DoJ mengatakan LockBit telah dikerahkan terhadap setidaknya 1.000 korban di Amerika Serikat dan di seluruh dunia, menghasilkan setidaknya USD $100 juta dalam permintaan tebusan dan ‘menghasilkan puluhan juta dolar dalam bentuk tebusan yang nyata’.

Di antara korban serangan LockBit adalah Pendragon, perusahaan dealer mobil Inggris, yang menolak untuk membayar USD $60 juta terhadap permintaan ransomware.

Menurut Trustwave, sebuah perusahaan cybersecurity Amerika, grup LockBit ‘mendominasi bidang ransomware’ dan menggunakan pembayaran besar untuk merekrut aktor berpengalaman.

Baca Juga:BSI Lakukan Pemecatan Terhadap Direktur IT Akibat Layanan Eror

Ini menyumbang 44% serangan ransomware dari Januari hingga September tahun lalu, menurut Deep Instinct, sebuah perusahaan keamanan siber Israel.

Cara Kerja Ransomware LockBit

Ransomware LockBit sering dianggap oleh banyak otoritas sebagai bagian dari keluarga malware “LockerGoga & MegaCortex”.

Baca Juga:Ransomware LockBit Klaim Bocorkan Data 1,5 TB Karyawan dan Nasabah BSI

Perusahaan keamanan siber Kaspersky melalui situs resminya menjelaskan secara singkat bagaimana cara kerja ransomware LockBit untuk melakukan serangan.

  • Menyebarkn dalam organisasi, alih-alih membutuhkan panduan manual
  • Menargetkan korban, tidak menyebar dengan cara scattershot seperti malware spam
  • Menggunakan alat atau metode serupa untuk menyebarkan, seperti Windows Powershell dan Server Message Block (SMB)

Target Ransomware LockBit 3.0

LockBit 3.0 menginfeksi Sistem Target jika tidak ada dalam daftar pengecualian bahasa tertentu.

Baca Juga:BSI Catat 8.000 Calon Belum Lunasi Biaya Haji 2023

Bahasa yang dikecualikan termasuk bahasa lokal negara-negara di bawah pengaruh Rusia dan bahasa negara-negara yang bersekutu dengan Rusia.

Untuk mengonfirmasi lokasi sistem yang ditargetkan, ransomware LockBit menggunakan fungsi:

GetSystemDefaultUILanguage()

GetUserDefaultUILanguage()

Itu memeriksa hasil terhadap sekelompok negara, dan jika bahasanya tidak cocok dengan negara yang ditentukan, malware akan melanjutkan ke langkah verifikasi berikutnya.

Beberapa bahasa yang dikecualikan adalah Rumania (Moldova), Arab (Suriah), dan Tatar (Rusia), tetapi daftar ini tidak lengkap.

Walaupun kelompok ransomware mengklaim tidak terlibat dalam politik, banyak dari targetnya tampaknya adalah NATO dan negara-negara sekutu.

Menurut data dari SOCRadar, sekitar setengah dari serangan dengan varian LockBit 3.0 memengaruhi perusahaan AS.

***

Tag Terkait:
Adam Herla
Penulis