Benang Merah LockBit

Di dunia maya terutama dunia kajahatan siber, jejak digital kejahatan bisa ditelusuri seperti sebuah DNA pada tubuh manusia, benang merah LockBit mungkin menarik untuk disimak sebagai penelusuran momok satu ini.

Kelompok peretas LockBit ransomware, yang termasuk dalam keluarga ransomware yang memanfaatkan malware auto propagasi dan metode enkripsi ganda, terus membangun reputasinya setelah klaimnya berhasil membobol beberapa institusi pemerintah.

Mereka terus mengembangkan kemampuan senjatanya untuk memudahkan mereka dalam setiap operasi yang dilakukan untuk selalu dan terus mencari korban selanjutnya.

Baca juga: Nafas Panjang Ransomware

LockBit memasarkan kelompoknya sebagai ransomware as a service (RaaS). Mereka bekerja sama dengan pelaku lainnya yang melakukan serangan sebagai afiliasi yang menyewa, lalu membagi hasil antara tim pengembang LockBit dan kaki tangan lainnya.
Keluarga LockBit menargetkan CVE-2021-22986 dan CVE-2018-13379.
Kelompok aktor ancaman Rusia, TA505 (juga dikenal sebagai Hive0065) telah diamati menggunakan payload ransomware LockBit dalam serangannya.

Ada dua versi LockBit yang telah ada selain versi awal, dengan setiap rilis berikutnya memiliki kemampuan serangan yang ditingkatkan. LockBit 2.0 diperkenalkan pada Juni 2021 dan didokumentasikan dalam serangan di Taiwan, Chili, dan Inggris.

Dalam versi 2.0, LockBit menambahkan teknik pemerasan ganda dan enkripsi otomatis perangkat keras di domain Windows yang menjadi ciri khasnya. Pada musim gugur 2021, kelompok ini mulai merambah server Linux, khususnya menyerang server ESXi.

LockBit kembali pada Juni 2022 dengan rilis versi ransomware yang mendapat upgrade, termasuk program bug bounty yang memberikan insentif finansial kepada peneliti untuk berbagi laporan bug.

Selain program tersebut, versi 3.0 mencakup pembayaran Zcash dan mengembangkan taktik pemerasan baru. Memanfaatkan arsitektur yang ada pada BlackMatter dan DarkSide, LockBit sekarang telah memperbaiki praktik penghindaran, eksekusi tanpa kata sandi, dan fitur baris perintah.

Baca juga: Serangan Ransomware Ganda

Afiliasi Kerentanan Umum

Grup LockBit dan afiliasinya telah diamati menggunakan common vulnerability exposure (CVE), terutama kerentanan lama seperti CVE-2021-22986 F5 iControl REST Kerentanan Eksekusi Kode Jarak Jauh yang tidak diautentikasi serta kerentanan baru

CVE-2023-0669: Kerentanan Eksekusi Kode Jarak Jauh Fortra GoAnyhwere Managed File Transfer (MFT)

CVE-2023-27350: Kerentanan Kontrol Akses PaperCut MF/NG yang Tidak Tepat

Afiliasi LockBit telah didokumentasikan mengeksploitasi banyak CVE, termasuk:

CVE-2021-44228: Kerentanan Eksekusi Kode Jarak Jauh Apache Log4j2,
CVE-2021-22986: F5 BIG-IP dan BIG-IQ Manajemen Terpusat iControl REST Kerentanan Eksekusi Kode Jarak Jauh,
CVE-2020-1472: Kerentanan Eskalasi Hak Istimewa NetLogon,
CVE-2019-0708: Kerentanan Eksekusi Kode Jarak Jauh Layanan Desktop Jarak Jauh Microsoft, dan
CVE-2018-13379: Kerentanan Traversal Jalur Jaringan Pribadi Virtual (VPN) Fortinet FortiOS Secure Sockets Layer (SSL).

Open Source Tool

Sejumlah open source tool, power shell, dan skrip batch telah dilaporkan digunakan oleh kelompok ransomware selama intrusinya, untuk

Penemuan.
Pengintaian.
Akses jarak jauh.
Pembuatan kanal.
Pembuangan kredensial.
Eksfiltrasi.
Dan peningkatan hak istimewa.

Di antara alat-alat tersebut adalah AnyDesk, 7zip, pemindai port tingkat lanjut, pemindai IP tingkat lanjut, Mimikatz, Mega, Putty, Chocolatey, ExtPassword, FileZilla, LostMyPassword, PasswordFox, Process Hacker, TeamViewer, ThunderShell, WinSCP.

Menggunakan berbagai teknik ATT&CK untuk akses awal, eksekusi kode, peningkatan hak istimewa, akses kredensial, pergerakan lateral, command and control, serta eksfiltrasi.

Berkenaan dengan Taktik, Teknik, dan Prosedur (TTP), ada beberapa kontrol keamanan yang dapat diterapkan oleh organisasi untuk mengurangi kejenakaan dan aktivitas siber yang merusak.

Baca lainnya: