Tipe Serangan LockBit: Incar Perusahaan Besar yang Punya Dana untuk Bayar Tebusan

Korban LockBit tidak dilakukan secara acak, melainkan ditargetkan sejak awal.

Shutterstock
Layanan mobile banking BSI error (ilustrasi). LockBit mengeklaim bertanggung jawab atas gangguan tersebut. LockBit biasanya menyerang perusahaan yang memiliki dana besar untuk membayar tebusan.
Rep: Adysha Citra Ramadani Red: Qommarria Rostanti

REPUBLIKA.CO.ID, JAKARTA -- Dalam beberapa hari terakhir, nasabah Bank Syariah Indonesia (BSI) mengalami kesulitan untuk mengakses layanan perbankan BSI, baik melalui telepon seluler maupun ATM. Setelahnya, muncul sebuah informasi yang mengklaim bahwa ransomware LockBit merupakan dalang di balik masalah tersebut.

Baca Juga


Apa itu LockBit? Secara umum, LockBit merupakan ransomware yang sebelumnya dikenal dengan nama ABCD virus. LockBit termasuk ke dalam subkelas ransomware bernama crypto virus. Alasannya, LockBit kerap meminta uang tebusan dengan mata uang kripto.

LockBit jarang menyerang korban perorangan. Ransomware ini cenderung lebih sering menyasar perusahaan-perusahaan dan organisasi pemerintah yang mereka tahu memiliki dana untuk membayar uang tebusan dalam jumlah besar.

Di dunia, serangan LockBit pertama kali dimulai pada September 2019. Serangan ini yang menginisiasi munculnya nama ABCD virus. Nama tersebut muncul karena  LockBit mengacaukan nama file korban menjadi ABCD.

Serangan LockBit paling banyak menyasar pada perusahaan dan organisasi yang berdomisili di Amerika Serikat, Cina, India, Indonesia, dan Ukraina. Namun beberapa negara di Eropa, seperti Prancis, Inggris, dan Jerman juga pernah menemukan kasus serangan LockBit.

Bagaimana cara kerja LockBit?

Serangan LockBit bisa menyebarkan diri sendiri dengan cara memanfaatkan perangkat umum, seperti Windows Powershell dan Server Message Block (SMB). Pemilihan korban tidak dilakukan secara acak, melainkan ditargetkan sejak awal.

Yang paling menonjol dari LockBit adalah kemampuannya untuk menyebarkan diri. Di dalam pemrogramannya, LockBit memang dikendalikan oleh proses otomatis yang telah dirancang sebelumnya.

Hal inilah yang membuat LockBit berbeda dibandingkan serangan ransomware lain. Alasannya, kebanyakan serangan ransomware dikendalikan secara manual dan membutuhkan waktu hingga beberapa pekan untuk menyelesaikan pengintaian dan pengawasannya.

LockBit juga beraksi dengan pola yang baru dan belum dikenali pada hampir semua sistem komputer Windows. Hal ini mempersulit titik akhir dari sistem keamanan untuk menandai aktivitas LockBit sebagai aktivitas berbahaya.

Tak hanya itu, LockBit mampu menyembunyikan file enkripsi yang bisa dieksekusi dalam format file yang umum. Salah satu contohnya adalah format .PNG yang biasa digunakan untuk menyimpan file gambar. Format ini mampu mengelabui sistem pertahanan sehingga membuat LockBit "aman" beraksi.

Seperti diungkapkan dalam laman resmi Kaspersky, serangan LockBit biasanya terdiri dari tiga tahap. Ketiga tahap tersebut adalah eksploitasi, infiltrasi, dan deploy.

Pada tahap eksploitasi, LockBit akan menyerang korban melalui taktik yang umum seperti phishing. Tujuannya adalah untuk mendapatkan data-data penting dari korban. Serangan pada tahap ini biasanya membutuhkan waktu sekitar beberapa hari bila korban tak memiliki konfigurasi jaringan yang baik.

Di tahap infiltrasi, program LockBit akan beroperasi secara independen menggunakan perangkat post-exploitation. Di tahap ini, LockBit akan memastikan bahwa mereka telah masuk ke tahap yang lebih dalam pada jaringan korban sehingga memungkinkan mereka melakukan serangan.

Tujuan dari tahap infiltrasi ini adalah mempersulit korban untuk melakukan pemulihan tanpa melibatkan pelaku. Tahap ini akan berlangsung sampai korban merasa putus asa karena tidak bisa menormalkan kembali operasi jaringan mereka.

Pada tahap deploy, jaringan korban telah sepenuhnya dimobilisasi oleh LockBit. Enkripsi dari LockBit akan mengunci semua sistem file milik korban. Korban hanya bisa membuka sistem file mereka menggunakan "kunci" yang dibuat secara khusus oleh pelaku.

Di tahap inilah, pelaku penyerangan ransomware akan meminta uang tebusan kepada korban bila ingin mendapatkan "kunci" tersebut. Jumlah uang tebusan yang diminta umumnya sangat besar.

Keputusan akhir akan jatuh di tangan korban. Akan tetapi, korban sangat disarankan untuk tidak memenuhi permintaan pelaku.

"Korban-korban tidak memiliki jaminan bahwa pelaku penyerangan akan benar-benar menepati kesepakatan mereka (memberikan kunci)," ujar Kaspersky melalui laman resmi mereka.

Yuk koleksi buku bacaan berkualitas dari buku Republika ...
Berita Terpopuler