GEGER!! Ransomware LockBit 2.0 Kampanye Rekrut Orang Dalam

Kejahatan siber memiliki banyak wajah, mereka mempunyai beragam bentuk dan rupa, wajah-wajah yang tidak dikenali sampai wajah yang dikenali tapi tak pernah disadari. Wajah yang akrab tapi kadang membawa pisau di belakang punggung, begitu lengah langsung mereka hujamkan ke tubuh dan membunuh.

Wajah seperti itu adalah wajah insider, wajah orang dalam, mereka adalah musuh dalam selimut, musuh yang paling berbahaya, paling mematikan dan paling menyakitkan. Mereka bisa siapa saja, orang yang tidak kalian duga-duga. Kejahatan orang dalam memang tidak sembarangan, dan kejahatan itu kini tengah di mobilisasi secara besar-besaran.

Para penjahat siber mencari para pengkhianat yang mau melacurkan dirinya demi pundi-pundi uang. Dengan harga pas, siapa saja bisa diperalat, ada ujar-ujar didunia kejahatan yang mengatakan “setiap orang pasti punya harganya sendiri”. Dan harga ini kini sedang ditawarkan di dunia maya, jumlah uang yang wah, yang bisa menggetarkan hati siapa pun.

Metode baru

Metode baru ini sedang dikampanyekan oleh Geng ransomware LockBit 2.0 yang secara aktif merekrut orang dalam perusahaan untuk membantu mereka menembus dan mengenkripsi jaringan. Sebagai imbalannya, orang dalam itu dijanjikan pembayaran jutaan dolar.

Banyak geng ransomware beroperasi sebagai Ransomware-as-a-Service, yang terdiri dari kelompok inti pengembang malware, yang memelihara ransomware dan situs pembayaran, dan yang lain adalah afiliasi yang mau membobol jaringan target dan mengenkripsi perangkat.

Setiap pembayaran tebusan yang dilakukan korban kemudian dibagi antara kelompok inti dan afiliasi, dengan afiliasi biasanya menerima 70-80% dari jumlah total.

Namun, dalam banyak kasus, afiliasi membeli akses ke jaringan dari pentester pihak ketiga lain daripada melanggar perusahaan itu sendiri.

Dengan LockBit 2.0, geng ransomware mencoba menghapus perantara dan merekrut orang dalam untuk memberi mereka akses ke jaringan perusahaan.

Janji jutaan dolar untuk insider

Pada bulan Juni, operasi ransomware LockBit mengumumkan peluncuran ransomware-as-a-service LockBit 2.0, sebuah layanan ransomware berafiliasi baru untuk merekrut para insider.

Peluncuran ulang ini mencakup situs Tor yang didesain ulang dan berbagai fitur lanjutan, termasuk mengenkripsi perangkat secara otomatis di jaringan melalui kebijakan grup.

Dengan peluncuran ulang ini, LockBit juga telah mengubah wallpaper Windows yang ditempatkan pada perangkat terenkripsi untuk menawarkan “jutaan dolar” bagi orang dalam perusahaan yang menyediakan akses ke jaringan tempat mereka memiliki akun.

Wallpaper menjelaskan bahwa LockBit sedang mencari RDP, VPN, kredensial email perusahaan yang kemudian dapat mereka gunakan untuk mendapatkan akses ke jaringan.

Geng ransomware juga mengatakan bahwa mereka akan mengirim “virus” kepada orang dalam yang harus dieksekusi di komputer, kemungkinan akan memberikan akses jarak jauh geng ransomware tersebut ke jaringan.

Berikut bunyi wallpaper tersebut

“Apakah Anda ingin mendapatkan jutaan dolar?

Perusahaan kami memperoleh akses ke jaringan berbagai perusahaan, serta informasi orang dalam yang dapat membantu Anda mencuri data paling berharga dari perusahaan mana pun.

Anda dapat memberikan kami data akuntansi untuk akses ke perusahaan mana pun, misalnya, login dan kata sandi ke RDP, VPN, email perusahaan, dll. Buka surat kami di email Anda. Luncurkan virus yang disediakan di komputer mana pun di perusahaan Anda.

Perusahaan membayar kami penyitaan untuk dekripsi file dan pencegahan kebocoran data.

Anda dapat berkomunikasi dengan kami melalui Tox messenger

https://tox.chat/download.html

Menggunakan Tox messenger, kami tidak akan pernah tahu nama asli Anda, artinya privasi Anda terjamin.

Jika Anda ingin menghubungi kami, gunakan ToxID: xxxx”

Jika melihat pesan ini, tampaknya pelaku bukan mengincar untuk merekrut orang dalam untuk meminta mereka membobol jaringan perusahaannya. Namun, pesan ini kemungkinan menargetkan konsultan TI eksternal yang mungkin melihat pesan saat merespons serangan.

Dan trik serangan ini bukan pertama kalinya dilakukan, sebelumnya ada kasus dimana pelaku berusaha merekrut seorang karyawan untuk mengenkripsi jaringan perusahaan mereka. Pada Agustus 2020, FBI menangkap seorang warga negara Rusia karena mencoba merekrut seorang karyawan Tesla untuk menanam malware di jaringan Tesla’s Nevada Gigafactory.

Menangkal Insider

Serigala berbulu domba sepertinya pantas disandangkan untuk insider atau orang dalam, masalahnya menghadapi mahluk seperti ini tidaklah mudah, mereka biasanya membungkus dirinya begitu dalam, sehingga sulit untuk dicurigai.

Meski demikian, bukan berarti tidak mungkin untuk menangkal modus serangan semacam ini. Salah satu ESET Technology Alliance, Safetica merupakan teknologi dalam Data Leak Prevention atau DLP bisa menjadi solusinya.

Data Leak Prevention (DLP) adalah serangkaian teknologi yang bertujuan untuk menghentikan hilangnya informasi sensitif yang sering terjadi di perusahaan-perusahaan di seluruh dunia. Dengan fokus pada lokasi, klasifikasi dan monitoring informasi saat disimpan, digunakan dan dalam pergerakan, solusi ini dapat bereaksi sesuai dengan kebutuhan perusahaan.

DLP adalah strategi untuk memastikan bahwa end user tidak mengirim informasi sensitif dan penting keluar dari jaringan perusahaan. Software ini membantu kontrol administrator jaringan menentukan data apa yang boleh ditransfer oleh user.

Adopsi DLP didorong karena kekuatiran ancaman insider dan hukum privasi yang semakin ketat, sehingga proteksi data dan akses komponen semakin dibuat lebih kuat. Dalam hal untuk mampu memantau dan mengontrol semua aktivitas endpoint, Safetica juga bisa digunakan untuk menyaring data stream pada jaringan perusahaan dan melindungi data dalam pergerakan.

Jadi jelas DLP adalah solusi yang hanya bertujuan untuk mencegah pembobolan data dari penyusup. kemampuannya mencegah kebocoran data melebihi tool lain yang sudah ada.