Apa itu Ransomware?
Ransomware adalah jenis perangkat lunak berbahaya yang dirancang untuk mengenkripsi data atau mengunci akses ke sistem komputer atau file, dan kemudian meminta tebusan dari korban agar mereka mendapatkan kembali akses ke data mereka. Biasanya, para penyerang akan menuntut pembayaran dalam bentuk mata uang kripto atau uang digital untuk memberikan kunci dekripsi atau akses kembali ke data yang terpengaruh. Ransomware sering kali menyebar melalui phishing email, aplikasi berbahaya, atau eksploitasi kelemahan keamanan dalam sistem. Serangan ransomware dapat menyebabkan kerugian finansial dan gangguan serius bagi individu maupun organisasi yang terkena dampaknya. Oleh karena itu, penting untuk mempertahankan sistem keamanan yang kuat dan melakukan langkah-langkah pencegahan yang akan dibahas di artikel ini.
Aplikasi Ransomware LockBit
LockBit adalah kelompok aplikasi penjahat dunia maya, yang menawarkan “ransomware-as-a-service” (RaaS) menggunakan malware yang sama dan berdasarkan varian terbarunya, LockBit 3.0. Operator LockBit memelihara malware dan melakukan perbaikan secara berkala, serta menangani negosiasi dan pengoperasian malware setelah komputer korban berhasil dikendalikan. Operator LockBit biasanya menggunakan taktik “pemerasan ganda” untuk target yang terkena serangan. Artinya, ransomware LockBit tidak hanya mengenkripsi data secara lokal untuk mencegah akses oleh korban, namun juga mengekstraksi data dan mengancam korban dengan kebocoran data publik kecuali mereka membayar uang tebusan.
Malware itu sendiri merupakan bagian dari keluarga malware LockerGoga dan MegaCortex dan menyebar dengan sendirinya. Ia menggunakan alat umum pada perangkat seperti Windows PowerShell dan SMB (blok pesan server, yang memungkinkan komunikasi antar-proses) untuk mengenkripsi dan mengekstrak data, serta menyebarkan dan menyebarkan serangan. Setelah serangan awal menginfeksi satu perangkat host, serangan tersebut secara otomatis mengawasi sistem di sekitarnya untuk bergerak ke samping, dengan cepat menginfeksi dan mengenkripsi seiring berjalannya waktu. LockBit sangat mahir dalam menggunakan pola, nama file umum, dan perilaku lain yang dirancang untuk menipu mesin pendeteksi perilaku yang digunakan oleh platform perlindungan titik akhir (EPP) lama.
Gejala Pertama Serangan LockBit Ransomware
Eksploitasi: serangan awal terlihat sangat mirip dengan sebagian besar serangan berbahaya lainnya terhadap organisasi. LockBit mendapatkan akses awal ke jaringan target baik melalui akses brute force (biasanya melalui kata sandi RDP atau VPN yang lemah), memanfaatkan kerentanan yang diketahui belum ditambal, atau melalui rekayasa sosial. Setelah akses diperoleh, ransomware mempersiapkan sistem untuk meluncurkan muatan terenkripsi di perangkat tetangga dalam jaringan.
Infiltrasi: Selanjutnya, rekayasa otomatis LockBit mengambil alih. Malware mengarahkan serangan, menggunakan alat yang dikenal untuk meningkatkan hak istimewa guna mendapatkan akses dan kendali atas sistem target. Selama tahap ini, LockBit mempersiapkan sistem untuk enkripsi dan eksfiltrasi data dengan menonaktifkan aplikasi keamanan dan infrastruktur lokal lainnya yang memungkinkan pemulihan sistem. Tujuan dari tahap ini adalah membuat pemulihan data tidak mungkin dilakukan tanpa bantuan operator LockBit.
Penerapan: Setelah perangkat dan jaringan dipersiapkan dengan benar, LockBit melakukan mobilisasi penuh, menyebar ke seluruh mesin yang dapat diaksesnya. Mesin enkripsi sekarang akan mengunci semua data yang ada di dalam sistem, menambahkan ekstensi file “.lockbit” ke file yang diproses. Pemulihan data memerlukan kunci khusus yang dibuat oleh operator LockBit. Para korban mendapati sistem mereka sekarang tidak dapat digunakan, selain membaca catatan tebusan LockBit (biasanya diposting sebagai wallpaper default perangkat) yang berisi informasi kontak dan instruksi tentang cara memulihkan sistem mereka.
Negosiasi: Pada titik ini, data diisolasi secara lokal, dienkripsi, dan dieksfiltrasi. Ini adalah saat operator LockBit biasanya menggunakan taktik “pemerasan ganda” yang terkenal. Instruksi yang tertinggal di sistem sering kali menyertakan catatan tebusan dengan tuntutan. Kelompok LockBit kemudian akan memposting di situsnya sendiri sebuah ancaman untuk membocorkan data sensitif yang dicuri selama serangan, sehingga meningkatkan tekanan pada korban untuk membayar dan meminimalkan kerusakan lanjutan yang dapat ditimbulkan oleh penyerangan tersebut.
Mengurangi Dampak Risiko Serangan Ransomware
Ada sejumlah langkah penting untuk mencegah serangan ransomware seperti ini, seperti yang dilakukan oleh LockBit, sbb:
- Gunakan kata sandi yang kuat dan autentikasi multifaktor. Menggunakan campuran kata sandi yang kuat dan MFA dapat mengurangi serangan brute force oleh LockBit dan lainnya.
- Lakukan audit izin akun pengguna secara berkala dan hapus akun yang tidak digunakan. Menghapus akun yang tidak digunakan, meskipun secara ketat membatasi izin pada tingkat yang memiliki akses ke data yang lebih sensitif, akan membatasi potensi ancaman agar tidak bergerak bebas di lingkungan Anda. Perangkat dan data yang penting atau sensitif harus mendapat pengawasan yang lebih ketat untuk memastikan akses hanya diberikan bila diperlukan.
- Jangan sembarangan install aplikasi yang tidak dikenal, apalagi sewaktu penginstallan dibutuhkan hak istimewa.
- Pastikan sumber dari pihak tepercaya.
- Pastikan konfigurasi yang tepat, patching terkini, dan cadangan sistem. LockBit dan kelompok ancaman lainnya sering kali memanfaatkan kelonggaran dunia maya yang buruk. Mengonfigurasi dan menambal sistem dengan benar akan menghilangkan banyak jalur pergerakan lateral, dan dapat membatasi kemampuan malware untuk meningkatkan hak istimewanya sendiri selama serangan. Pencadangan sistem juga penting untuk memastikan organisasi dapat bangkit kembali dan mendapatkan kembali kelangsungan bisnis dengan cepat jika terjadi serangan, meskipun hal ini tidak mencegah paparan data apa pun yang dieksfiltrasi selama serangan. Saat membuat cadangan, pastikan setidaknya satu salinan selalu disimpan secara offline dan sebaiknya di luar lokasi.
Nah gimana sudah taukan caranya? Itu beberapa caranya. Yuk mari bagian keteman-taman kalian, agar terhindar dari serangan ransomware dan juga agar mereka paham apa itu ransomware.