Peneliti keamanan baru-baru ini menemukan varian ransomware terbaru bernama LOCKBIT 5.0. Ransomware ini mengenkripsi file korban dengan menambahkan ekstensi acak 16 karakter (misal: ".db9785905a3cad2c") dan membuat ransom note berjudul ReadMeForDecrypt.txt. Pesan tebusan tersebut menyatakan bahwa data korban telah dicuri dan akan dibocorkan melalui situs Tor jika tidak dibayar.
Ransom note juga memperingatkan agar korban tidak menghubungi pihak berwenang, tidak mengubah file yang terenkripsi, dan berhati-hati saat membeli cryptocurrency. Panduan pembayaran melalui Tor, broker, dan cold wallet dijelaskan, sambil penyerang menekankan “reputasi” mereka untuk memastikan pembayaran akan berujung pada dekripsi.
Secara teknis, LOCKBIT 5.0 memiliki antarmuka afiliasi yang lebih bersih, opsi enkripsi yang dapat dikustomisasi, serta ekstensi file acak tanpa tanda khusus, sehingga mempersulit pemulihan. Ransomware ini menonaktifkan Windows Event Tracing melalui patching EtwEventWrite, menghindari eksekusi di lingkungan Rusia, dan memiliki varian Linux serta ESXi, memungkinkan enkripsi massal pada mesin virtual di host VMware.
Teknik Serangan
- Target Utama: Sistem operasi Windows yang banyak digunakan oleh perusahaan di berbagai industri.
- USB Bus Checks: LOCKBIT 5.0 memonitor perangkat USB yang terhubung, berpotensi menyebar melalui media removable seperti USB drive.
- Detect-Debug-Environment: Mengecek apakah dijalankan di lingkungan debug, membantu ransomware menghindari analisis dan deteksi.
- Persistence: Menunjukkan mekanisme persistensi untuk memastikan malware tetap aktif, termasuk pembuatan autostart entries atau modifikasi sistem untuk akses berulang di masa depan.
LOCKBIT 5.0 merupakan evolusi langsung dari varian LockBit sebelumnya. Indikator pengembangan cepat terlihat dari artefak seperti ekstensi file acak 16 karakter, ransom note ReadMeForDecrypt.txt, patching API EtwEventWrite, pengecekan geolokasi/lokal, serta enkripsi massal di lingkungan virtual ESXi. Dengan kapabilitas ini, kemungkinan besar LOCKBIT 5.0 akan mengadopsi double- atau triple-extortion, situs kebocoran data khusus, dan berkembang menjadi ekosistem Ransomware-as-a-Service (RaaS) global.
Strategi Pencegahan dan Rekomendasi
- Keamanan Sistem: Terapkan protokol keamanan yang kompeten, enkripsi data, autentikasi yang kuat, dan konfigurasi hak akses yang tepat untuk sistem kritis di cloud maupun lokal.
- Backup Data: Pastikan backup data kritis selalu tersedia dan dapat digunakan untuk pemulihan jika terjadi serangan.
- Pemantauan Aktif: Pantau aktivitas USB, aktivitas jaringan, dan perilaku abnormal pada sistem virtual serta Windows endpoints.
- Update & Patch: Selalu jalankan update OS, aplikasi, dan agent keamanan untuk menutup celah yang dapat dimanfaatkan ransomware.
LOCKBIT 5.0 menegaskan bahwa ransomware terus berevolusi menjadi ancaman global yang persistensi dan skalabel. Kewaspadaan, proteksi proaktif, dan strategi mitigasi yang matang adalah kunci untuk menjaga data perusahaan tetap aman.
No comments:
Post a Comment