Geng Ransomware LockBit Melakukan Sekitar 1.700 Serangan di Amerika Serikat dan Mendapatkan Sekitar $91 Juta dalam Bentuk Tebusan, Menurut Pernyataan Pemerintah AS.
Washington D.C. - Geng ransomware LockBit yang terkenal telah baru-baru ini melakukan sejumlah serangan cyber yang mengkhawatirkan di Amerika Serikat, dengan total sekitar 1.700 insiden. Serangan-serangan ini telah menghasilkan jumlah tebusan yang mencengangkan, sekitar $91 juta, menurut pernyataan yang dirilis oleh pemerintah AS.
Beroperasi di bawah model Ransomware-as-a-Service (RaaS), LockBit telah aktif sejak setidaknya Januari 2020, menggunakan malware dan infrastrukturnya untuk menargetkan berbagai sektor, termasuk infrastruktur kritis, pendidikan, energi, pemerintah dan tanggap darurat, layanan keuangan, makanan dan pertanian, perawatan kesehatan, manufaktur, dan transportasi.
Sebuah peringatan bersama yang dikeluarkan oleh beberapa lembaga pemerintah, termasuk dari Australia, Kanada, Prancis, Jerman, Selandia Baru, dan Amerika Serikat, mengungkapkan bahwa LockBit bertanggung jawab atas sekitar satu perlima dari semua serangan ransomware yang tercatat di negara-negara tersebut tahun lalu.
Sejak muncul pertama kali, LockBit telah mengalami beberapa perubahan signifikan, menghasilkan empat varian yang berbeda yang tersedia untuk afiliasi RaaS: LockBit 2.0, LockBit 3.0, LockBit Green, dan LockBit Linux-ESXi Locker. Namun, tampaknya LockBit 3.0 telah banyak digunakan, mengungguli versi sebelumnya.
Untuk memaksa korban membayar tebusan, para operator LockBit menjaga sebuah situs yang memuat informasi identitas mereka yang menolak membayar tebusan. Situs ini hanya mencantumkan korban-korban yang menjadi sasaran ekstorsi ganda, di mana data yang dicuri akan diungkapkan secara publik jika tebusan utama tidak dibayar. Sebagai hasilnya, tidak semua korban LockBit akan disebutkan atau memiliki data mereka terpampang di situs tersebut.
Peringatan bersama juga memberikan informasi tentang alat dan teknik yang digunakan oleh afiliasi LockBit selama serangan mereka. Para pelaku menggunakan kombinasi alat freeware, open-source, PowerShell dan skrip batch, serta alat-alat pengujian penetrasi terkenal seperti Metasploit dan Cobalt Strike untuk tugas seperti rekognisi, tuneling, akses jarak jauh, dumping kredensial, dan pengambilan data.
Para hacker LockBit telah terlihat memanfaatkan berbagai kerentanan untuk mendapatkan akses yang tidak sah, termasuk kerentanan baru seperti Fortra GoAnyhwere remote code execution (RCE) dan PaperCut MF/NG improper access control, serta kerentanan lama di Apache Log4j2, F5 BIG-IP, NetLogon, Microsoft Remote Desktop Services, Fortinet FortiOS, dan F5 iControl.
Dalam perkembangan yang mengkhawatirkan, geng LockBit terlihat mencoba ekstorsi sekunder setelah mengambilalih sebuah perusahaan yang bertanggung jawab mengelola jaringan organisasi lain. Dengan ancaman untuk mengungkapkan informasi sensitif atau menghentikan layanan, para penyerang bertujuan untuk mengeksploitasi pelanggan organisasi korban.
Peringatan bersama tidak hanya memberikan informasi terperinci tentang taktik, teknik, dan prosedur yang digunakan oleh afiliasi LockBit, tetapi juga menawarkan rekomendasi mitigasi untuk mengurangi risiko yang terkait dengan akses awal, eskalasi hak istimewa, ketahanan, eksekusi kode, pergerakan lateral, akses kredensial, dan pengambilan data.
Sementara ancaman cyber yang ditimbulkan oleh LockBit terus berkembang, pihak berwenang mendesak organisasi untuk meningkatkan langkah-langkah keamanan cyber mereka, secara teratur melakukan pembaruan kerentanan, dan menjaga solusi cadangan yang kuat untuk mengurangi risiko menjadi korban geng ransomware yang tak kenal lelah ini.