Serangan Ransomware LockBit Builder-based Tiru Identitas Karyawan dan Menyebar Sendiri Serangan Ransomware LockBit Builder-based Tiru Identitas Karyawan dan Menyebar Sendiri ~ Teknogav.com
Home » Serangan Ransomware LockBit Builder-based Tiru Identitas Karyawan dan Menyebar Sendiri

Serangan Ransomware LockBit Builder-based Tiru Identitas Karyawan dan Menyebar Sendiri

Teknogav.com – Lockbit yang merupakan sumber kebocoran data pada tahun 2022 masih mengancam. Serangan terkini dilakukan dengan membuat varian malware enkripsi sendisi yang dapat berpropagasi mandiri. Penjahat siber bisa membobol masuk ke infrastruktur dengan memanfaatkan kredensial administrator istimewa yang dicuri. Insiden tersebut terjadi di Afrika Barat, wilayah lain juga mengalami serangan ransomware builder-based walau tidak disertai fitur-fitur canggih.

Ransomware khusus dengan teknik tak terlihat menyerang di Guinea-Bissau yang dampaknya tak terkendali. Host yang terinfeksi pada insiden tersebut berusaha menyebarkan malware lebih dalam ke jaringan korban. Kaspersky Global Emergency Response menyoroti serangan tersebut dan memberikan analisis rinci berikut ini:

  • Peniruan: pelaku ancaman menyamar sebagai administrator sistem yang memiliki hak istimewa dengan memanfaatkan kredensial yang didapatkan secara tidak resmi. Skenario ini penting, karena akun dengan hak istimewa berpeluang menyerang dan mendapatkan akses ke area infrastruktur perusahaan yang paling pentingPenyebaran mandiri ke seluruh jaringan menggunakan kredensial domain dengan hak istimewa tinggi dan melakukan kegiatan berbahaya. Kegiatan tersebut mencakup menonaktifkan Windows Defender, mengenkripsi berbagi jaringan dan menghapus Windows Event Logs untuk mengenkripsi data sampai menyembunyikan tindakannya. Perilaku malware ini menghasilkan skenario, di mana setiap host yang terinfeksi berusaha menginfeksi host lain dalam jaringan
  • Fitur adaptif berupa file konfigurasi yang disesuaikan yang memungkinkan malware menyesuaikan diri dengan konfigurasi spesifik arsitektur perusahaan yang menjadi korban. Proses ini dapat dilakukan bersama dengan fitur-fitur yang dibahas sebelumnya. Penyerang bisa melakukan konfigurasi ransomware untuk menginfeksi file tertentu, seperti semua file .xlsx dan .docx, atau sekumpulan sistem tertentu saja.

Baca juga: Bisnis Ransomware LockBit Makin Marak, Ini Tips Mitigasi Ancaman 

Kaspersky menjalankan build kustom tersebut di mesin virtual dan mengamati malware tersebut melakukan kegiatan berbahaya. Hasil pengamatan menunjukkan catatan ransom khusus di layar desktop. Catatan tersebut berisi instruksi agar korban menghubungi penyerang untuk mendapatkan dekripsi.

“Pembuat LockBit 3.0 bocor pada tahun 2022, tetapi penyerang masih aktif menggunakannya untuk membuat versi yang disesuaikan. Mereka bahkan tidak membutuhkan keterampilan pemrograman tingkat lanjut untuk memodifikasinya. Fleksibilitas ini memberikan banyak peluang bagi musuh untuk meningkatkan efektivitas serangan mereka, seperti yang ditunjukkan dalam kasus baru-baru ini. Hal ini membuat serangan menjadi lebih berbahaya, mengingat meningkatnya frekuensi kebocoran kredensial perusahaan,” ucap Cristian Souza, Incident Response Specialist di Kaspersky Global Emergency Response Team.

Baca juga: Tingkatkan Kesadaran akan Ancaman Siber, Prosperita Angkat Tema ‘Waspada Ransomware’

Kaspersky juga menemukan bahwa penyerang menggunakan skrip SessionGopher. Skrip ini digunakan untuk menemukan dan mengekstrak kata sandi yang disimpan untuk koneksi jarak jauh di sistem yang terpengaruh.

Insiden yang menggunakan berbagai jenis teknik berdasarkan pembuat LockBit 3.0 yang bocor sering terjadi di berbagai industri dan wilayah. Teknik serupa ditemukan pada serangan di Rusia, Chil, Italia dan geografi serangannya makin meluas. Namun malware pada insien tersebut tidak berkemampuan melakukan progpagasi mandiri dan peniruan identitas seperti yang ditemukan di Guinea-Bissau.

Produk Kaspersky mendeteksi ancaman tersebut dengan dugaan berikut:

  • Trojan-Ransom.Win32.Lockbit.gen
  • Trojan.Multi.Crypmod.gen
  • Trojan-Ransom.Win32.Generik

Skrip SessionGopher terdeteksi sebagai:

  • HackTool.PowerShell.Agent.l
  • HackTool.PowerShell.Agent.ad

LockBit merupakan kelompok penjahat siber yang menawarkan ransomware sebagai layanan (RaaS). Pada bulan Februari 2024, operasi penegakan hukum internasional mengambil alih kendali dan menghapus kelompok tersebut. Selama operasi, penegak hukum memperoleh kunci dekripsi pribadi dan menyiapkan alat untuk mendekripsi file berdasarkan identitas yang diketahui. Alat-alat ini yang mencakup check_decryption_id.exe dan check_decrypt.exe, membantu menilai kemungkinan file dapat dipulihkan. Sayangnya, beberapa hari setelah operasi, kelompok ransomware mengumumkan bahwa mereka kembali beraksi.

Baca juga: Ransomware yang Ditargetkan Makin Menggila, Kaspersky XDR Siap Melawan

Tips Mitigasi Serangan Ransomware

Kaspersky memberikan saran berupa langkah-langkah umum berikut ini untuk memitigasi serangan ransomware:

  • Lakukan pencadangan dengan jadwal yang rutin dan juga melakukan pengujian rutin
  • Simpan file terenkripsi penting ketika menjadi korban ransomware yang belum ada dekripsinya
  • Gunakan solusi keamanan kuat dan pastikan solusi tersebut dikonfigurasi dengan benar. Solusi yang bisa digunakan adalah Kaspersky Endpoint Security. Sementara untuk memburu ancaman secara proaktif bisa menggunakan layanan Deteksi dan Respons Terkelola (MDR)
  • Kurangi paparan serangan dengan menonaktifkan layanan dan port yang tidak digunakan
  • Selalu perbarui sistem dan perangkat lunak dengan versi terkini untuk menambal kerentanan
  • Uji penetrasi dan pemindaian kerentanan secara rutin untuk nmendeteksi kelemahan dan menerapkan tindakan penanggulangan yang tepat
  • Berikan pelatihan keamanan siber bagi karyawan seara rutin untuk meningkatkan kesadaran akan ancaman siber dan strategi mitigasinya

Demikianlah keganasan ransomware yang terjadi di Guinea-Bissau dan beberapa tips agar dapat memitigasi serangan ransonware.

Share:

Artikel Terkini