LockBit menyerang server Windows Domain di Vietnam

Para pakar keamanan mengatakan malware tersebut telah membuat banyak perbaikan yang lebih canggih, baik dalam skrip enkripsinya maupun dalam metode penyebarannya, yang mampu menerobos solusi keamanan konvensional.

Dalam 2 bulan terakhir, para ahli Bkav terus-menerus menerima permintaan bantuan dari banyak bisnis di Vietnam dengan situasi umum bahwa semua komputer di jaringan internal dienkripsi secara bersamaan, dan data tidak dapat disimpan.

Hasil investigasi dan analisis dari banyak kasus menunjukkan bahwa pelaku enkripsi data adalah LockBit 3.0, juga dikenal sebagai LockBit Black, sebuah ransomware milik kelompok peretas terkenal, yang baru-baru ini dihancurkan oleh Aliansi Kepolisian Internasional (termasuk Badan Kejahatan Nasional Inggris - NCA, Biro Investigasi Federal AS - FBI dan Badan Kepolisian Uni Eropa - Europol).

LockBit Black memiliki penyempurnaan yang lebih canggih dibandingkan varian sebelumnya. Varian ini dirancang khusus untuk menargetkan server manajemen Domain Windows di sistem internal. Setelah menyusup, virus menggunakan server ini untuk terus menyebar ke seluruh sistem, menonaktifkan solusi keamanan (menonaktifkan antivirus, firewall), menyalin, dan mengeksekusi kode berbahaya... Dengan cara ini, virus dapat mengenkripsi semua mesin di sistem internal secara bersamaan tanpa harus menyerang setiap mesin seperti sebelumnya.

LockBit Black tidak hanya mengubah metode dan targetnya, tetapi juga memiliki skenario enkripsi data yang lebih berbahaya. Alih-alih mengenkripsi data secara langsung saat diluncurkan, virus ini meningkatkan hak akses, lalu melewati UAC, dan akhirnya me-reboot komputer korban ke Safe Mode (mode di mana hanya sistem dan beberapa aplikasi yang diluncurkan) dan melakukan enkripsi data dalam mode ini. Dengan cara ini, malware dapat melewati solusi keamanan konvensional.

Untuk menghindari serangan LockBit dan virus enkripsi data lainnya, para ahli Bkav menyarankan agar pengguna dan administrator sistem perlu:

• Cadangkan data penting secara teratur.
  
• Jangan membuka port layanan internal ke internet jika tidak diperlukan.
  
• Mengevaluasi keamanan layanan sebelum membukanya ke internet.
  
• Instal perangkat lunak antivirus yang cukup kuat untuk perlindungan yang konstan.