Salah satu masalah dalam menjalankan operasi ransomware seperti halnya bisnis biasa adalah bahwa karyawan yang tidak puas mungkin ingin menyabotase operasi tersebut karena adanya ketidakadilan yang dirasakan.
Hal ini tampaknya terjadi pada operator operasi ransomware-as-a-service LockBit yang produktif minggu ini ketika pengembang yang tampaknya kesal merilis secara publik kode enkripsi untuk versi terbaru malware tersebut – LockBit 3.0 alias LockBit Black – ke GitHub . Perkembangan ini mempunyai dampak negatif dan berpotensi positif bagi para pembela keamanan.
Musim Terbuka untuk Semua
Ketersediaan kode tersebut untuk publik berarti bahwa operator ransomware lain – dan yang ingin menjadi operator ransomware – kini memiliki akses ke pembuat salah satu jenis ransomware paling canggih dan berbahaya yang saat ini ada di alam bebas. Akibatnya, versi baru malware peniru ini akan segera mulai beredar dan menambah lanskap ancaman ransomware yang sudah kacau balau. Pada saat yang sama, kode yang bocor memberikan kesempatan kepada peneliti keamanan topi putih untuk membongkar perangkat lunak pembuatnya dan lebih memahami ancamannya, menurut John Hammond, peneliti keamanan di Huntress Labs.
“Kebocoran perangkat lunak pembuat ini mengkomoditisasi kemampuan untuk mengonfigurasi, menyesuaikan, dan pada akhirnya menghasilkan file yang dapat dieksekusi untuk tidak hanya mengenkripsi tetapi juga mendekripsi file,” katanya dalam sebuah pernyataan. “Siapa pun yang memiliki utilitas ini dapat memulai operasi ransomware secara menyeluruh.”
Pada saat yang sama, seorang peneliti keamanan dapat menganalisis perangkat lunak dan berpotensi mengumpulkan informasi intelijen yang dapat menggagalkan serangan lebih lanjut, katanya. “Setidaknya, kebocoran ini memberi para pembela HAM wawasan yang lebih luas tentang beberapa pekerjaan yang dilakukan dalam kelompok LockBit,” kata Hammond.
Huntress Labs adalah salah satu dari beberapa vendor keamanan yang telah menganalisis kode yang bocor dan mengidentifikasi kode tersebut sah.
Ancaman Produktif
LockBit muncul pada tahun 2019 dan sejak itu muncul sebagai salah satu ancaman ransomware terbesar saat ini. Pada paruh pertama tahun 2022, peneliti dari Trend Micro mengidentifikasi sekitar 1,843 serangan melibatkan LockBit, menjadikannya jenis ransomware paling produktif yang pernah ditemui perusahaan tahun ini. Laporan sebelumnya dari tim peneliti ancaman Unit 42 Palo Alto Networks menggambarkan versi ransomware sebelumnya (LockBit 2.0) sebagai menyumbang 46% dari semua peristiwa pelanggaran ransomware dalam lima bulan pertama tahun ini. Keamanan mengidentifikasi situs kebocoran untuk LockBit 2.0 yang mencantumkan lebih dari 850 korban pada bulan Mei. Sejak itu rilis LockBit 3.0 pada bulan Juni, serangan yang melibatkan keluarga ransomware meningkat 17%, menurut vendor keamanan Sectrio.
Operator LockBit telah menggambarkan diri mereka sebagai perusahaan profesional yang berfokus terutama pada organisasi di sektor jasa profesional, ritel, manufaktur, dan sektor grosir. Kelompok ini telah berjanji untuk tidak menyerang lembaga layanan kesehatan, lembaga pendidikan dan amal, meskipun peneliti keamanan telah mengamati bahwa kelompok yang menggunakan ransomware tetap melakukan hal yang sama.
Awal tahun ini, grup ini menarik perhatian bahkan saat itu mengumumkan program hadiah bug menawarkan hadiah kepada peneliti keamanan yang menemukan masalah dengan ransomware-nya. Kelompok tersebut diduga telah membayar $50,000 dalam bentuk uang hadiah kepada pemburu bug yang melaporkan masalah dengan perangkat lunak enkripsinya.
Kode Sah
Azim Shukuhi, peneliti Cisco Talos, mengatakan perusahaan telah melihat kode yang bocor dan semua indikasi menunjukkan bahwa perusahaan tersebut adalah pembuat perangkat lunak yang sah. “Juga, media sosial dan komentar dari admin LockBit sendiri menunjukkan bahwa pembuatnya nyata. Ini memungkinkan Anda untuk merakit atau membuat versi pribadi dari muatan LockBit bersama dengan generator kunci untuk dekripsi,” katanya.
Namun, Shukuhi agak meragukan seberapa besar kode yang bocor tersebut akan menguntungkan para pembela HAM. “Hanya karena Anda dapat merekayasa balik pembuatnya tidak berarti Anda dapat menghentikan ransomware itu sendiri,” katanya. “Selain itu, dalam banyak situasi, saat ransomware disebarkan, jaringan telah sepenuhnya disusupi.”
Menyusul kebocoran tersebut, pembuat LockBit kemungkinan juga akan bekerja keras untuk menulis ulang pembuatnya untuk memastikan bahwa versi mendatang tidak akan disusupi. Kelompok tersebut juga kemungkinan sedang menangani kerusakan merek akibat kebocoran tersebut. kata Shukuhi.
Pemburu wanita Hammond mengatakan kepada Dark Reading bahwa kebocoran tersebut “tentu saja merupakan 'oops' [momen] dan memalukan bagi LockBit dan keamanan operasional mereka.” Namun seperti Shukuhi, dia percaya bahwa kelompok tersebut akan mengubah perangkat mereka dan melanjutkan seperti sebelumnya. Kelompok pelaku ancaman lain mungkin menggunakan pembuat ini untuk operasi mereka sendiri, katanya. Setiap aktivitas baru seputar kode yang bocor hanya akan melanggengkan ancaman yang sudah ada.
Hammond mengatakan analisis Huntress terhadap kode yang bocor menunjukkan bahwa alat yang sekarang terungkap mungkin memungkinkan peneliti keamanan menemukan kelemahan atau kelemahan dalam implementasi kriptografi. Namun kebocoran tersebut tidak menawarkan semua kunci pribadi yang dapat digunakan untuk mendekripsi sistem, tambahnya.
“Sejujurnya, LockBit sepertinya mengabaikan masalah ini seolah-olah itu bukan masalah,” kata Hammond. “Perwakilan mereka menjelaskan, pada intinya, kami telah memecat programmer yang membocorkan hal ini, dan meyakinkan afiliasi dan pendukung bisnis tersebut.”
