LockBit Ransomware Memeras $91 Juta dari Perusahaan AS

IdNSA.id - Aktor ancaman di balik skema ransomware-as-a-service (RaaS) LockBit telah memeras $91 juta setelah ratusan serangan terhadap banyak organisasi AS sejak 2020.

Itu menurut buletin bersama yang diterbitkan oleh Badan Keamanan Infrastruktur dan Keamanan Siber (CISA) A.S., Biro Investigasi Federal (FBI), Pusat Analisis dan Berbagi Informasi Multi-Negara (MS-ISAC), dan otoritas mitra lainnya dari Australia, Kanada, Prancis, Jerman, Selandia Baru, dan Inggris.

"Ransomware-as-a-service (RaaS) LockBit menarik afiliasi untuk menggunakan LockBit untuk melakukan serangan ransomware, menghasilkan jaringan besar aktor ancaman yang tidak terhubung yang melakukan serangan yang sangat bervariasi," kata agensi tersebut.

LockBit, yang pertama kali muncul pada akhir 2019, terus mengganggu dan produktif, menargetkan sebanyak 76 korban pada Mei 2023 saja, per statistik yang dibagikan oleh Malwarebytes minggu lalu. Kartel yang terkait dengan Rusia telah mengaku bertanggung jawab atas setidaknya 1.653 serangan ransomware hingga saat ini.

Operasi kejahatan dunia maya telah menyerang beragam sektor infrastruktur penting, termasuk layanan keuangan, makanan dan pertanian, pendidikan, energi, layanan pemerintah dan darurat, perawatan kesehatan, manufaktur, dan transportasi.

LockBit telah menerima tiga peningkatan substansial sejauh ini: LockBit Red (Juni 2021), LockBit Black (Maret 2022), dan LockBit Green (Januari 2023), yang terakhir didasarkan pada kode sumber yang bocor dari geng Conti yang sekarang dibubarkan.

Strain ransomware sejak itu telah disesuaikan untuk menargetkan sistem Linux, VMware ESXi, dan Apple macOS, mengubahnya menjadi ancaman yang terus berkembang. Operasi RaaS juga terkenal karena membayar orang untuk mendapatkan tato lencananya dan melembagakan program bug bounty pertama.

Model bisnis melibatkan pengembang inti menyewakan warez mereka kepada afiliasi yang melakukan penyebaran dan pemerasan ransomware yang sebenarnya. Namun dalam twist, kelompok ini memungkinkan afiliasi untuk menerima pembayaran tebusan sebelum mengirim potongan ke kru utama.

Rantai serangan yang melibatkan LockBit telah memanfaatkan kelemahan yang baru-baru ini diungkapkan di server Fortra GoAnywhere Managed File Transfer (MFT) dan PaperCut MF / NG serta bug lain yang dikenal di perangkat Apache Log4j2, F5 BIG-IP dan BIG-IQ, dan Fortinet untuk mendapatkan akses awal.

Juga digunakan oleh afiliasi adalah lebih dari tiga lusin freeware dan alat open-source yang memungkinkan pengintaian jaringan, akses jarak jauh dan tunneling, dumping kredensial, dan eksfiltrasi file. Intrusi telah ditemukan untuk menyalahgunakan lebih lanjut perangkat lunak tim merah yang sah seperti Metasploit dan Cobalt Strike.

"LockBit telah berhasil melalui inovasi dan pengembangan terus-menerus dari panel administratif grup (yaitu, antarmuka point-and-click yang disederhanakan membuat penyebaran ransomware dapat diakses oleh mereka yang memiliki tingkat keterampilan teknis yang lebih rendah), fungsi pendukung afiliasi, dan revisi TTP yang konstan," kata agensi.

Perkembangan ini terjadi ketika CISA mengeluarkan Binding Operational Directive 23-02, menginstruksikan agen-agen federal untuk mengamankan perangkat jaringan seperti firewall, router, dan switch yang terpapar ke internet publik dalam waktu 14 hari setelah penemuan dan mengambil langkah-langkah untuk meminimalkan permukaan serangan.

"Terlalu sering, pelaku ancaman dapat menggunakan perangkat jaringan untuk mendapatkan akses tidak terbatas ke jaringan organisasi, yang pada gilirannya mengarah pada kompromi skala penuh," kata Direktur CISA, Jen Easterly. "Membutuhkan kontrol dan mitigasi yang tepat [...] adalah langkah penting dalam mengurangi risiko bagi perusahaan sipil federal."

Perkembangan ini juga mengikuti penasihat baru yang menyoroti ancaman terhadap implementasi Baseboard Management Controller (BMC) yang berpotensi memungkinkan pelaku ancaman untuk membangun "tempat berpijak dengan potensi eksekusi pra-boot."

"Kredensial yang diperkuat, pembaruan firmware, dan opsi segmentasi jaringan sering diabaikan, yang mengarah ke BMC yang rentan," CISA dan Badan Keamanan Nasional AS (NSA) mencatat dalam peringatan bersama.

"Selain itu, aktor jahat dapat menonaktifkan solusi keamanan seperti trusted platform module (TPM) atau UEFI secure boot, memanipulasi data pada media penyimpanan yang terpasang, atau menyebarkan implan atau instruksi yang mengganggu di seluruh infrastruktur jaringan."