Siapa Sebenarnya Lockbit? Dalang Dibalik Banyaknya Serangan Ransomware
One Cyber News - Seperti
yang kita ketahui serangan Ransomware BrainCipher varian Lockbit 3.0
pada 17 Juni yang menargetkan Pusat Data Nasional Sementara (PDNS) 2
di Surabaya mengakibatkan terjadinya beberapa gangguan di
pemerintahan, khusus nya pemerintah imigrasi, Dampak yang terjadi
akibat serangan tersebut mengakibatkan antrian panjang di bandara
Soekarno Hatta.
Profil Dark Web: Lockbit Ransomware 3.0
Frekuensi serangan ransomware terus meningkat setiap tahun. Satu kelompok, LockBit Ransomware Group, bertanggung jawab atas lebih dari sepertiga dari semua serangan ransomware di paruh kedua tahun sebelumnya, kuartal awal tahun 2023.
LockBit Ransomware Group pertama kali diamati pada bulan September 2019, menjadi kelompok ransomware paling aktif pada tahun 2022 dengan ditutupnya Conti, dan pada kuartal pertama tahun 2023, mereka masih menjadi kelompok ransomware paling aktif. Kelompok ini, yang memiliki lebih dari 1500 catatan pengumuman korban di platform SOCRadar, memecahkan rekor pada kuartal pertama tahun 2023 sebagai kelompok ransomware paling aktif sejauh ini, dengan lebih dari 300 korban yang diumumkan.
Atento, sebuah perusahaan CRM, menunjukkan dampak serangan oleh LockBit sebesar 42,1 juta dolar dalam laporan kinerja keuangannya yang diterbitkan pada tahun 2021. 34,8 juta dolar disebabkan oleh hilangnya pendapatan, dan 7,3 juta dolar adalah biaya mitigasi. Meskipun angka-angka fantastis ini dapat bervariasi dari satu perusahaan ke perusahaan lainnya, total kerugian finansial yang disebabkan oleh tindakan kejahatan LockBit dapat melebihi miliaran dolar.
LockBit Ransomware Group pertama kali diamati pada bulan September 2019, menjadi kelompok ransomware paling aktif pada tahun 2022 dengan ditutupnya Conti, dan pada kuartal pertama tahun 2023, mereka masih menjadi kelompok ransomware paling aktif. Kelompok ini, yang memiliki lebih dari 1500 catatan pengumuman korban di platform SOCRadar, memecahkan rekor pada kuartal pertama tahun 2023 sebagai kelompok ransomware paling aktif sejauh ini, dengan lebih dari 300 korban yang diumumkan.
Atento, sebuah perusahaan CRM, menunjukkan dampak serangan oleh LockBit sebesar 42,1 juta dolar dalam laporan kinerja keuangannya yang diterbitkan pada tahun 2021. 34,8 juta dolar disebabkan oleh hilangnya pendapatan, dan 7,3 juta dolar adalah biaya mitigasi. Meskipun angka-angka fantastis ini dapat bervariasi dari satu perusahaan ke perusahaan lainnya, total kerugian finansial yang disebabkan oleh tindakan kejahatan LockBit dapat melebihi miliaran dolar.
Security researchers juga telah menemukan jenis baru dan bukti bahwa kelompok yang bertanggung jawab atas LockBit 3.0 berencana untuk memperluas kapasitas infeksi malware tersebut. Sementara varian terbaru LockBit 3.0, sebelumnya telah menargetkan server Windows, Linux, dan VMware ESXi, dugaan versi baru enkripsi LockBit telah diidentifikasi yang juga dapat memengaruhi macOS, ARM, FreeBSD, MIPS, dan CPU SPARC. Mengingat volume serangan kelompok ini yang sudah cukup besar, kemungkinan besar mereka akan terus meningkatkan jumlah perangkat target, yang dapat mengakibatkan lonjakan serangan LockBit yang signifikan dalam waktu dekat.
Siapa Lockbit 3.0 Ransomware Group?
LockBit 3.0 adalah grup Ransomware-as-a-Service (RaaS) yang meneruskan warisan LockBit dan LockBit 2.0. Sejak Januari 2020, LockBit mengadopsi pendekatan affiliate-based-ransomware, di mana afiliasinya menggunakan berbagai taktik untuk menargetkan berbagai macam bisnis dan organisasi infrastruktur penting. LockBit telah sangat aktif dalam menyebarkan model seperti double extortion, afiliasi initial access broker, dan beriklan di forum para peretas. Mereka bahkan diketahui merekrut orang dalam dan membuat kontes di forum untuk merekrut peretas terampil; kebijakan ekspansionis seperti itu telah menarik banyak afiliasi, telah menjadi korban ribuan entitas, dan melanjutkan tindakan jahat mereka.
Kelompok Ransomware LockBit bahkan menjalankan program bug bounty-nya sendiri.
LockBit Black, juga dikenal sebagai LockBit 3.0, telah ditarik kembali sebagai varian terbaru dari LockBit sejak Juli 2022. Salah satu perbedaan utama dari pendahulunya adalah kemampuan untuk menyesuaikan berbagai opsi selama kompilasi dan eksekusi payload. LockBit 3.0 menggunakan pendekatan modular dan mengenkripsi payload hingga eksekusi, yang menghadirkan hambatan signifikan untuk analisis dan pendeteksian malware.
Apa saja Target dari Lockbit 3.0?
LockBit 3.0 menginfeksi sistem target jika bahasa tersebut tidak ada dalam daftar pengecualian bahasa tertentu. Bahasa yang dikecualikan termasuk bahasa lokal negara-negara yang dipengaruhi Rusia dan bahasa negara-negara sekutu Rusia.
Untuk mengonfirmasi lokasi sistem yang ditargetkan, ransomware LockBit menggunakan fungsi-fungsi:
* GetSystemDefaultUILanguage()
* GetUserDefaultUILanguage()
Ini akan cross-checks hasilnya dengan sekumpulan negara, dan jika lokasinya tidak cocok dengan salah satu negara yang ditentukan, malware melanjutkan ke langkah verifikasi berikutnya. Beberapa bahasa yang dikecualikan adalah bahasa Rumania (Moldova), Arab (Suriah), dan Tatar (Rusia), tetapi ini bukan daftar yang lengkap.
Meskipun kelompok ransomware itu mengklaim tidak terlibat dalam politik, banyak targetnya tampaknya adalah NATO dan negara-negara sekutu. Menurut data SOCRadar, sekitar setengah dari serangan dengan varian LockBit 3.0 memengaruhi perusahaan-perusahaan Amerika Serikat.
Untuk mengonfirmasi lokasi sistem yang ditargetkan, ransomware LockBit menggunakan fungsi-fungsi:
* GetSystemDefaultUILanguage()
* GetUserDefaultUILanguage()
Ini akan cross-checks hasilnya dengan sekumpulan negara, dan jika lokasinya tidak cocok dengan salah satu negara yang ditentukan, malware melanjutkan ke langkah verifikasi berikutnya. Beberapa bahasa yang dikecualikan adalah bahasa Rumania (Moldova), Arab (Suriah), dan Tatar (Rusia), tetapi ini bukan daftar yang lengkap.
Meskipun kelompok ransomware itu mengklaim tidak terlibat dalam politik, banyak targetnya tampaknya adalah NATO dan negara-negara sekutu. Menurut data SOCRadar, sekitar setengah dari serangan dengan varian LockBit 3.0 memengaruhi perusahaan-perusahaan Amerika Serikat.
Korban Ransomware Lockbit 3.0 berdasarkan negara asal (Source: Segurance Informatika)
Sekali lagi, menurut data SOCRadar, manufaktur memimpin secara sektoral, tetapi tidak mungkin untuk mengidentifikasi industri yang ditargetkan secara khusus. Fakta bahwa perawatan kesehatan dan pendidikan adalah salah satu sektor yang paling banyak mereka targetkan menunjukkan bahwa tidak ada industri yang dikecualikan, dan dalam hal jenis bisnis. Namun, terlihat bahwa mereka biasanya menargetkan organisasi kecil atau menengah; perusahaan besar seperti perusahaan IT Accenture juga bisa masuk ke dalam kategori korban LockBit.
Top Industri yang menjadi target serangan Lockbit 3.0 (Source: BlackKite)
Temuan tentang Ransomware LockBit 3.0
Menurut saran dari CISA:
LockBit 3.0, sebuah Ransomware-as-a-Service (RaaS), memiliki beberapa opsi untuk mengkonfigurasi perilakunya selama kompilasi. Setelah dieksekusi di sistem korban, afiliasi LockBit 3.0 dapat memodifikasi perilakunya dengan menggunakan argumen tambahan, seperti lateral movement atau safe mode. Jika afiliasi LockBit tidak memiliki akses ke versi ransomware tanpa kata sandi, mereka harus memberikan kata sandi selama eksekusi. Kunci kriptografi yang disediakan menerjemahkan eksekusi ransomware untuk melindungi file yang disandikan yang diunggah ke sistem target.
Afiliasi LockBit 3.0 menggunakan beragam metode untuk akses awal, termasuk mengeksploitasi Remote Desktop Protocol (RDP) , meluncurkan kampanye phishing, dan mengeksploitasi kerentanan pada aplikasi yang berhadapan dengan publik. Menggunakan open-source package installer yang dikenal sebagai Chocolatey untuk menginstal dan mengeksekusi payload berbahaya adalah fitur yang berulang dalam serangan LockBit 3.0, yang kemungkinan besar digunakan untuk menghindari deteksi.
LockBit 3.0 menggunakan kredensial yang dikodekan atau akun lokal yang disusupi dengan hak istimewa yang lebih tinggi untuk menyebar melalui jaringan korban. Menggunakan protokol Server Message Block (SMB), ia juga dapat menyebar melalui Group Policy Objects dan PsExec. Setelah enkripsi, LockBit 3.0 menjatuhkan catatan tebusan dan mengubah wallpaper dan ikon host menjadi merek LockBit. Ia juga dapat mengirimkan informasi host dan bot yang terenkripsi ke server perintah dan kontrol.
LockBit 3.0, sebuah Ransomware-as-a-Service (RaaS), memiliki beberapa opsi untuk mengkonfigurasi perilakunya selama kompilasi. Setelah dieksekusi di sistem korban, afiliasi LockBit 3.0 dapat memodifikasi perilakunya dengan menggunakan argumen tambahan, seperti lateral movement atau safe mode. Jika afiliasi LockBit tidak memiliki akses ke versi ransomware tanpa kata sandi, mereka harus memberikan kata sandi selama eksekusi. Kunci kriptografi yang disediakan menerjemahkan eksekusi ransomware untuk melindungi file yang disandikan yang diunggah ke sistem target.
Afiliasi LockBit 3.0 menggunakan beragam metode untuk akses awal, termasuk mengeksploitasi Remote Desktop Protocol (RDP) , meluncurkan kampanye phishing, dan mengeksploitasi kerentanan pada aplikasi yang berhadapan dengan publik. Menggunakan open-source package installer yang dikenal sebagai Chocolatey untuk menginstal dan mengeksekusi payload berbahaya adalah fitur yang berulang dalam serangan LockBit 3.0, yang kemungkinan besar digunakan untuk menghindari deteksi.
LockBit 3.0 menggunakan kredensial yang dikodekan atau akun lokal yang disusupi dengan hak istimewa yang lebih tinggi untuk menyebar melalui jaringan korban. Menggunakan protokol Server Message Block (SMB), ia juga dapat menyebar melalui Group Policy Objects dan PsExec. Setelah enkripsi, LockBit 3.0 menjatuhkan catatan tebusan dan mengubah wallpaper dan ikon host menjadi merek LockBit. Ia juga dapat mengirimkan informasi host dan bot yang terenkripsi ke server perintah dan kontrol.
Tampilan pesan Lockbit 3.0 dalam bentuk format wallpaper (Source: CISA)
Afiliasi LockBit 3.0 melakukan exfiltrasi pada berkas data perusahaan yang sensitif sebelum melakukan enkripsi dengan menggunakan Stealbit, rclone, alat-alat exfiltrasi yang biasa digunakan oleh LockBit- dan layanan berbagi berkas publik. Afiliasi mereka juga menggunakan layanan berbagi file publik lainnya untuk mengeksfiltrasi data. Pelaku ancaman LockBit menggunakan berbagai alat seperti ProDump dan SoftPerfect Network Scanner untuk mengumpulkan informasi tentang hostnames, network services, dan remote access protocols. Mereka juga menggunakan perangkat lunak desktop jarak jauh, alat transfer file populer, dan PuTTY Link untuk berpindah antar host dan mentransfer file antara host yang disusupi dan server perintah dan kontrol mereka.
Ransomware LockBit menghapus file log, file di recycle bin, dan salinan volume shadow setelah mengenkripsi file korban. Kelompok ini juga menggunakan pendekatan enkripsi hibrida dengan menggunakan algoritma enkripsi AES dan RSA.
Ransomware LockBit menghapus file log, file di recycle bin, dan salinan volume shadow setelah mengenkripsi file korban. Kelompok ini juga menggunakan pendekatan enkripsi hibrida dengan menggunakan algoritma enkripsi AES dan RSA.
Gambaran umum tentang operasi LockBit (Source: Australian Cyber Security Center)
Kelompok Ransomware Paling Aktif di Tahun 2022: LockBit
Kelompok LockBit bertanggung jawab atas sekitar satu dari enam serangan ransomware yang menargetkan kantor-kantor pemerintah A.S. pada tahun 2022, menurut Badan Keamanan Siber dan Infrastruktur A.S. (CISA), FBI, dan otoritas keamanan siber lainnya.
Dalam upaya kolaboratif, lembaga-lembaga tersebut menerbitkan pemeriksaan ekstensif terhadap LockBit, yang dianggap sebagai varian ransomware yang paling banyak digunakan di seluruh dunia, pada tahun 2022.
LockBit Melakukan Hampir 1.700 Serangan dan Memperoleh 91 juta dolar dari Korban di AS
Kedua lembaga tersebut mengungkapkan bahwa LockBit telah mengaku bertanggung jawab atas setidaknya 1.653 serangan ransomware dengan mencantumkan daftar korban di situs bocorannya, dan sejak serangan pertama di AS pada Januari 2020, kelompok ini telah memeras sekitar 91 juta dolar dari para korbannya di Amerika Serikat.
Setiap negara yang berpartisipasi membagikan statistik yang menunjukkan prevalensi LockBit di wilayah masing-masing. Misalnya, Australia melaporkan bahwa kelompok ini menyumbang 18% dari total insiden ransomware yang dilaporkan pada tahun lalu. LockBit bertanggung jawab atas lebih dari 20% serangan di Kanada dan Selandia Baru pada tahun 2022.
Di A.S., LockBit menargetkan entitas publik, termasuk pemerintah kota dan kabupaten, lembaga pendidikan publik, dan layanan darurat seperti lembaga penegak hukum, yang merupakan 16% serangan.
Dampak yang Semakin Berkembang dari LockBit
Penasihat dari CISA menguraikan taktik LockBit dan kerentanan yang dieksploitasi, menyoroti pemanfaatan afiliasi kelompok tersebut yang menggunakan berbagai metode untuk membobol organisasi. Beberapa afiliasi juga memanfaatkan kerentanan populer seperti Log4j.
Beroperasi sebagai Ransomware-as-a-Service (RaaS), LockBit menggaet afiliasinya untuk melakukan berbagai serangan ransomware. Selain itu, CERT NZ mengamati afiliasi LockBit yang terlibat dalam pemerasan ransomware sekunder dengan menargetkan organisasi yang bertanggung jawab untuk mengelola jaringan lain. Setelah menginfeksi target utama, afiliasi melanjutkan untuk memeras perusahaan pelanggan menggunakan ransomware sekunder, mengunci layanan yang mereka gunakan. Temuan ini menekankan jangkauan LockBit yang luas dan jaringan terdesentralisasi dari para pelaku ancaman yang terlibat dalam serangan-serangan ini.
LockBit terus meningkatkan operasinya, berevolusi melalui berbagai versi sejak LockBit Red, seperti LockBit 2.0 dan LockBit 3.0 (LockBit Black). Grup ini mengintegrasikan perkakas dari jenis ransomware lain, seperti BlackMatter dan ALPHV (BlackCat Ransomware), ke dalam LockBit 3.0. Pada bulan Januari 2023, LockBit merilis LockBit Green, yang menggabungkan kode sumber dari ransomware Conti yang telah berakhir.
Para ahli keamanan siber telah mencatat pendekatan khas LockBit dalam meningkatkan modelnya secara konsisten. Pengenalan LockBit 2.0 pada pertengahan tahun 2021 berdampak langsung pada pasar kejahatan siber.
Beroperasi sebagai Ransomware-as-a-Service (RaaS), LockBit menggaet afiliasinya untuk melakukan berbagai serangan ransomware. Selain itu, CERT NZ mengamati afiliasi LockBit yang terlibat dalam pemerasan ransomware sekunder dengan menargetkan organisasi yang bertanggung jawab untuk mengelola jaringan lain. Setelah menginfeksi target utama, afiliasi melanjutkan untuk memeras perusahaan pelanggan menggunakan ransomware sekunder, mengunci layanan yang mereka gunakan. Temuan ini menekankan jangkauan LockBit yang luas dan jaringan terdesentralisasi dari para pelaku ancaman yang terlibat dalam serangan-serangan ini.
LockBit terus meningkatkan operasinya, berevolusi melalui berbagai versi sejak LockBit Red, seperti LockBit 2.0 dan LockBit 3.0 (LockBit Black). Grup ini mengintegrasikan perkakas dari jenis ransomware lain, seperti BlackMatter dan ALPHV (BlackCat Ransomware), ke dalam LockBit 3.0. Pada bulan Januari 2023, LockBit merilis LockBit Green, yang menggabungkan kode sumber dari ransomware Conti yang telah berakhir.
Para ahli keamanan siber telah mencatat pendekatan khas LockBit dalam meningkatkan modelnya secara konsisten. Pengenalan LockBit 2.0 pada pertengahan tahun 2021 berdampak langsung pada pasar kejahatan siber.
LockBit Mencoba Memperluas Jangkauan ke Berbagai Arsitektur: Apple, Linux, FreeBSD
LockBit dilaporkan sedang mengembangkan ransomware yang mampu menyasar sistem yang lebih luas, tidak hanya di lingkungan Windows.
Para peneliti dari Kaspersky baru-baru ini menemukan sebuah file ZIP yang berisi sampel malware LockBit yang menargetkan FreeBSD, Linux, dan berbagai teknologi yang tertanam, termasuk beragam arsitektur set instruksi CPU, termasuk ARM, MIPS, ESA/390, PowerPC, dan bahkan chip Apple M1 yang digunakan pada perangkat Mac dan iPad.
Para peneliti menyatakan bahwa sampel-sampel ini berasal dari variasi enkripsi LockBit sebelumnya, yang digunakan oleh para pelaku ancaman ketika menargetkan VMWare ESXiservers. Namun, sampel-sampel tersebut masih dikembangkan karena beberapa di antaranya belum ditandatangani dan belum dapat dieksekusi.
Namun, fakta bahwa LockBit mencoba mengembangkan ransomware semacam itu mengindikasikan adanya tren yang berkembang di antara para pelaku ransomware untuk memperluas platform target mereka. Jika dirilis, varian ransomware baru ini dapat memberikan tantangan baru bagi para korban dan semakin memantapkan posisi LockBit dalam lanskap ancaman yang terus berkembang.
Para peneliti dari Kaspersky baru-baru ini menemukan sebuah file ZIP yang berisi sampel malware LockBit yang menargetkan FreeBSD, Linux, dan berbagai teknologi yang tertanam, termasuk beragam arsitektur set instruksi CPU, termasuk ARM, MIPS, ESA/390, PowerPC, dan bahkan chip Apple M1 yang digunakan pada perangkat Mac dan iPad.
Para peneliti menyatakan bahwa sampel-sampel ini berasal dari variasi enkripsi LockBit sebelumnya, yang digunakan oleh para pelaku ancaman ketika menargetkan VMWare ESXiservers. Namun, sampel-sampel tersebut masih dikembangkan karena beberapa di antaranya belum ditandatangani dan belum dapat dieksekusi.
Namun, fakta bahwa LockBit mencoba mengembangkan ransomware semacam itu mengindikasikan adanya tren yang berkembang di antara para pelaku ransomware untuk memperluas platform target mereka. Jika dirilis, varian ransomware baru ini dapat memberikan tantangan baru bagi para korban dan semakin memantapkan posisi LockBit dalam lanskap ancaman yang terus berkembang.
Perjuangan Operasional LockBit, Ancaman Omong Kosong, dan Lonjakan Mendadak
Dunia keamanan siber telah terlibat dalam diskusi mengenai kesulitan LockBit untuk sementara waktu sekarang. Para peneliti telah melaporkan bahwa ada tantangan operasional di dalam geng ransomware.
Tantangan-tantangan yang dihadapi geng ini telah menyebabkan penurunan yang nyata pada kualitas aktivitas ransomware mereka. Meskipun demikian, geng yang terkenal kejam ini terus memproyeksikan sebuah fasad narasi yang kuat dalam komunikasi mereka.
Namun, meskipun mempertahankan fasad mereka, pengamatan para peneliti berlaku - LockBit secara konsisten tersandung dalam upaya mereka untuk benar-benar merilis data yang dicuri. Ketidaksinambungan antara klaim dan tindakan mereka ini telah mengarah pada kesimpulan bahwa ancaman mereka hanya omong kosong, hanya mengandalkan reputasi mereka yang terkenal untuk menekan para korban agar membayar uang tebusan.
Ketika diskusi ini terus berlanjut, sebuah kejadian terbaru muncul ke permukaan. Setelah periode relatif tidak aktif selama beberapa bulan, kelompok ransomware LockBit telah mendaftarkan lebih dari 20 korban dalam satu hari.
Tweet terbaru dari vx-underground tidak hanya mengonfirmasi lonjakan aktivitas ini tetapi juga menyoroti bahwa kelompok tersebut telah mengindeks ulang seluruh situs web mereka. Pada tanggal 31 Agustus 2023, situs yang telah dirubah sekarang mencantumkan lebih dari 100 korban sebelumnya yang datanya diduga telah bocor.
Karena kebocoran ini muncul setelah klaim tentang perjuangan LockBit, hampir tampak seolah-olah geng ini mencoba untuk membantah pernyataan tersebut dan mengurangi dampaknya terhadap reputasi geng tersebut.
Tantangan-tantangan yang dihadapi geng ini telah menyebabkan penurunan yang nyata pada kualitas aktivitas ransomware mereka. Meskipun demikian, geng yang terkenal kejam ini terus memproyeksikan sebuah fasad narasi yang kuat dalam komunikasi mereka.
Namun, meskipun mempertahankan fasad mereka, pengamatan para peneliti berlaku - LockBit secara konsisten tersandung dalam upaya mereka untuk benar-benar merilis data yang dicuri. Ketidaksinambungan antara klaim dan tindakan mereka ini telah mengarah pada kesimpulan bahwa ancaman mereka hanya omong kosong, hanya mengandalkan reputasi mereka yang terkenal untuk menekan para korban agar membayar uang tebusan.
Ketika diskusi ini terus berlanjut, sebuah kejadian terbaru muncul ke permukaan. Setelah periode relatif tidak aktif selama beberapa bulan, kelompok ransomware LockBit telah mendaftarkan lebih dari 20 korban dalam satu hari.
Tweet terbaru dari vx-underground tidak hanya mengonfirmasi lonjakan aktivitas ini tetapi juga menyoroti bahwa kelompok tersebut telah mengindeks ulang seluruh situs web mereka. Pada tanggal 31 Agustus 2023, situs yang telah dirubah sekarang mencantumkan lebih dari 100 korban sebelumnya yang datanya diduga telah bocor.
Karena kebocoran ini muncul setelah klaim tentang perjuangan LockBit, hampir tampak seolah-olah geng ini mencoba untuk membantah pernyataan tersebut dan mengurangi dampaknya terhadap reputasi geng tersebut.
Kesimpulan
Kesimpulannya, LockBit 3.0 adalah kelompok Ransomware-as-a-Service (RaaS) yang sangat aktif dan berkembang yang telah memangsa ribuan organisasi di seluruh dunia dan menggunakan berbagai taktik, teknik, dan prosedur karena jumlah afiliasinya yang luas dan besar. Selain itu, ada kemungkinan besar bahwa jumlah korban dan daftar target mereka akan terus meningkat, yang mengarah pada peningkatan serangan LockBit yang signifikan dalam beberapa hari mendatang, terutama jika mereka berhasil menjadi ransomware terkenal pertama yang menyerang perangkat iOS. Penargetan kelompok ini terhadap banyak negara dan sektor, serta upayanya untuk meningkatkan jumlah sistem yang dapat diinfeksinya, juga menunjukkan bahwa ransomware ini menimbulkan bahaya yang signifikan bagi semua organisasi.
Pencegahan Supaya Terhindar dari Ransomware
Afiliasi LockBit biasanya menggunakan kampanye phishing untuk mendapatkan akses awal ke serangan ransomware mereka. Selain itu, afiliasi LockBit juga menggunakan email spam yang berisi dokumen berbahaya, dan mereka mungkin menggunakan kredensial curian untuk mendapatkan akses. Untuk mencegah hal ini, sangat penting untuk menuntut penggunaan otentikasi multi-faktor dan berhati-hati saat membuka lampiran email apa pun.
Langkah yang paling penting dalam mencegah serangan ransomware adalah menyimpanya dalam bentuk cadangan offline. Namun, kelompok ini menggunakan model pemerasan ganda, mencuri data korban sebelum mengenkripsinya, sehingga cadangan offline pun tidak cukup untuk menghindari pembayaran tebusan. Organisasi harus menyadari kerentanan apa pun di lingkungan mereka untuk mencegah hal ini.
Langkah yang paling penting dalam mencegah serangan ransomware adalah menyimpanya dalam bentuk cadangan offline. Namun, kelompok ini menggunakan model pemerasan ganda, mencuri data korban sebelum mengenkripsinya, sehingga cadangan offline pun tidak cukup untuk menghindari pembayaran tebusan. Organisasi harus menyadari kerentanan apa pun di lingkungan mereka untuk mencegah hal ini.
MITRE ATT&CK TTPs
Tactics | Technique | ID |
Initial Access | Valid Accounts | T1078 |
Exploit External Remote Services | T1133 | |
Drive-by Compromise | T1189 | |
Exploit Public-Facing Application | T1190 | |
Phishing | T1566 | |
Execution | Execution | TA0002 |
Software Deployment Tools | T1072 | |
Persistence | Valid Accounts | T1078 |
Boot or Logo Autostart Execution | T1547 | |
Privilege Escalation | Privilege Escalation | TA0004 |
Boot or Logo Autostart Execution | T1547 | |
Defense Evasion | Obfuscated Files or Information | T1027 |
Indicator Removal: File Deletion | T1070.004 | |
Execution Guardrails: Environmental Keying | T1480.001 | |
Credential Access | OS Credential Dumping: LSASS Memory | T1003.001 |
Discovery | Network Service Discovery | T1046 |
System Information Discovery | T1082 | |
System Location Discovery: System Language Discovery | T1614.001 | |
Lateral Movement | Remote Services: Remote Desktop Protocol | T1021.001 |
Command and Control | Application Layer Protocol: File Transfer Protocols | T1071.002 |
Protocol Tunnel | T1572 | |
Exfiltration | Exfiltration | TA0010 |
Exfiltration Over Web Service | T1567 | |
Exfiltration Over Web Service: Exfiltration to Cloud Storage | T1567.002 | |
Impact | Data Destruction | T1485 |
Data Encrypted for Impact | T1486 | |
Service Stop | T1489 | |
Inhibit System Recovery | T1490 | |
Defacement: Internal Defacement | T1491.001 |
IOCs
IOCs dari laporan inisiasi dari Badan Pemerintah AS pada LockBit 3.0;
Situs-situs Berbagi File:
- https://www.premiumize[.]com
- https://anonfiles[.]com
- https://www.sendspace[.]com
- https://fex[.]net
- https://transfer[.]sh
- https://send.exploit[.]in
Alat-alat Freeware dan Open-Source:
- Chocolatey
- FileZilla
- Impacket
- MEGA Ltd MegaSync
- Microsoft Sysinternals ProcDump
- Microsoft Sysinternals PsExec
- Mimikatz
- Ngrok
- PuTTY Link (Plink)
- Rclone
- SoftPerfect Network Scanner
- Splashtop
- WinSCP
Mutex
- Global
Bypass UAC melalui Interface COM yang ditinggikan:
- C: WindowsSystem32dllhost.exe
Penghapusan Salinan Shadow Volume:
- Select * from Win32_ShadowCopy
Artefak Registri:
HKCR.
HKCRDefaultIcon
HKCUControl PanelDesktopWallPaper
SOFTWAREPoliciesMicrosoftWindowsOOBE
SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Tools Yang Digunakan Afiliasi Lockbit
LockBit telah diidentifikasi menggunakan alat-alat berikut ini, seperti yang dicantumkan dalam daftar CISA:
Tool | Tujuan Penggunaan | Penggunaan Ulang oleh Afiliasi LockBit | MITRE ATT&CK ID |
7-zip | Compresses files into an archive. | Compresses data to avoid detection before exfiltration. | T1562 |
AdFind | Searches Active Directory (AD) and gathers information. | Gathers AD information used to exploit a victim’s network, escalate privileges, and facilitate lateral movement. | S0552 |
Advanced Internet Protocol (IP) Scanner | Performs network scans and shows network devices. | Maps a victim’s network to identify potential access vectors. | T1046 |
Advanced Port Scanner | Performs network scans. | Finds open Transmission Control Protocol (TCP) and User Data Protocol (UDP) ports for exploitation. | T1046 |
AdvancedRun | Allows software to be run with different settings. | Enables escalation of privileges by changing settings before running software. | TA0004 |
AnyDesk | Enables remote connections to network devices. | Enables remote control of the victim’s network devices. | T1219 |
Atera Remote Monitoring & Management (RMM) | Enables remote connections to network devices. | Enables remote control of the victim’s network devices. | T1219 |
Backstab | Terminates antimalware-protected processes. | Terminates endpoint detection and response (EDR)- protected processes. | T1562.001 |
Bat Armor | Generates .bat files using PowerShell scripts. | Bypasses PowerShell execution policy. | T1562.001 |
Bloodhound | Performs reconnaissance of AD for attack path management. | Enables identification of AD relationships that can be exploited to gain access to a victim’s network. | T1482 |
Chocolatey | Handles command-line package management on Microsoft Windows. | Facilitates installation of LockBit affiliate actors’ tools. | T1072 |
Defender Control | Disables Microsoft Defender. | Enables LockBit affiliate actors to bypass Microsoft Defender. | T1562.001 |
ExtPassword | Recovers passwords from Windows systems. | Obtains credentials for network access and exploitation. | T1003 |
FileZilla | Performs cross-platform File Transfer Protocol (FTP) to a site, server, or host. | Enables data exfiltration over FTP to the LockBit affiliate actors’ site, server, or host. | T1071.002 |
FreeFileSync | Facilitates cloud-based file synchronization. | Facilitates cloud-based file synchronization for data exfiltration. | T1567.002 |
GMER | Removes rootkits. | Terminates and removes EDR software. | T1562.001 |
Impacket | Collection of Python classes for working with network protocols. | Enables lateral movement on a victim’s network. | S0357 |
LaZagne | Recovers system passwords across multiple platforms. | Collect credentials for accessing a victim’s systems and network. | S0349 |
Ligolo | Establishes SOCKS5 or TCP tunnels from a reverse connection for pen testing. | Enables connections to systems within the victim’s network via reverse tunneling. | T1095 |
LostMyPassword | Recovers passwords from Windows systems. | Obtains credentials for network access and exploitation. | T1003 |
MEGA Ltd MegaSync | Facilitates cloud-based file synchronization. | Facilitates cloud-based file synchronization for data exfiltration. | T1567.002 |
Microsoft Sysinternals ProcDump | Monitors applications for central processing unit (CPU) spikes and generates crash dumps during a spike. | Obtains credentials by dumping the contents of the Local Security Authority Subsystem Service (LSASS). | T1003.001 |
Microsoft Sysinternals PsExec | Executes a command-line process on a remote machine. | Enables LockBit affiliate actors to control victim’s systems. | S0029 |
Mimikatz | Extracts credentials from a system. | Extracts credentials from a system for gaining network access and exploiting systems. | S0002 |
Ngrok | Enables remote access to a local web server by tunneling over the internet. | Enables victim network protections to be bypassed by tunneling to a system over the internet. | S0508 |
PasswordFox | Recovers passwords from Firefox Browser. | Obtains credentials for network access and exploitation. | T1555.003 |
PCHunter | Enables advanced task management, including system processes and kernels. | Terminates and circumvents EDR processes and services. | T1562.001 |
PowerTool | Removes rootkits and detects, analyzes, and fixing kernel structure modifications. | Terminates and removes EDR software. | T1562.001 |
Process Hacker | Removes rootkits. | Terminates and removes EDR software. | T1562.001 |
PuTTY Link (Plink) | Automates Secure Shell (SSH) actions on Windows. | Enables LockBit affiliate actors to avoid detection. | T1572 |
Rclone | Manages cloud storage files using a command-line program. | Facilitates data exfiltration over cloud storage. | S1040 |
Seatbelt | Performs numerous security-oriented checks. | Performs numerous security-oriented checks to enumerate system information. | T1082 |
ScreenConnect (also known as ConnectWise) | Enables remote connections to network devices for management. | Enables LockBit affiliate actors to remotely connect to a victim’s systems. | T1219 |
SoftPerfect Network Scanner | Performs network scans for systems management. | Enables LockBit affiliate actors to obtain information about a victim’s systems and network. | T1046 |
Splashtop | Enables remote connections to network devices for management. | Enables LockBit affiliate actors to remotely connect to systems over Remote Desktop Protocol (RDP). | T1021.001 |
TDSSKiller | Removes rootkits. | Terminates and removes EDR software. | T1562.001 |
TeamViewer | Enables remote connections to network devices for management. | Enables LockBit affiliate actors to remotely connect to a victim’s systems. | T1219 |
ThunderShell | Facilitates remote access via Hypertext Transfer Protocol (HTTP) requests. | Enables LockBit affiliate actors to remotely access systems while encrypting network traffic. | T1071.001 |
WinSCP | Facilitates file transfer using SSH File Transfer Protocol for Microsoft Windows. | Enables data exfiltration via the SSH File Transfer Protocol. | T1048 |