LockBit, Geng Ransomware Pecahkan Rekor Korban Terbanyak di Dunia

Situs Infosec
Ilustrasi LockBit 3.0
Penulis: Amelia Yesidora
Editor: Sorta Tobing
16/5/2023, 17.43 WIB

Problem pembobolan data nasabah PT Bank Syariah Indonesia Tbk alias BSI kian pelik. Data yang dicuri  telah disebar kelompok peretas asal Rusia, LockBit ke dark web. Aksi tersebut seiring dengan berakhirnya masa negosiasi yang jatuh pada Selasa (16/5) pagi. 

"Kelompok Ransomware LockBit juga mempublikasikan percakapan mereka terkait negosiasi tebusan atas data curian dengan BSI. Mereka meminta uang tebusan senilai US$ 20 juta atau sekitar Rp 295.619.469.026," tulis akun Twitter perusahaan keamanan teknologi Fusion Intelligence Center, @DarkTracer, lengkap dengan foto yang diunggah pada Selasa (16/5).

Percakapan ini diduga terjadi antara dua pihak, yakni LockBit 3.0 dan BSI. Pihak BSI awalnya ingin menawarkan tebusan senilai US$ 100 ribu, namun LockBit meminta US$ 20 juta. Negosiasai dilanjutkan dengan BSI yang meminta sampel nama pengguna dan sandi yang mereka curi kemudian akan dibayar US$ 10 juta. 

Menanggapi kabar ini, Sekretaris Perusahaan BSI Gunawan A. Hartoyo kembali memastikan data dan dana nasabah dalam kondisi aman. Nasabahnya dapat bertransaksi secara normal dan aman. 

Dia juga menyatakan, BSI akan bekerja sama dengan otoritas terkait dengan isu kebocoran data. “Kami berharap nasabah tetap tenang karena kami memastikan data dan dana nasabah aman," kata Gunawan dalam keterangan pers hari ini. 

Layanan perbankan BSI berangsur pulih (ANTARA FOTO/M Risyal Hidayat/tom.)

LockBit Kelompok Ransomware Paling Aktif

Perusahaan keamanan siber SOCRadar mencatat LockBit adalah kelompok Ransomware-as-a-Service alias RaaS yang muncul pertama kali pada September 2019. Geng ini didapuk sebagai kelompok ransomware paling aktif pada 2022.

Bahkan SOCRadar mencatat ada lebih dari 1.500 pengumuman korban geng tersebut per kuartal pertama 2023. “Ini memecahkan rekor kelompok ransomware yang paling aktif sejauh ini, dengan jumlah 300 pengumuman korban,” tulis laman tersebut.

Varian terbaru yang menyerang BSI adalah LockBit 3.0, yang meneruskan legasi LockBit dan LockBit 2.0. Dikenal juga dengan nama LockBit Black, perbedaan utama dari pendahulunya adalah metode kompilasi dan eksekusi yang bisa dikustomisasi.

Teknologi ini akan sesuai dengan payload alias informasi aktual dalam data yang dikirimkan, berlawanan dengan metadata yang dihasilkan secara otomatis.

The Guardian mencatat kebanyakan kelompok ransomware beroperasi dari Eropa Timur, eks Republik Soviet, dan Rusia. “LockBit masuk dalam kategori itu,” kata Kepala Analisis Ancaman Global Darktrace, Toby Lewis. Perusahaan ini berbasis di Inggris dan bergerak di bidang keamanan siber.

Senada dengan Darktrace, SOCRadar menyebut LockBit dapat menyerang sistem bila tidak masuk dalam daftar pengecualian bahasa mereka. Daftar ini mencakup negara yang dipengaruhi Rusia atau negara-negara yang bersekutu dengan Rusia.

Namun, ada tiga bahasa lain yang masuk dalam daftar ini, yakni Bahasa Rumania, Arab, dan Tatar. “Tapi ini bukan daftar lengkapnya,” kata laman itu. 

Meski LockBit mengklaim dirinya tidak terlibat dalam politik, tapi kebanyakan targetnya adalah sekutu dan negara anggota NATO. Hingga April 2023, separuh dari penyerangannya menghantam perusahaan Amerika. Berikut daftar lengkapnya:

 

Menurut Lewis, LockBit tidak hanya mengenkripsi informasi, tapi melakukan double extortion. Mereka  mencuri data dan mengancam untuk menyebarkannya secara daring.

Seperti kebanyakan geng ransomware, LockBit meminta uang tebusan dibayar dengan mata uang kripto. Mata uang ini dipilih karena menawarkan anonimitas.

Reporter: Amelia Yesidora