TEMPO.CO, Jakarta - PT Bank Syariah Indonesia (Persero) Tbk. atau BSI menjadi korban serangan ransomware oleh kelompok penjahat siber (peretas atau hacker) bernama LockBit. Bahkan, karena permintaan tebusannya tidak dituruti BSI, hacker tersebut diduga telah mempublikasikan data BSI yang dienkripsi ke dark web.

Lalu bagaimana cara kerja ransomware LockBit? Dikuti dari situs web resmi perusahaan keamanan siber Kaspersky, ransomware LockBit dianggap oleh banyak pihak berwenang sebagai bagian dari keluarga malware "LockerGoga & MegaCortex". Artinya ransomware ini memiliki perilaku yang sama dengan bentuk-bentuk ransomware yang ditargetka.

“Menyebar sendiri di dalam sebuah organisasi dan tidak membutuhkan arahan manual; ditargetkan tidak menyebar seperti malware spam; dan menggunakan alat yang serupa untuk menyebar, seperti Windows Powershell dan Server Message Block (SMB),” demikian kutip dari laman resmi Kaspersky, Rabu, 17 Mei 2023.

Namun, yang paling signifikan adalah kemampuannya untuk memperbanyak diri, yang berarti menyebar dengan sendirinya. Dalam pemrogramannya, LockBit diarahkan oleh proses otomatis yang telah dirancang sebelumnya.

Hal ini membuat ransomware LockBit unik dari banyak serangan ransomware lainnya yang didorong oleh pengintaian dan pengawasan secara manual di dalam jaringan. “Terkadang selama berminggu-minggu untuk menyelesaikan pengintaian dan pengawasan,” katanya.

Setelah penyerang secara manual menginfeksi satu sistem, malware itu dapat menemukan sistem lain yang dapat diakses. Lalu, menghubungkannya ke sistem yang terinfeksi, dan membagikan infeksi menggunakan skrip. “Ini diselesaikan dan diulang sepenuhnya tanpa campur tangan manusia.”

Selain itu, LockBit juga menggunakan alat yang merupakan pola asli dari hampir semua sistem komputer Windows. Juga menyembunyikan file enkripsi yang dapat dieksekusi dengan menyamarkannya sebagai format file gambar .PNG yang umum, yang selanjutnya menipu pertahanan sistem.

Tiga Tahapan Serangan LockBit

Serangan LockBit dapat dipahami dalam tiga tahap yaitu mengeksploitasi, menyusup, dan menyebarkan. Tahap satu itu mengeksploitasi kelemahan dalam jaringan. Pelanggaran awal terlihat mirip dengan serangan berbahaya lainnya.

Sebuah perusahaan atau organisasi dapat dieksploitasi dengan taktik rekayasa sosial seperti phishing, di mana penyerang menyamar sebagai personel atau otoritas tepercaya untuk meminta kredensial akses. Yang juga bisa dilakukan adalah penggunaan serangan brute force pada server intranet dan sistem jaringan organisasi.

“Tanpa konfigurasi jaringan yang tepat, penyelidikan serangan mungkin hanya membutuhkan waktu beberapa hari untuk menyelesaikannya,” tulis Kaspersky.

Selanjutnya: Setelah LockBit berhasil masuk ke dalam jaringan...

<!--more-->

Setelah LockBit berhasil masuk ke dalam sebuah jaringan, ransomware mempersiapkan sistem untuk melepaskan muatan enkripsinya ke setiap perangkat. Namun, penyerang mungkin harus memastikan beberapa langkah tambahan, sebelum dapat melakukan langkah terakhirnya.

Di tahap kedua, menyusup lebih dalam untuk menyelesaikan penyiapan serangan jika diperlukan. Dari titik ini, program LockBit mengarahkan semua aktivitas secara mandiri. Ini diprogram untuk menggunakan apa yang dikenal sebagai alat "post-exploitation" untuk mendapatkan hak istimewa yang meningkat untuk mencapai tingkat akses yang siap diserang.

“Ia juga mengakar melalui akses yang sudah tersedia, melalui gerakan lateral untuk memeriksa kelayakan target,” kata persusahaan keamanan siber asal Rusia itu.

Pada tahap inilah LockBit akan mengambil tindakan persiapan sebelum menerapkan bagian enkripsi ransomware. Ini termasuk menonaktifkan program keamanan dan infrastruktur lain yang memungkinkan melakukan pemulihan sistem.

Tujuan infiltrasi itu adalah untuk membuat pemulihan tanpa bantuan menjadi tidak mungkin, atau cukup lambat sehingga menyerah pada uang tebusan yang menjadi satu-satunya solusi praktis. “Ketika korban putus asa untuk mendapatkan operasional sistem kembali normal, saat itulah mereka akan membayar biaya tebusan.”

Tahap ketiga, menyebarkan muatan enkripsi. Setelah jaringan telah disiapkan untuk LockBit dimobilisasi sepenuhnya, ransomware akan memulai penyebarannya ke mesin apa pun yang dapat disentuhnya. LockBit tidak membutuhkan banyak hal untuk menyelesaikan tahap ini. Satu unit sistem dengan akses tinggi dapat mengeluarkan perintah ke unit jaringan lain untuk mengunduh LockBit dan menjalankannya.

Bagian enkripsi akan menempatkan "kunci" pada semua file sistem. Korban hanya dapat membuka kunci sistem mereka melalui kunci khusus yang dibuat oleh alat dekripsi milik LockBit. Proses ini juga meninggalkan salinan file teks catatan tebusan sederhana di setiap folder sistem.

“File tersebut memberikan instruksi kepada korban untuk memulihkan sistem mereka dan bahkan menyertakan ancaman pemerasan di beberapa versi LockBit,” ungkap Kaseprsky.

Dengan semua tahapan selesai, langkah selanjutnya diserahkan kepada korban. Korban mungkin memutuskan untuk menghubungi LockBit dan membayar uang tebusan. “Namun, mengikuti tuntutan mereka tidak disarankan. Korban tidak memiliki jaminan bahwa penyerang akan menindaklanjuti penawaran mereka.”

Pilihan Editor: Data BSI Diduga Bocor, ELSAM Minta OJK, Kominfo, dan BSSN Lakukan Langkah Ini

Ikuti berita terkini dari Tempo di Google News, klik di sini