakan alat dan teknik yang berbeda untuk mencapai tujuan mereka,” kata analis keamanan Cybereason Loïc Castel dan Gal Romano. “Seiring serangan berlangsung lebih jauh di sepanjang rantai pembunuhan, aktivitas dari kasus yang berbeda cenderung menyatu dengan aktivitas serupa.”
LockBit, yang beroperasi pada model ransomware-as-a-service (RaaS) seperti kebanyakan grup, pertama kali diamati pada September 2019 dan sejak itu muncul sebagai jenis ransomware paling dominan tahun ini, melampaui grup terkenal lainnya seperti Conti, Hive , dan Kucing Hitam.
Ini melibatkan pembuat malware yang melisensikan akses ke afiliasi, yang melakukan serangan dengan imbalan menggunakan alat dan infrastruktur mereka dan mendapatkan sebanyak 80% dari setiap pembayaran tebusan yang berhasil diterima dari para korban.
LockBit juga menggunakan teknik populer pemerasan ganda untuk mengekstrak sejumlah besar data sebelum mengenkripsi aset target, menjaring sindikat kejahatan dunia maya tidak kurang dari 850 korban di situs kebocoran datanya pada Mei 2022.
 |
| Siklus Hidup Serangan – Studi Kasus 1 |
 |
| Siklus Hidup Serangan – Studi Kasus 2 |
Menurut analisis data situs kebocoran oleh Palo Alto Networks Unit 42, LockBit menyumbang 46% dari semua peristiwa pelanggaran terkait ransomware untuk kuartal pertama tahun 2022. Pada bulan Juni saja, grup tersebut telah dikaitkan dengan 44 serangan, menjadikannya yang paling jenis ransomware aktif.
Serangan ransomware LockBit diketahui menggunakan beberapa cara untuk infeksi awal: Memanfaatkan port RDP yang terbuka untuk umum, mengandalkan email phishing untuk mengunduh muatan berbahaya, atau memanfaatkan kelemahan server yang belum ditambal yang memungkinkan afiliasi mendapatkan akses jarak jauh ke jaringan yang ditargetkan.
Mengikuti langkah ini adalah aktivitas pengintaian dan pencurian kredensial, yang memungkinkan aktor untuk bergerak secara lateral melintasi jaringan, membangun kegigihan, meningkatkan hak istimewa, dan meluncurkan ransomware. Ini juga disertai dengan menjalankan perintah untuk menghapus cadangan dan menumbangkan deteksi oleh firewall dan perangkat lunak antivirus.
Dalam tiga tahun sejak LockBit muncul di tempat kejadian, skema RaaS telah menerima dua peningkatan penting, dengan aktor ancaman memulai debutnya LockBit 2.0 pada Juni 2021 dan meluncurkan angsuran ketiga layanan, LockBit 3.0, bulan lalu dengan dukungan untuk pembayaran cryptocurrency Zcash options dan program bug bounty — yang pertama untuk grup ransomware.
Inisiatif ini mengklaim menawarkan hadiah hingga $ 1 juta untuk menemukan titik buta keamanan di situs web dan perangkat lunak lokernya, mengirimkan ide-ide cemerlang, melakukan doxing program afiliasi kepala geng, atau mengidentifikasi cara-cara yang dapat mengekspos IP server yang menghosting situs web pada jaringan TOR.
Program bug bounty adalah tanda lain bahwa kelompok peretas semakin berfungsi sebagai perusahaan TI yang sah, menggabungkan departemen SDM, rilis fitur reguler, dan bahkan bonus untuk memecahkan masalah yang menantang.
Namun, indikasinya adalah bahwa LockBit 3.0, juga disebut LockBit Black, terinspirasi oleh keluarga ransomware lain yang dikenal sebagai BlackMatter, versi DarkSide yang diganti merek yang ditutup pada November 2021.
“Sebagian besar kode diambil langsung dari BlackMatter/Darkside,” peneliti Emsisoft Fabian Wosar dikatakan dalam tweet awal pekan ini. “Kurasa jelas bahwa LockBit mendapatkan kode kelompok lain dengan tangan kotor.”