Setelah LockBit berhasil masuk ke dalam sebuah jaringan, ransomware mempersiapkan sistem untuk melepaskan muatan enkripsinya ke setiap perangkat. Namun, penyerang mungkin harus memastikan beberapa langkah tambahan, sebelum dapat melakukan langkah terakhirnya.
Di tahap kedua, menyusup lebih dalam untuk menyelesaikan penyiapan serangan jika diperlukan. Dari titik ini, program LockBit mengarahkan semua aktivitas secara mandiri. Ini diprogram untuk menggunakan apa yang dikenal sebagai alat "post-exploitation" untuk mendapatkan hak istimewa yang meningkat untuk mencapai tingkat akses yang siap diserang.
“Ia juga mengakar melalui akses yang sudah tersedia, melalui gerakan lateral untuk memeriksa kelayakan target,” kata persusahaan keamanan siber asal Rusia itu.
Pada tahap inilah LockBit akan mengambil tindakan persiapan sebelum menerapkan bagian enkripsi ransomware. Ini termasuk menonaktifkan program keamanan dan infrastruktur lain yang memungkinkan melakukan pemulihan sistem.
Tujuan infiltrasi itu adalah untuk membuat pemulihan tanpa bantuan menjadi tidak mungkin, atau cukup lambat sehingga menyerah pada uang tebusan yang menjadi satu-satunya solusi praktis. “Ketika korban putus asa untuk mendapatkan operasional sistem kembali normal, saat itulah mereka akan membayar biaya tebusan.”
Tahap ketiga, menyebarkan muatan enkripsi. Setelah jaringan telah disiapkan untuk LockBit dimobilisasi sepenuhnya, ransomware akan memulai penyebarannya ke mesin apa pun yang dapat disentuhnya. LockBit tidak membutuhkan banyak hal untuk menyelesaikan tahap ini. Satu unit sistem dengan akses tinggi dapat mengeluarkan perintah ke unit jaringan lain untuk mengunduh LockBit dan menjalankannya.
Bagian enkripsi akan menempatkan "kunci" pada semua file sistem. Korban hanya dapat membuka kunci sistem mereka melalui kunci khusus yang dibuat oleh alat dekripsi milik LockBit. Proses ini juga meninggalkan salinan file teks catatan tebusan sederhana di setiap folder sistem.
“File tersebut memberikan instruksi kepada korban untuk memulihkan sistem mereka dan bahkan menyertakan ancaman pemerasan di beberapa versi LockBit,” ungkap Kaseprsky.
Dengan semua tahapan selesai, langkah selanjutnya diserahkan kepada korban. Korban mungkin memutuskan untuk menghubungi LockBit dan membayar uang tebusan. “Namun, mengikuti tuntutan mereka tidak disarankan. Korban tidak memiliki jaminan bahwa penyerang akan menindaklanjuti penawaran mereka.”
Pilihan Editor: Data BSI Diduga Bocor, ELSAM Minta OJK, Kominfo, dan BSSN Lakukan Langkah Ini
Ikuti berita terkini dari Tempo di Google News, klik di sini