Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for LockBit

LockBit

U.S. and International Partners Release Comprehensive Cyber Advisory on LockBit Ransomware ubah ke bahasa indonesia ChatGPT Amerika Serikat dan Mitra Internasional Merilis Panduan Komprehensif tentang Ransomware LockBit.

by

Cybersecurity and Infrastructure Security Agency (CISA) Amerika Serikat, Federal Bureau of Investigation (FBI), Multi-State Information Sharing and Analysis Center (MS-ISAC), dan otoritas keamanan Siber dari Australia, Kanada, Inggris Raya, Jerman, Prancis, dan Selandia Baru (CERT NZ, NCSC-NZ) hari ini menerbitkan Panduan Keamanan Siber bersama yang berjudul Understanding Ransomware Threat Actors: LockBit.

Panduan bersama ini merupakan sumber daya komprehensif yang mencakup alat-alat umum, eksploitasi, serta taktik, teknik, dan prosedur (TTP) yang digunakan oleh afiliasi LockBit, beserta mitigasi yang direkomendasikan bagi organisasi untuk mengurangi kemungkinan dan dampak insiden ransomware di masa depan.

Pelaku ancaman yang menggunakan LockBit, Ransomware-as-a-Service (RaaS) yang paling banyak digunakan dan prolifik secara global pada tahun 2022 dan 2023, telah menyerang organisasi dengan berbagai ukuran di berbagai sektor infrastruktur kritis. Untuk membantu organisasi memahami dan membela diri dari ancaman global ini dan jumlah afiliasi LockBit yang tidak terhubung satu sama lain, panduan ini mencakup:

  • Daftar sekitar 30 alat perangkat lunak gratis dan open source yang digunakan oleh pelaku LockBit,
  • Lebih dari 40 TTP mereka yang dipetakan ke MITRE ATT&CK,
  • Kerentanan dan eksposur umum yang diamati (CVE) yang digunakan untuk eksploitasi,
  • Evolusi LockBit RaaS bersama dengan tren dan statistik global, dan
  • Sumber daya dan layanan yang tersedia dari lembaga penyusun dan mitigasi yang direkomendasikan untuk membantu melindungi dari aktivitas LockBit di seluruh dunia.

Selengkapnya: CISA

Peneliti keamanan menemukan ransomware LockBit dapat menargetkan perangkat macOS

by

Salah satu geng ransomware paling terkenal tampaknya baru-baru ini mulai menargetkan komputer Mac untuk pertama kalinya. Dalam serangkaian tweet yang ditemukan oleh 9to5Mac, sekelompok peneliti keamanan yang dikenal sebagai MalwareHunterTeam mengatakan pada hari Sabtu bahwa mereka baru-baru ini menemukan bukti build ransomware Lockbit yang dirancang untuk mengkompromikan perangkat macOS.

Sejauh yang diketahui grup, pengumuman hari Sabtu menandai pemberitahuan publik pertama bahwa ransomware Lockbit dapat digunakan untuk melawan komputer Apple, meskipun tampaknya geng tersebut telah menawarkan kemampuan itu sejak musim gugur yang lalu.

“Saya pikir ini adalah pertama kalinya salah satu pemain ransomware utama membidik OS Apple,” kata analis keamanan Brett Callow, menunjuk pada pentingnya pengungkapan tersebut. Sebagai catatan 9to5Mac, geng LockBit secara historis berfokus pada Windows, Linux, dan mesin host virtual. Alasannya karena sistem operasi tersebut banyak digunakan oleh bisnis yang menjadi target mitra grup.

Bagi mereka yang tidak tahu, geng Lockbit menjalankan apa yang dikenal sebagai operasi “ransomware-as-a-service”. Grup tersebut tidak secara langsung melibatkan diri dalam bisnis pengambilan uang tebusan dari bisnis. Apa yang dilakukannya adalah membangun dan mempertahankan afiliasi malware yang dapat membayar untuk digunakan melawan organisasi.

Menurut dakwaan Departemen Kehakiman AS yang dibuka pada musim gugur lalu, LockBit adalah “salah satu varian ransomware paling aktif dan merusak di dunia.” Hingga akhir 2022, perangkat lunak tersebut telah menginfeksi sistem komputer dari setidaknya 1.000 korban, termasuk Hotel Holiday Inn di Turki.Diyakini mitra geng tersebut telah mengklaim puluhan juta dolar dari para korban.

Selengkapnya: engadget

LockBit Membual: Kami akan Membocorkan Ribuan Blueprint SpaceX yang Dicuri dari Pemasok

by

Geng Ransomware Lockbit telah menyombongkannya masuk ke Industri Maksimum, yang membuat suku cadang untuk SpaceX, dan mencuri 3.000 skema berpemilik yang dikembangkan oleh pembuat roket Elon Musk.

Kru kejahatan siber yang produktif juga mengejek supremo SpaceX dan mengancam akan membocorkan atau menjual blueprint mulai 20 Maret jika tuntutan geng untuk membayar tidak dipenuhi. Ini mungkin tagihan yang tidak dapat dihindari Musk.

Klaim SpaceX mengikuti beberapa lainnya oleh penjahat yang berafiliasi dengan LockBit, yang tidak selalu merupakan kelompok paling jujur ​​tentang apa yang telah mereka curi.

Bulan lalu, kelompok penjahat yang sama mengklaim telah menyusup ke perusahaan teknologi keuangan ION dan mengancam akan menerbitkan data curian pada 4 Februari jika penyedia perangkat lunak tidak membayar.

LockBit mengkonfirmasi jika uang tebusan telah dibayarkan, namun mereka tidak memberikan bukti apa pun dan ION menolak berkomentar.

Royal Mail di Inggris, tersangka korban LockBit lainnya, melanjutkan pengiriman internasional pada bulan Februari setelah mengkonfirmasi “insiden siber” sebulan sebelumnya.

Pada akhirnya, pembuat malware tampak menyerah untuk mendapatkan uang tebusan yang mereka minta dari Royal Mail sebelum menerbitkan beberapa file yang mereka klaim berasal dari jarahan yang dicuri.

Selengkapnya: The Register

LockBit Merilis seluruh Riwayat Negosiasi dengan Royal Mail, Tebusan Ditetapkan £65 Juta

by

Kebocoran tersebut menawarkan wawasan yang langka dan unik tentang taktik negosiasi LockBit dan NCSC Inggris, mengungkapkan permintaan uang tebusan sebesar $80 juta (£65,7 juta).

Negosiasi berlangsung pada 12 Januari hingga 9 Februari. Transkrip lengkap negosiasi juga menawarkan jendela ke taktik negosiasi Pusat Keamanan Siber Nasional (NCSC) dan Badan Kejahatan Nasional (NCA), yang keduanya dipastikan terlibat dalam penyelidikan.

Negosiator penjahat siber menyoroti bagaimana ini delapan kali lebih murah daripada biaya denda peraturan di Inggris.

Royal Mail International sejak awal negosiasi mencoba mendapatkan LockBit untuk membuktikan bahwa decryptornya bekerja pada file besar setelah mengatakan bahwa manajemen organisasi tidak yakin akan melakukannya, dan hanya akan mendekripsi file kecil jika akhirnya membayar.

Taktik pertama yang dicobanya adalah meyakinkan LockBit untuk mendekripsi dua file yang bersama-sama akan menjadi ukuran file 6GB.

Royal Mail International mengatakan kedua file tersebut akan memungkinkan untuk melanjutkan pengiriman pasokan medis yang mendesak.

Melalui negosiasi yang panjang, pada akhirnya LockBit mengirimkan pesan terakhirnya “Apakah Anda punya penawaran untuk saya” pada 9 Februari.

Tampaknya Royal Mail International tidak membayar, atau pernah mempertimbangkan untuk membayar uang tebusan, yang ditetapkan oleh LockBit.

LockBit telah dikenal karena ‘aksi PR’ di masa lalu, sebelumnya mengklaim serangan terhadap Mandiant dan Thales, yang keduanya tidak asli.

Mengonfirmasi “insiden siber”, Royal Mail awalnya mengatakan operasi pengiriman internasionalnya sangat terganggu.

Royal Mail tidak pernah mengonfirmasi bahwa insiden siber yang dideritanya bersifat ransomware atau bahkan ‘serangan’, meskipun sumber berbicara ke beberapa outlet berita yang mengonfirmasi bahwa memang demikian.

Pusat Keamanan Siber Nasional (NCSC) dan Badan Kejahatan Nasional (NCA) mengonfirmasi bahwa mereka adalah bagian dari penyelidikan atas serangan tersebut.

Selengkapnya: ITPro.

Dragos: Serangan Ransomware pada Infrastruktur Industri Meningkat 2x Lipat pada Tahun 2022

by

Dragos melacak lebih dari 600 serangan ransomware tahun lalu yang mempengaruhi infrastruktur industri dengan hampir tiga perempatnya menargetkan sektor manufaktur.

Berbagai macam sektor yang terkena Serangan Ransomware
Berbagai macam sektor yang terkena Serangan Ransomware

Terdapat peningkatan 35% dalam upaya ransomware melawan teknologi operasional (OT) dan sistem kontrol industri (ICS) dalam serangan tersebut.

Sejumlah 437 entitas manufaktur terkena ransomware, termasuk 42 serangan terhadap perusahaan produk logam, 37 pada bisnis otomotif dan lebih dari 20 pada plastik, peralatan industri, bahan bangunan dan perusahaan elektronik atau semikonduktor.

Daftar lainnya mencakup serangan terhadap perusahaan yang bergerak di bidang kedirgantaraan, furnitur, kosmetik, bahan kimia, pakaian, peralatan medis, kertas, dan lainnya.
gambar-Serangan Ransomware?

Dominasi LockBit
LockBit menjadi dominan karena merupakan grup RaaS terkemuka yang menyediakan software kepada operator yang meluncurkan serangan sebenarnya dengan imbalan sebagian dari uang tebusan.
gambar

Dragos menilai dengan keyakinan moderat bahwa LockBit 3.0 akan terus menargetkan organisasi industri dan akan menimbulkan ancaman bagi operasi industri hingga tahun 2023.
Grup insiden Ransomware

Terdapat peningkatan tajam dalam jumlah kerentanan dan masalah teknis yang ditemukan oleh perusahaan keamanan seperti Dragos bersamaan dengan evolusinya beberapa grup ransomware.

Menurut Dragos, kemungkinan ransomware akan terus mengganggu operasi industri, baik melalui lingkungan OT yang salah kelola yang memungkinkan ransomware menyebar atau melalui penghentian pencegahan lingkungan tersebut untuk mencegah ransomware mencapai sistem tersebut.

Selengkapnya: The Record

Geng Ransomware LockBit Mengklaim Serangan Cyber Royal Mail

by

Operasi ransomware LockBit telah mengklaim cyberattack pada layanan pengiriman surat terkemuka di Inggris, Royal Mail, yang memaksa perusahaan untuk menghentikan layanan pengiriman internasionalnya karena “gangguan layanan yang parah”

Ini terjadi setelah LockBitSupport, perwakilan publik geng ransomware, sebelumnya memberi tahu BleepingComputer bahwa grup cybercrime LockBit tidak menyerang Royal Mail.

Sebaliknya, mereka menyalahkan pelaku penyerabgan lain yang menggunakan pembuat ransomware LockBit 3.0 yang bocor di Twitter pada September 2022.

LockBitSupp gagal menjelaskan mengapa catatan tebusan Royal Mail yang dicetak yang dilihat oleh BleepingComputer menyertakan tautan ke situs negosiasi Tor dan kebocoran data LockBit daripada yang dioperasikan oleh aktor ancaman lain.

Lockbit Black ransom note printer during the attack on Royal Mail (Daniel Card)

Royal Mail belum mengakui bahwa itu berurusan dengan serangan ransomware yang kemungkinan dapat menyebabkan pelanggaran data karena operator ransomware LockBit dikenal mencuri data dan membocorkannya secara online jika permintaan tebusan mereka tidak dipenuhi.

Untuk saat ini, perusahaan tersebut masih menggambarkan serangan tersebut sebagai “insiden dunia maya” dan mengatakan bahwa mereka telah memulihkan beberapa layanan yang terkena dampak serangan tersebut.

sumber : bleepingcomputer

Serangan Ransomware pada ION Group Berdampak pada Pasar Perdagangan Derivatif

by

Pada 31 Januari 2023, perusahaan tersebut mengungkapkan insiden tersebut dalam sebuah pernyataan singkat yang mengatakan bahwa hal itu berdampak pada ION Cleared Derivatives, sebuah divisi dari ION Markets.

“ION Cleared Derivatives, sebuah divisi dari ION Markets, mengalami peristiwa keamanan siber yang dimulai pada 31 Januari 2023 yang memengaruhi beberapa layanannya,” perusahaan tersebut.

Namun, serangan tersebut memiliki dampak yang lebih dalam karena pelanggan besar yang menggunakan layanan ION Group di Amerika Serikat dan Eropa terpaksa beralih ke pemrosesan perdagangan secara manual, menyebabkan penundaan yang signifikan.

Organisasi perdagangan global FIA telah menerbitkan pernyataan tentang masalah yang muncul, mengatakan sedang bekerja dengan anggota yang terkena dampak untuk menilai situasi.\

Jika pelaku ransomware menyimpan data apa pun dari ION Group, membocorkannya ke publik dapat mengungkap informasi sensitif investor besar, menyebabkan kerusakan signifikan pada mereka dan organisasi mereka.

BleepingComputer telah menghubungi ION Group untuk meminta perincian lebih lanjut tentang temuan penyelidikan internal mereka dan apakah klaim LockBit benar, dan kami akan memperbarui cerita ini segera setelah kami menerima tanggapan.

sumber : bleepingcomputer

Geng Ransomware Meminta Maaf, Memberikan Rumah Sakit SickKids Decryptor Gratis

by

Geng ransomware LockBit telah merilis decryptor gratis untuk Rumah Sakit Anak SickKids, mengatakan salah satu anggotanya melanggar aturan dengan menyerang organisasi perawatan kesehatan.

Rumah Sakit Anak, SickKids mendapatkan serangan ransomware pada tanggal 18 Desember, yang berdampak pada sistem internal dan perusahaan, saluran telepon rumah sakit, dan situs web.

Geng LockBit Meminta Maaf Atas Serangan
Dua hari setelah pemberitaan SickKids diumumkan, geng ransomware LockBit meminta maaf atas serangan di rumah sakit dan merilis decryptor secara gratis. Geng ransomware juga akan memblokir anggotanya yang melanggar aturan dan tidak lagi termasuk dalam program afiliasinya.

BleepingComputer telah mengonfirmasi bahwa file ini tersedia secara gratis dan diklaim sebagai dekripsi Linux/VMware ESXi. Karena tidak ada dekripsi Windows tambahan, ini menunjukkan bahwa penyerang hanya dapat mengenkripsi mesin virtual di jaringan rumah sakit.

Permintaan maaf kepada SickKids di situs kebocoran data LockBit (BleepingComputer)

Operasi LockBit berjalan sebagai Ransomware-as-a-Service, di mana operator memelihara enkripsi dan situs web, dan afiliasi operasi, atau anggota, melanggar jaringan korban, mencuri data, dan mengenkripsi perangkat. Operator LockBit menyimpan sekitar 20% dari semua pembayaran tebusan dan sisanya masuk ke afiliasi.

LockBit memiliki riwayat mengenkripsi rumah sakit dan tidak menyediakan enkripsi. Seperti terjadinya serangan terhadap rumah sakit Prancis menyebabkan pasien dirujuk ke pusat medis lain dan penundaan operasi, yang dapat menimbulkan risiko yang signifikan bagi pasien.

BleepingComputer telah menghubungi LockBit pada saat itu untuk memahami mengapa mereka menuntut uang tebusan dari CHSF, meskipun itu bertentangan dengan kebijakan, tetapi tidak pernah mendapat tanggapan.

Ini bukan pertama kalinya geng ransomware menyediakan decryptor gratis untuk organisasi layanan kesehatan.

Pada Mei 2021, operasi Conti Ransomware menyediakan decryptor gratis untuk layanan kesehatan nasional Irlandia, HSE, setelah menghadapi tekanan yang meningkat dari penegakan hukum internasional.

Selengkapnya: BleepingComputer