LockBit adalah ransomware-as-a-service aktif(RaaS, organisasi Ransomware-as-a-Service) yang pertama kali muncul pada September 2019. Karena versi awal menambahkan sufiks ".abcd" saat mengenkripsi file, ini disebut sebagai "Ransomware ABCD". Kelompok ini dikenal karena teknologi yang matang, otomatisasi tinggi, dan efisiensi pemerasan yang tinggi, telah melancarkan banyak serangan di seluruh dunia terhadap perusahaan, pemerintah, pendidikan, dan lembaga kesehatan, dan telah diidentifikasi oleh beberapa lembaga keamanan negara sebagai ancaman berkelanjutan tingkat tinggi(APT). Kami telah mengungkapkan tentang organisasi ini tahun lalu.
Teknologi LockBit terus berinovasi, menghasilkan beberapa versi:
LockBit 1.0 (2019): dengan sufiks terenkripsi ".abcd" sebagai ciri, mendukung platform Windows, menggunakan algoritma RSA + AES untuk enkripsi, kecepatan eksekusi cepat;
LockBit 2.0 (2021): Memperkenalkan kemampuan penyebaran otomatis, meningkatkan efisiensi pemerasan;
LockBit 3.0 / LockBit Black (2022): desain modular, memiliki kemampuan anti-analisis yang kuat, dan juga pertama kali meluncurkan program bug bounty, memberikan hadiah kepada peneliti keamanan eksternal untuk menguji ransomware;
LockBit Green (versi 2023 yang dirumorkan): diduga mengintegrasikan sebagian kode dari kelompok ransomware Conti yang telah dibubarkan.
Sebagai contoh khas dari model RaaS, LockBit menyediakan toolkit ransomware melalui pengembang inti, menarik "(Affiliates) penerima waralaba" untuk bertanggung jawab atas serangan, infiltrasi, dan penyebaran tertentu, dan memberi insentif kerja sama melalui pembagian tebusan, yang dapat dibagikan oleh 70% untuk penyerang rata-rata. Selain itu, taktik "pemerasan ganda" sangat menindas: di satu sisi, ia mengenkripsi file, dan di sisi lain, mencuri data dan mengancam untuk mempublikasikannya, dan jika korban menolak untuk membayar uang tebusan, data tersebut akan digantung di situs kebocoran eksklusifnya.
Dari segi teknis, LockBit mendukung sistem Windows dan Linux, menggunakan teknologi enkripsi multithreading dan set instruksi AES-NI untuk mencapai enkripsi berkinerja tinggi, memiliki kemampuan pergerakan lateral di dalam jaringan (seperti menggunakan PSExec, RDP brute force, dll.), dan sebelum enkripsi, secara aktif akan menutup database, menghapus cadangan, dan layanan penting lainnya.
Serangan LockBit biasanya sangat sistematis dan memiliki ciri-ciri APT yang khas. Rantai serangan secara umum adalah sebagai berikut:
Akses Awal (Email Phishing, Eksploitasi Kerentanan, Kata Sandi RDP Lemah)
Mengungkapkan informasi ke situs kebocoran (jika belum dibayar)
Selama periode aktifnya, LockBit telah menyebabkan beberapa kejadian heboh:
Serangan pada tahun 2022 terhadap Kantor Pajak Italia, mempengaruhi data jutaan wajib pajak;
Pernah mengklaim meretas Rumah Sakit SickKids di Kanada, kemudian meminta maaf dan menyediakan dekripsi;
Beberapa produsen (seperti perusahaan pertahanan dan perangkat medis) terkena enkripsi LockBit;
Pada kuartal kedua tahun 2022, lebih dari 40% dari serangan ransomware di seluruh dunia;
Total dampak lebih dari 1000 perusahaan, jauh lebih tinggi daripada kelompok lama seperti Conti, REvil, dan lainnya;
Tingkat keberhasilan pemerasan sangat tinggi, pada tahun 2022 lebih dari setengah dari tebusan sebesar 100 juta dolar yang diajukan berhasil didapat.
Namun, meskipun kuat seperti LockBit, mereka tidak tanpa cela. Pada 19 Februari 2024, situs web LockBit disita dalam operasi penegakan hukum gabungan oleh Badan Kejahatan Nasional Inggris, FBI, Europol, dan Interpol, di mana beberapa anggota LockBit ditangkap atau dicari, tetapi tim pengembang inti masih belum sepenuhnya hancur, dan sebagian sampel masih beredar di dark web, digunakan oleh kelompok cabang.
Kejadian mendadak: Situs LockBit diretas
Hari ini, SlowMist( menerima informasi: situs onion LockBit telah diretas, penyerang tidak hanya mengambil alih panel kontrolnya, tetapi juga merilis file paket yang berisi database, tindakan ini menyebabkan database LockBit bocor, termasuk alamat bitcoin, kunci pribadi, catatan obrolan, serta informasi sensitif lainnya terkait perusahaan.
Lebih dramatis, para hacker meninggalkan kalimat yang penuh makna di situs yang telah dimanipulasi: "Jangan berbuat jahat, berbuat jahat itu buruk, dari Praha."
Tidak lama kemudian, data terkait diunggah ke platform seperti GitHub dan dengan cepat menyebar.
LockBitSupp: Hanya panel kontrol ringan yang memiliki kode otorisasi yang diserang, tidak ada dekriptor yang dicuri, dan tidak ada data perusahaan yang terpengaruh.
Rey: Ya, tapi ini berarti alamat bitcoin, isi percakapan, dan kunci telah bocor... Ini juga akan mempengaruhi reputasi, bukan?
Rey: Apakah Locker Builder (Pembangun Locker) atau kode sumber telah dicuri?
Rey: Apakah kalian akan kembali online bekerja? Jika iya, berapa lama waktu yang dibutuhkan?
LockBitSupp: Hanya alamat Bitcoin dan konten percakapan yang dicuri, tidak ada dekripsi yang dicuri. Ya, ini memang mempengaruhi reputasi, tetapi pemulihan dan peluncuran kembali juga akan mempengaruhi reputasi. Kode sumber tidak dicuri. Kami sudah mulai bekerja untuk pemulihan.
Rey: Baiklah, semoga kalian beruntung. Terima kasih atas jawabanmu.
) analisis kebocoran
SlowMist### pada waktu pertama telah mengunduh dokumen kebocoran terkait (hanya untuk tujuan penelitian internal, cadangan telah dihapus tepat waktu). Kami telah melakukan analisis awal terhadap struktur direktori, file kode, dan konten basis data, mencoba untuk merekonstruksi arsitektur platform operasi internal LockBit dan komponen fungsinya.
Dari struktur direktori, ini terlihat seperti platform manajemen korban LockBit yang ditulis dengan arsitektur PHP yang ringan.
Analisis Struktur Direktori:
api/、ajax/、services/、models/、workers/ menunjukkan bahwa proyek memiliki modulasi tertentu, tetapi tidak sesuai dengan struktur yang disepakati dalam kerangka kerja seperti Laravel (misalnya app/Http/Controllers);
DB.php, prodDB.php, autoload.php, functions.php menunjukkan bahwa pengelolaan basis data dan fungsi dilakukan secara manual;
vendor/ + composer.json menggunakan Composer, yang menunjukkan kemungkinan telah menggunakan pustaka pihak ketiga, tetapi seluruh kerangka kerja mungkin ditulis sendiri;
nama folder seperti victim/ dan notifications-host/ terlihat mencurigakan (terutama dalam penelitian keamanan).
Jadi kita menduga mungkin hacker yang berasal dari "Prague" ini seharusnya menggunakan PHP 0 day atau 1 day untuk menyelesaikan situs web dan konsol.
Konsol manajemen adalah sebagai berikut:
Beberapa informasi komunikasi obrolan:
Mari kita lihat informasi yang dilingkari dengan kotak merah: CEO korban dari co ... coinbase? Membayar uang tebusan?
Sementara itu, database yang bocor juga melibatkan sekitar 60.000 alamat BTC:
Database yang bocor memiliki 75 akun dan kata sandi pengguna:
Percakapan tawar-menawar yang menarik:
Acak cari pesanan yang berhasil dibayar:
Alamat pesanan:
Dan gunakan MistTrack untuk melacak alamat penerimaan Bitcoin:
Aliran dana pencucian uang cukup jelas, akhirnya mengalir ke platform perdagangan. Karena keterbatasan ruang, MistTrack akan melakukan analisis lebih lanjut terhadap alamat cryptocurrency, jika tertarik dapat mengikuti X: @MistTrack_io.
Saat ini, LockBit resmi juga telah merilis pernyataan terbaru mengenai kejadian ini. Terjemahan kasar adalah sebagai berikut:
"Pada 7 Mei 2025, panel kontrol ringan kami yang dilengkapi dengan fitur pendaftaran otomatis telah disusupi, di mana siapa pun dapat melewati otorisasi untuk mengakses panel tersebut secara langsung. Database telah dicuri, tetapi tidak ada data sensitif dari perusahaan yang terkena dampak yang terlibat. Saat ini kami sedang menyelidiki cara penyusupan yang spesifik dan memulai proses pemulihan. Panel kontrol utama dan blog masih berfungsi normal."
"Dikatakan bahwa penyerang kali ini adalah seorang bernama 'xoxo', berasal dari Praha. Jika Anda dapat memberikan informasi pasti tentang identitasnya—selama informasinya dapat dipercaya, saya bersedia membayar untuk itu."
Tanggapan LockBit ini cukup sarkastis. Sebelumnya, Departemen Luar Negeri AS telah mengeluarkan pengumuman hadiah untuk mendapatkan identitas dan lokasi anggota inti atau kolaborator kunci dari kelompok LockBit, dengan hadiah maksimum mencapai 10 juta dolar; sekaligus, untuk mendorong pengungkapan tindakan serangan dari anggotanya ( Affiliates ), juga ditawarkan hadiah maksimum 5 juta dolar.
Kini, LockBit diretas, dan sebaliknya menawarkan harga di saluran untuk mencari petunjuk tentang penyerang - seolah-olah "mekanisme pemburu hadiah" berbalik menyerang diri mereka sendiri, yang membuat orang tertawa dan menangis, serta lebih lanjut mengungkapkan celah dan kekacauan dalam sistem keamanan internal mereka.
( Ringkasan
LockBit telah aktif sejak 2019, dan merupakan salah satu kelompok ransomware paling berbahaya di dunia, dengan total tebusan yang diperkirakan (termasuk data yang tidak dipublikasikan) setidaknya 150 juta dolar. Model RaaS (Ransomware as a Service) mereka menarik banyak anggota untuk berpartisipasi dalam serangan. Meskipun kelompok ini mengalami serangan penegakan hukum "Operation Cronos" pada awal 2024, mereka tetap aktif. Peristiwa ini menandai tantangan besar terhadap keamanan sistem internal LockBit, yang dapat mempengaruhi reputasi, kepercayaan anggota, dan stabilitas operasionalnya. Pada saat yang sama, ini juga menunjukkan tren "serangan balik" terhadap organisasi kejahatan siber di dunia maya.
Tim Keamanan Mantra menyarankan semua pihak:
Pemantauan informasi yang berkelanjutan: Mengawasi dengan cermat dinamika rekonstruksi LockBit dan versi varian potensial;
Memperhatikan perkembangan dark web: memantau forum, situs, dan sumber intelijen terkait secara real-time untuk mencegah kebocoran kedua dan penyalahgunaan data;
Memperkuat pertahanan terhadap ancaman RaaS: Menyusun kembali permukaan eksposur sendiri, memperkuat identifikasi dan mekanisme pemblokiran terhadap rantai alat RaaS;
Mekanisme respons organisasi yang sempurna: Jika ditemukan keterkaitan langsung atau tidak langsung dengan organisasi sendiri, disarankan untuk segera melaporkan kepada lembaga yang berwenang dan memulai rencana darurat;
Pelacakan Dana dan Kerja Sama Pencegahan Penipuan: Jika ditemukan ada jalur pembayaran mencurigakan yang masuk ke platform sendiri, harus menggabungkan sistem pemantauan on-chain untuk memperkuat pencegahan pencucian uang.
Peristiwa ini sekali lagi mengingatkan kita bahwa bahkan organisasi hacker yang memiliki kemampuan teknis yang kuat pun tidak dapat sepenuhnya terhindar dari serangan siber. Ini juga merupakan salah satu alasan bagi para profesional keamanan untuk terus bertarung.
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Black on Black: Analisis insiden peretasan kelompok pemeras nomor satu dunia LockBit
Tinjauan Kembali: Siapa LockBit?
LockBit adalah ransomware-as-a-service aktif(RaaS, organisasi Ransomware-as-a-Service) yang pertama kali muncul pada September 2019. Karena versi awal menambahkan sufiks ".abcd" saat mengenkripsi file, ini disebut sebagai "Ransomware ABCD". Kelompok ini dikenal karena teknologi yang matang, otomatisasi tinggi, dan efisiensi pemerasan yang tinggi, telah melancarkan banyak serangan di seluruh dunia terhadap perusahaan, pemerintah, pendidikan, dan lembaga kesehatan, dan telah diidentifikasi oleh beberapa lembaga keamanan negara sebagai ancaman berkelanjutan tingkat tinggi(APT). Kami telah mengungkapkan tentang organisasi ini tahun lalu.
Teknologi LockBit terus berinovasi, menghasilkan beberapa versi:
Sebagai contoh khas dari model RaaS, LockBit menyediakan toolkit ransomware melalui pengembang inti, menarik "(Affiliates) penerima waralaba" untuk bertanggung jawab atas serangan, infiltrasi, dan penyebaran tertentu, dan memberi insentif kerja sama melalui pembagian tebusan, yang dapat dibagikan oleh 70% untuk penyerang rata-rata. Selain itu, taktik "pemerasan ganda" sangat menindas: di satu sisi, ia mengenkripsi file, dan di sisi lain, mencuri data dan mengancam untuk mempublikasikannya, dan jika korban menolak untuk membayar uang tebusan, data tersebut akan digantung di situs kebocoran eksklusifnya.
Dari segi teknis, LockBit mendukung sistem Windows dan Linux, menggunakan teknologi enkripsi multithreading dan set instruksi AES-NI untuk mencapai enkripsi berkinerja tinggi, memiliki kemampuan pergerakan lateral di dalam jaringan (seperti menggunakan PSExec, RDP brute force, dll.), dan sebelum enkripsi, secara aktif akan menutup database, menghapus cadangan, dan layanan penting lainnya.
Serangan LockBit biasanya sangat sistematis dan memiliki ciri-ciri APT yang khas. Rantai serangan secara umum adalah sebagai berikut:
Selama periode aktifnya, LockBit telah menyebabkan beberapa kejadian heboh:
Namun, meskipun kuat seperti LockBit, mereka tidak tanpa cela. Pada 19 Februari 2024, situs web LockBit disita dalam operasi penegakan hukum gabungan oleh Badan Kejahatan Nasional Inggris, FBI, Europol, dan Interpol, di mana beberapa anggota LockBit ditangkap atau dicari, tetapi tim pengembang inti masih belum sepenuhnya hancur, dan sebagian sampel masih beredar di dark web, digunakan oleh kelompok cabang.
Kejadian mendadak: Situs LockBit diretas
Hari ini, SlowMist( menerima informasi: situs onion LockBit telah diretas, penyerang tidak hanya mengambil alih panel kontrolnya, tetapi juga merilis file paket yang berisi database, tindakan ini menyebabkan database LockBit bocor, termasuk alamat bitcoin, kunci pribadi, catatan obrolan, serta informasi sensitif lainnya terkait perusahaan.
![])https://img.gateio.im/social/moments-ec107b6678a78200582bd65b422ac683(
Lebih dramatis, para hacker meninggalkan kalimat yang penuh makna di situs yang telah dimanipulasi: "Jangan berbuat jahat, berbuat jahat itu buruk, dari Praha."
Tidak lama kemudian, data terkait diunggah ke platform seperti GitHub dan dengan cepat menyebar.
![])https://img.gateio.im/social/moments-b85028cd868818a42b45c68e4e83a88d(
LockBit resmi kemudian memberikan tanggapan di saluran mereka dalam bahasa Rusia, dengan arti kira-kira sebagai berikut:
![])https://img.gateio.im/social/moments-0e1ddd21116426070d0b50e217c2c51c(
) analisis kebocoran
SlowMist### pada waktu pertama telah mengunduh dokumen kebocoran terkait (hanya untuk tujuan penelitian internal, cadangan telah dihapus tepat waktu). Kami telah melakukan analisis awal terhadap struktur direktori, file kode, dan konten basis data, mencoba untuk merekonstruksi arsitektur platform operasi internal LockBit dan komponen fungsinya.
Dari struktur direktori, ini terlihat seperti platform manajemen korban LockBit yang ditulis dengan arsitektur PHP yang ringan.
Analisis Struktur Direktori:
Jadi kita menduga mungkin hacker yang berasal dari "Prague" ini seharusnya menggunakan PHP 0 day atau 1 day untuk menyelesaikan situs web dan konsol.
Konsol manajemen adalah sebagai berikut:
Beberapa informasi komunikasi obrolan:
Mari kita lihat informasi yang dilingkari dengan kotak merah: CEO korban dari co ... coinbase? Membayar uang tebusan?
Sementara itu, database yang bocor juga melibatkan sekitar 60.000 alamat BTC:
Database yang bocor memiliki 75 akun dan kata sandi pengguna:
Percakapan tawar-menawar yang menarik:
Acak cari pesanan yang berhasil dibayar:
Alamat pesanan:
Dan gunakan MistTrack untuk melacak alamat penerimaan Bitcoin:
Aliran dana pencucian uang cukup jelas, akhirnya mengalir ke platform perdagangan. Karena keterbatasan ruang, MistTrack akan melakukan analisis lebih lanjut terhadap alamat cryptocurrency, jika tertarik dapat mengikuti X: @MistTrack_io.
Saat ini, LockBit resmi juga telah merilis pernyataan terbaru mengenai kejadian ini. Terjemahan kasar adalah sebagai berikut:
Tanggapan LockBit ini cukup sarkastis. Sebelumnya, Departemen Luar Negeri AS telah mengeluarkan pengumuman hadiah untuk mendapatkan identitas dan lokasi anggota inti atau kolaborator kunci dari kelompok LockBit, dengan hadiah maksimum mencapai 10 juta dolar; sekaligus, untuk mendorong pengungkapan tindakan serangan dari anggotanya ( Affiliates ), juga ditawarkan hadiah maksimum 5 juta dolar.
Kini, LockBit diretas, dan sebaliknya menawarkan harga di saluran untuk mencari petunjuk tentang penyerang - seolah-olah "mekanisme pemburu hadiah" berbalik menyerang diri mereka sendiri, yang membuat orang tertawa dan menangis, serta lebih lanjut mengungkapkan celah dan kekacauan dalam sistem keamanan internal mereka.
( Ringkasan
LockBit telah aktif sejak 2019, dan merupakan salah satu kelompok ransomware paling berbahaya di dunia, dengan total tebusan yang diperkirakan (termasuk data yang tidak dipublikasikan) setidaknya 150 juta dolar. Model RaaS (Ransomware as a Service) mereka menarik banyak anggota untuk berpartisipasi dalam serangan. Meskipun kelompok ini mengalami serangan penegakan hukum "Operation Cronos" pada awal 2024, mereka tetap aktif. Peristiwa ini menandai tantangan besar terhadap keamanan sistem internal LockBit, yang dapat mempengaruhi reputasi, kepercayaan anggota, dan stabilitas operasionalnya. Pada saat yang sama, ini juga menunjukkan tren "serangan balik" terhadap organisasi kejahatan siber di dunia maya.
Tim Keamanan Mantra menyarankan semua pihak:
Peristiwa ini sekali lagi mengingatkan kita bahwa bahkan organisasi hacker yang memiliki kemampuan teknis yang kuat pun tidak dapat sepenuhnya terhindar dari serangan siber. Ini juga merupakan salah satu alasan bagi para profesional keamanan untuk terus bertarung.