Apa itu LockBit, perangkat lunak berbahaya?

TORONTO –

Indigo Books & Music Inc. mengungkapkan minggu ini bahwa pemadaman sistem besar-besaran yang telah ditanganinya selama hampir sebulan dipicu oleh ransomware.

Pengecer, yang kehilangan akses ke situs web dan kemampuan pembayarannya, mengatakan serangan itu menyebarkan LockBit, perangkat lunak berbahaya yang semakin sering muncul dalam pelanggaran keamanan digital.

Apa itu LockBit?

LockBit adalah grup serangan dunia maya dan perangkat lunak berbahaya yang digunakan untuk melakukan serangan kriminal.

LockBit, grup tersebut, beroperasi sebagai bisnis ransomware-as-a-service, di mana tim mengembangkan malware yang dilisensikan ke jaringan afiliasi, yang menggunakannya untuk melakukan serangan, kata Sumit Bhatia, direktur inovasi dan kebijakan di Rogers Cybersecure Katalis di Universitas Metropolitan Toronto.

Situs web perusahaan perangkat lunak keamanan BlackBerry mengatakan malware LockBit menyusup ke jaringan targetnya melalui kerentanan yang belum ditambal, akses orang dalam, dan eksploitasi zero-day — kelemahan dalam perangkat lunak yang ditemukan sebelum perusahaan yang membuatnya menyadari masalah tersebut, memberi mereka “nol hari” untuk memperbaikinya.

LockBit kemudian dapat membangun kendali sistem korban, mengumpulkan informasi jaringan dan mencuri atau mengenkripsi data, kata situs itu.

“Serangan LockBit biasanya menggunakan taktik pemerasan ganda untuk mendorong korban membayar, pertama, untuk mendapatkan kembali akses ke file terenkripsi mereka dan kemudian membayar lagi untuk mencegah data mereka yang dicuri dipublikasikan,” kata BlackBerry.

Seberapa produktif LockBit?

LockBit telah mengajukan tuntutan tebusan setidaknya $100 juta dan meminta pembayaran puluhan juta dolar dari para korban, kata sebuah dokumen pengadilan yang diajukan di Distrik New Jersey dalam kasus tahun 2022 terhadap tersangka anggota LockBit.

LockBit muncul pada awal Januari 2020 dan anggota sejak itu telah mengeksekusi setidaknya 1.000 serangan LockBit terhadap para korban di AS dan di seluruh dunia, kata dokumen itu.

Siapa di belakang LockBit?

Itu pertanyaan yang rumit, kata Bhatia, karena “orang-orang ini beroperasi dalam bayang-bayang seperti itu.”

“Tapi apa yang kami pahami sebagian besar adalah bahwa ada hubungan yang mendalam dengan Rusia dan mantan anggota komunitas Rusia, yang mungkin tidak lagi berbasis di Rusia, tetapi dapat beroperasi dari serangkaian lokasi berbeda di seluruh Eropa, dan membentuk sebuah bagian dari jaringan besar yang diluncurkan LockBit ini,” tambahnya.

Itu berarti anggota LockBit dapat ditemukan di mana saja di dunia. Pada bulan November, misalnya, Departemen Kehakiman AS mendakwa warga negara ganda Rusia dan Kanada, Mikhail Vasiliev, sehubungan dengan dugaan partisipasinya dalam kampanye ransomware LockBit.

Apakah serangan siber Indigo dilakukan oleh geng LockBit atau seseorang yang menggunakan software LockBit?

Indigo mengatakan jaringannya “diakses oleh (dugaan) penjahat yang menyebarkan perangkat lunak ransomware yang dikenal sebagai LockBit,” tetapi menambahkan bahwa pihaknya tidak mengetahui secara spesifik siapa yang berada di balik serangan tersebut.

Di mana lagi LockBit terlibat?

Rumah Sakit Anak Sakit Toronto mengalami serangan ransomware pada bulan Desember yang memengaruhi operasi. LockBit mengklaim salah satu mitranya melakukan serangan itu, yang akhirnya dimintai maaf oleh kelompok tersebut, dengan mengatakan serangan terhadap rumah sakit melanggar aturannya.

Korban LockBit lainnya termasuk Royal Mail Inggris, grup teknologi Prancis Thales, dan Otoritas Pelabuhan Lisbon di Portugal.

Apa yang dapat dilakukan perusahaan untuk menghindari menjadi korban serangan LockBit?

LockBit terutama bergantung pada serangan phishing, kata Bhatia.

Phishing umumnya dimulai dengan email penipuan atau pesan teks yang dimaksudkan agar terlihat seperti dikirim oleh perusahaan yang dapat dipercaya. Mereka sering menipu orang untuk memasukkan informasi rahasia seperti kata sandi ke situs web penipuan atau mengunduh malware ke komputer dengan akses ke jaringan perusahaan.

“Ransomware, terutama melalui phishing, seringkali melibatkan unsur manusia,” kata Bhatia.

Artinya, cara terbaik untuk menghentikannya adalah dengan memastikan bahwa staf berhati-hati dan memahami cara meninjau tautan dan pesan yang mereka terima untuk menghindari penipuan.

“Benar-benar memahami bagaimana waspada terhadap sesuatu yang dianggap mencurigakan,” kata Bhatia.

Apakah sebaiknya membayar penyerang untuk mengakses sistem Anda atau mendekripsi data dan file jika Anda diserang dengan ransomware?

“Dari perspektif penegakan hukum, organisasi didorong untuk tidak membayar dan itu … karena Anda tidak benar-benar dijamin, bahkan setelah membayar Anda tidak akan terpengaruh secara negatif,” kata Bhatia.

“Anda tidak bisa benar-benar mengandalkan komitmen yang dibuat oleh para penyerang ini.”

Pihak berwenang juga melarang pembayaran karena mendorong penjahat untuk melanjutkan serangan mereka dan menyebarkan sebuah siklus, katanya.

Namun, dia mencatat “usaha kecil tidak selalu memiliki kemewahan untuk tidak membayar atau mereka yang bekerja dengan sektor kritis, di mana akses ke data tersebut atau akses ke sistem tersebut sangat penting dan dapat memiliki efek buruk yang parah.”

Indigo telah menolak untuk membayar penyerangnya, yang menurut perusahaan berencana untuk memposting di web gelap data karyawan yang dicurinya.

“Komisaris privasi tidak percaya bahwa membayar uang tebusan melindungi mereka yang datanya telah dicuri, karena tidak ada cara untuk menjamin penghapusan/perlindungan data setelah uang tebusan dibayarkan,” kata Indigo di situs webnya.

“Selain itu, kami tidak dapat memastikan bahwa pembayaran uang tebusan tidak akan jatuh ke tangan teroris atau orang lain yang masuk dalam daftar sanksi.”

Laporan oleh The Canadian Press ini pertama kali diterbitkan 3 Maret 2023.