LockBit menjelaskan: Bagaimana itu menjadi ransomware paling populer

LockBit adalah salah satu operasi ransomware-as-a-service (RaaS) paling menonjol yang telah menargetkan organisasi selama beberapa tahun terakhir. Sejak diluncurkan pada tahun 2019, LockBit terus berkembang, melihat pertumbuhan yang belum pernah terjadi sebelumnya yang didorong oleh pembubaran geng ransomware lainnya.

Pembuat LockBit menjual akses ke program ransomware dan infrastrukturnya kepada penjahat siber pihak ketiga yang dikenal sebagai afiliasi yang membobol jaringan dan menyebarkannya ke sistem dengan potongan hingga 75% dari uang yang dibayarkan oleh korban dalam bentuk tebusan. Seperti kebanyakan geng RaaS yang serupa, LockBit terlibat dalam taktik pemerasan ganda di mana afiliasinya juga mengekstraksi data dari organisasi korban dan mengancam untuk mempublikasikannya secara online.

Menurut sebuah laporan oleh perusahaan respons insiden ransomware Coveware, LockBit menyumbang 15% dari serangan ransomware yang dilihat perusahaan selama kuartal pertama 2022, kedua setelah Conti dengan 16%. Dalam laporan yang lebih baru, perusahaan keamanan siber NCC Group melaporkan bahwa LockBit bertanggung jawab atas 40% serangan ransomware yang dialami perusahaan pada bulan Mei, diikuti oleh Conti.

Sementara jumlah insiden ransomware telah menurun secara keseluruhan dalam beberapa bulan terakhir, persentase yang diperhitungkan LockBit kemungkinan akan meningkat, sebagian karena operasi Conti diyakini telah ditutup atau terpecah menjadi kelompok-kelompok yang lebih kecil dan karena LockBit mencoba menarik lebih banyak afiliasi. mengklaim menawarkan kondisi yang lebih baik daripada pesaing.

Bagaimana LockBit berevolusi

Ancaman ransomware ini awalnya dikenal sebagai ABCD setelah ekstensi file .abcd yang ditinggalkannya pada file terenkripsi. Program afiliasi RaaS diluncurkan pada awal 2020 dan situs kebocoran data dan penambahan pemerasan kebocoran data diumumkan akhir tahun itu.

LockBit tetap menjadi pemain yang relatif kecil selama tahun pertama operasinya dengan geng terkenal lainnya menjadi lebih sukses dan menjadi sorotan—Ryuk, REvil, Maze, dan lainnya. Ransomware LockBit mulai mendapatkan lebih banyak daya tarik pada paruh kedua tahun 2021 dengan peluncuran LockBit 2.0 dan setelah beberapa geng lain menutup operasi mereka setelah menarik terlalu banyak panas.

LockBit 2.0 adalah “varian ransomware yang paling berdampak dan digunakan secara luas yang kami amati dalam semua pelanggaran ransomware selama kuartal pertama tahun 2022, dengan mempertimbangkan kebocoran data situs dan data dari kasus yang ditangani oleh penanggap insiden Unit 42,” peneliti dari Unit Jaringan Palo Alto 42 mengatakan dalam sebuah laporan. Situs LockBit 2.0 yang digunakan geng untuk mempublikasikan data dari organisasi yang jaringannya mereka langgar mencantumkan 850 korban, tetapi geng tersebut mengklaim telah menebus lebih dari 12.125 organisasi sejauh ini.

Kelompok ini juga mengklaim bahwa ransomware LockBit 2.0 memiliki rutin enkripsi tercepat, yang hanya sebagian benar menurut tes oleh para peneliti dari Splunk. LockBit 1.0 dan program ransomware yang dikenal sebagai PwndLocker tampaknya lebih cepat daripada LockBit 2.0, tetapi rutinitas enkripsi masih sangat cepat sebagian karena ancaman ini melakukan enkripsi parsial. LockBit 2.0, misalnya, hanya mengenkripsi 4KB pertama dari setiap file, yang cukup untuk membuatnya tidak dapat dibaca dan tidak dapat digunakan sementara juga memungkinkan serangan untuk diselesaikan dengan sangat cepat sebelum responden insiden punya waktu untuk mematikan sistem dan mengisolasinya dari jaringan.

Bagaimana LockBit memilih dan menargetkan korban?

Karena banyak afiliasi mendistribusikan LockBit, vektor akses yang mereka gunakan bervariasi: dari email spear-phishing dengan lampiran berbahaya hingga mengeksploitasi kerentanan dalam aplikasi yang dihadapi publik dan menggunakan kredensial VPN dan RDP yang dicuri. Afiliasi LockBit diketahui juga membeli akses dari pihak lain.

Menurut wawancara publik tahun 2021 dengan tersangka anggota geng LockBit, kelompok tersebut memiliki kebijakan untuk tidak menargetkan organisasi yang beroperasi di sektor perawatan kesehatan, pendidikan, amal, dan layanan sosial. Namun, afiliasi LockBit belum mengikuti pedoman ini dalam beberapa kasus dan menyerang organisasi dari perawatan kesehatan dan pendidikan, para peneliti Palo Alto memperingatkan.

Berdasarkan data dari situs kebocoran data LockBit, hampir setengah dari organisasi korban berasal dari AS, diikuti oleh Italia, Jerman, Kanada, Prancis, dan Inggris. Fokus pada organisasi Amerika Utara dan Eropa adalah karena prevalensi asuransi cyber yang lebih tinggi di wilayah ini serta pendapatan yang lebih tinggi, kata anggota geng LockBit dalam wawancara lama. Vertikal industri yang paling terpengaruh adalah layanan profesional dan hukum, konstruksi, pemerintah federal, real estat, ritel, teknologi tinggi, dan manufaktur. Malware ini juga berisi kode yang mencegah eksekusinya pada sistem dengan pengaturan bahasa Eropa Timur.

Perlu juga dicatat bahwa geng LockBit telah mengembangkan program malware terpisah yang disebut StealBit yang dapat digunakan untuk mengotomatiskan eksfiltrasi data. Alat ini mengunggah data langsung ke server LockBit alih-alih menggunakan layanan hosting file publik yang dapat menghapus data setelah keluhan dari korban. Geng juga telah mengembangkan alat yang disebut LockBit Linux-ESXi Locker untuk mengenkripsi server Linux dan mesin virtual VMware ESXi.

Jumlah waktu yang dihabiskan penyerang LockBit di dalam jaringan sebelum menyebarkan ransomware telah berkurang dari waktu ke waktu dari sekitar 70 hari di Q4 2021 menjadi 35 hari di Q1 2022 dan kurang dari 20 hari di Q2 2022. Ini berarti organisasi memiliki lebih sedikit waktu untuk mendeteksi intrusi jaringan pada tahap awal dan menghentikan penyebaran ransomware. Kesediaan penyerang untuk bernegosiasi dan menurunkan jumlah tebusan juga menurun menurut Palo Alto Networks. Tahun lalu, para penyerang bersedia menjatuhkan jumlah tebusan lebih dari 80 persen, sementara sekarang para korban hanya bisa mengharapkan penurunan harga rata-rata 30 persen.

Bagaimana LockBit melakukan gerakan lateral dan eksekusi muatan?

Setelah mendapatkan akses awal ke jaringan, afiliasi LockBit menyebarkan berbagai alat untuk memperluas akses mereka ke sistem lain. Alat-alat ini melibatkan dumper kredensial seperti Mimikatz; alat eskalasi hak istimewa seperti ProxyShell, alat yang digunakan untuk menonaktifkan produk keamanan dan berbagai proses seperti GMER, PC Hunter, dan Peretas Proses; pemindai jaringan dan port untuk mengidentifikasi pengontrol domain direktori aktif, alat eksekusi jarak jauh seperti PsExec atau Cobalt Strike untuk gerakan lateral. Aktivitas ini juga melibatkan penggunaan PowerShell dan skrip batch yang dikaburkan serta tugas terjadwal yang tidak semestinya untuk kegigihan.

Setelah disebarkan, ransomware LockBit juga dapat menyebar ke sistem lain melalui koneksi SMB menggunakan kredensial yang dikumpulkan serta dengan menggunakan kebijakan grup Active Directory. Saat dijalankan, ransomware akan menonaktifkan salinan bayangan volume Windows dan akan menghapus berbagai log sistem dan keamanan.

Malware kemudian mengumpulkan informasi sistem seperti nama host, informasi domain, konfigurasi drive lokal, berbagi jarak jauh, dan perangkat penyimpanan terpasang, kemudian akan mulai mengenkripsi semua data pada perangkat lokal dan jarak jauh yang dapat diaksesnya. Namun, itu melewatkan file yang akan mencegah sistem berfungsi. Pada akhirnya itu menjatuhkan catatan tebusan dengan mengubah wallpaper desktop pengguna dengan informasi tentang cara menghubungi penyerang.

Rutin enkripsi file menggunakan AES dan dengan kunci yang dibuat secara lokal yang selanjutnya dienkripsi menggunakan kunci publik RSA. Malware hanya mengenkripsi 4KB pertama dari setiap file dan menambahkan ekstensi “.lockbit” ke dalamnya.

FBI mengeluarkan peringatan publik tentang LockBit pada bulan Februari yang berisi indikator kompromi yang diambil dari insiden yang diselidiki di lapangan, serta rekomendasi untuk organisasi.

LockBit 3.0 dan program bounty bug-nya

Pada bulan Juni, pembuat LockBit mengumumkan versi 3.0 dari program afiliasi dan malware mereka setelah dilaporkan dalam pengujian beta selama dua bulan. Geng juga meluncurkan program hadiah bug yang menawarkan antara $1.000 dan $1 juta untuk kerentanan dalam program ransomware dan infrastruktur geng, seperti situs web yang dihosting Tor, messenger aman, dan banyak lagi.

Geng bahkan melangkah lebih jauh dengan meluncurkan tantangan $ 1 juta kepada siapa saja yang berhasil mengetahui identitas orang yang menjalankan program afiliasinya, pada dasarnya meminta anggota peringkat tertinggi untuk didoxx. Ini bukan pertama kalinya LockBit terlibat dalam praktik yang tidak biasa. Catatan tebusan termasuk penawaran keuangan kepada orang dalam yang dapat memberikan akses ke jaringan dan organisasi dan program hadiah bugnya juga menawarkan hadiah untuk ide tentang cara meningkatkan operasi ransomware, perangkat lunak, dan infrastruktur yang belum dipertimbangkan geng.

Sementara perubahan teknis pada LockBit 3.0 itu sendiri, tangkapan layar yang dibagikan oleh LockBit menunjukkan bahwa cryptocurrency Zcash akan diterima untuk pembayaran tebusan bersama dengan Bitcoin dan Monero dalam versi baru. Penambahan Zcash bisa menjadi upaya untuk membuat pembayaran lebih sulit dilacak.

Menurut peneliti Palo Alto, penambahan program karunia bug mungkin telah didorong oleh peneliti menemukan bug di LockBit 2.0 yang memungkinkan pengembalian proses enkripsi pada database MSSQL.

Pada awal Juni, perusahaan keamanan siber Mandiant merilis laporan yang menghubungkan beberapa intrusi LockBit ke aktor ancaman yang dilacak sebagai UNC2165 yang menggunakan ransomware Hades di masa lalu dan memiliki aktivitas signifikan yang tumpang tindih dengan Evil Corp, kelompok kriminal dunia maya terkenal yang ada dalam daftar sanksi Departemen Keuangan. entitas. Evil Corp bertanggung jawab atas pembuatan botnet Dridex, ransomware WastedLocker, dan ancaman lainnya di masa lalu dan mengirimkan pembayaran uang tebusan ke penjahat dunia maya yang terkait dengannya merupakan pelanggaran terhadap sanksi.

“Adopsi ransomware yang ada adalah evolusi alami bagi UNC2165 untuk mencoba mengaburkan afiliasi mereka dengan Evil Corp,” kata peneliti Mandiant. “Keunggulan LockBit dalam beberapa tahun terakhir dan keberhasilannya digunakan oleh beberapa kelompok ancaman yang berbeda kemungkinan membuat ransomware menjadi pilihan yang menarik. Menggunakan RaaS ini akan memungkinkan UNC2165 untuk berbaur dengan afiliasi lain, yang membutuhkan visibilitas ke tahap awal siklus hidup serangan untuk benar atribut aktivitas, dibandingkan dengan operasi sebelumnya yang mungkin disebabkan berdasarkan penggunaan ransomware eksklusif.”

Geng LockBit kemudian menolak koneksi ini sebagai salah dan merilis pernyataan yang mengatakan bahwa itu tidak ada hubungannya dengan Evil Corp dan pemimpinnya yang diduga Maxim Yakubets, yang ada dalam daftar Cyber’s Most Wanted FBI.