Indonesia baru-baru ini digemparkan oleh insiden terganggunya layanan atm dan mobile banking bank syariah indonesia (BSI). Lebih mengejutkan, kelompok ransomware lockbit 3.0 mengklaim bertanggung jawab atas peretasan layanan bsi tersebut.
Informasi ini terungkap melalui akun twitter @darktracer_int, yang menyebutkan bahwa kelompok peretas lockbit mengaku bertanggung jawab atas masalah yang terjadi pada seluruh layanan di bsi.
Lalu siapa Ransomeware LockBit 3.0?
Menurut socradar, lockbit 3.0 mewarisi tradisi lockbit dan lockbit 2.0 sebagai kelompok ransomware-as-a-service (RaaS).
Sejak awal 2020, lockbit telah mengadakan strategi ransomware yang berfokus pada kerjasama afiliasi, dimana afiliasinya menerapkan beragam strategi untuk mengincar berbagai perusahaan dan organisasi infrastruktur krusial.
Lockbit dikenal aktif dalam mengimplementasikan metode seperti pemerasan ganda, memfasilitasi akses awal untuk afiliasi, serta promosi di forum hacker.
Mereka bahkan terkenal merekrut orang dalam dan menggelar kompetisi di forum untuk menarik peretas handal. Strategi ekspansionis ini berhasil menarik banyak afiliasi, menimbulkan kerugian pada ribuan entitas dan terus melakukan kegiatan mereka yang merugikan.
Varian terbaru dari lockbit, dikenal sebagai lockbit black atau lockbit 3.0, telah diluncurkan sejak Juli 2022. Perbedaan utama dari versi sebelumnya adalah kemampuan adaptasi dalam berbagai opsi saat proses kompilasi dan pelaksanaan payload.
Lockbit 3.0 menerapkan sistem modular dan mengenkripsi payload sampai saat eksekusi, menciptakan tantangan besar dalam analisis dan pendeteksian malware.
Apa Sasaran LockBit 3.0?
Lockbit 3.0 dapat menginfeksi sistem target kecuali sistem tersebut menggunakan bahasa dari daftar pengecualian tertentu. Bahasa-bahasa yang tidak terkena dampak termasuk bahasa dari negara-negara yang berada di bawah pengaruh rusia dan sekutu-sekutunya.
Untuk menentukan lokasi sistem yang menjadi sasaran, lockbit menggunakan dua fungsi, yaitu getsystemdefaultuilanguage dan getuserdefaultuilanguage. Ransomware ini membandingkan hasil dari kedua fungsi ini dengan daftar negara tertentu.
Jika bahasa sistem tidak sesuai dengan negara-negara dalam daftar tersebut, malware ini akan bergerak ke tahap verifikasi selanjutnya. Beberapa contoh bahasa yang tidak terpengaruh termasuk bahasa rumania dari moldova, arab dari suriah dan tatar dari rusia, namun daftar ini tidaklah lengkap.
Meskipun klaim kelompok ransomware ini tidak terlibat dalam aktivitas politik, serangan mereka seringkali menargetkan negara-negara anggota nato dan sekutunya.
Berdasarkan informasi dari socradar, hampir setengah dari serangan menggunakan versi lockbit 3.0 menargetkan perusahaan di amerika serikat.
Catatan SOCRadar
Serangan ransomware semakin sering terjadi setiap tahunnya. Lebih dari sepertiga serangan ransomware di paruh akhir tahun lalu dan di kuartal pertama tahun 2023 disebabkan oleh lockbit ransomware group.
Sejak pertama kali muncul di september 2019, lockbit menjadi salah satu kelompok ransomware paling dominan, khususnya setelah kelompok conti berhenti beroperasi pada tahun 2022.
Pada kuartal pertama tahun 2023, lockbit mencatatkan dirinya sebagai kelompok ransomware dengan aktivitas terbanyak. Mereka mencatat lebih dari 1500 korban di platform socradar dan pada kuartal pertama tahun 2023, memecahkan rekor dengan mengumumkan lebih dari 300 korban.
Atento perusahaan crm, mengalami kerugian sebesar US$ 42,1 juta akibat serangan lockbit, seperti yang dilaporkan dalam laporan keuangan mereka tahun 2021.
Kerugian ini terdiri dari hilangnya pendapatan sebesar US$ 34,8 juta dan biaya mitigasi sebesar US$ 7,3 juta. Meskipun angka kerugian bisa berbeda-beda antar perusahaan, total kerugian finansial akibat lockbit bisa mencapai miliaran dolar.
Peneliti keamanan juga menemukan bukti bahwa kelompok di balik lockbit 3.0 berencana untuk memperluas jangkauan malwarenya.
Lockbit 3.0, yang sebelumnya menyerang server windows, linux dan vmware esxi, kini diduga memiliki versi baru yang dapat memengaruhi macos, arm, freebsd, mips dan cpu sparc.
Dengan jumlah serangan yang sudah tinggi, kelompok ini diperkirakan akan terus memperluas daftar targetnya, yang bisa mengakibatkan peningkatan signifikan dalam serangan lockbit.
