Operasi Kronos menangkap Geng Ransomware LockBit dan pemimpinya LockBitSupp
Seperti apa jadinya jika FBI meretas geng kejahatan siber nomor satu di dunia, menghancurkan operasi mereka sepenuhnya, dan kemudian mengejek mereka hingga hancur? Kamu akan segera mengetahuinya, karena itulah yang terjadi pada LockBit, geng ransomware paling tangguh di dunia. Jangan ke mana-mana, ambil popcorn, dan nikmati ini. Pada paruh pertama artikel ini, saya akan melihat bagaimana LockBit menjadi begitu sukses dan tindakan mereka sepanjang jalan. Di paruh kedua, saya akan menunjukkan kepada kalian bagaimana mereka diretas dan tingkat trolling yang serius yang mereka alami berkat penegak hukum.
Kelompok ini muncul pada September 2019, awalnya dengan nama ABCD Ransomware, tetapi dengan cepat menyadari betapa buruknya nama itu dan beberapa bulan kemudian mereka mengganti nama menjadi LockBit yang sekarang ikonik. Dalam banyak hal, LockBit bekerja dengan cara yang sama seperti geng ransomware lainnya. Setelah file korban dienkripsi, catatan tebusan akan mengarahkan mereka ke situs web gelap di mana negosiasi dimulai. Seperti kelompok lain, LockBit beroperasi dengan model afiliasi, yang berarti tim inti LockBit hanya menangani pengembangan malware, pemeliharaan situs web gelap, dan negosiasi dengan korban. Sementara itu, para penjahat siber lainnya bisa mendaftar untuk menjadi afiliasi yang bertugas meretas perusahaan dan menginfeksinya. Sebagai imbalannya, afiliasi bisa mendapatkan 80% dari uang tebusan.
Namun, masalah besar antara afiliasi dan geng ransomware adalah masalah kepercayaan. Bagaimana kamu tahu bahwa geng akan membayar bagianmu? Semua orang di sini adalah kriminal. Inovasi LockBit adalah membuat afiliasi yang mengumpulkan tebusan dari korban. Hanya setelah afiliasi dibayar, mereka mengirimkan bagian LockBit. Masalah kepercayaan pun teratasi. LockBit juga memiliki enkripsi tercepat dalam permainan ini. Mereka memposting perbandingan yang menunjukkan bahwa enkripsi mereka jauh lebih cepat daripada pesaing. Ini bukan hanya untuk pamer, dalam banyak hal geng ransomware harus bersaing untuk afiliasi. Mereka harus memberi alasan bagi afiliasi untuk memilih kelompok mereka daripada operasi ransomware lainnya. Tanpa afiliasi, geng tidak menghasilkan uang.
Pada tahun 2021, hanya setahun setelah terbentuk, kelompok ini menduduki peringkat ketiga dalam infeksi ransomware global. Tapi mereka tidak berhenti di situ. Pada tahun 2022, kelompok ini mengganti nama menjadi LockBit 3.0, situs kebocoran mereka mendapatkan desain baru, dan mereka menciptakan lebih banyak inovasi, termasuk program bug bounty jahat pertama yang menawarkan hadiah mulai dari $1.000 hingga $1 juta untuk bug situs web yang dapat membantu mereka meretas korban baru, bug dalam alat enkripsi mereka, atau bahkan bug dalam platform pesan Talks yang digunakan kelompok ini untuk tetap tersembunyi. Pemimpin LockBit, yang dikenal sebagai LockBitSupp, bahkan menawarkan hadiah $1 juta kepada siapa saja yang bisa mengungkap identitas aslinya.
Pada pertengahan tahun 2022, Badan Pertahanan Siber Amerika menyatakan bahwa LockBit telah menjadi varian ransomware yang paling banyak digunakan di dunia, menyumbang 40% dari serangan ransomware di seluruh dunia. Kelompok ini dianggap sangat sukses karena orientasi bisnis mereka. LockBit mencoba menjauh dari drama di dunia kejahatan siber yang penuh dengan kepribadian besar. Mereka bahkan bereksperimen dengan cara lain untuk menghasilkan uang selain memberi korban opsi untuk membayar tebusan penuh, mereka bisa membayar biaya kecil untuk memperpanjang tenggat waktu selama 24 jam lagi, dan selalu ada ancaman konstan bahwa siapa saja bisa datang dan membayar tebusan kapan saja, memberi mereka kemampuan untuk mengunduh semua data yang dicuri.
Tidak ada yang aman dari LockBit. Mereka mengembangkan alat mereka tidak hanya untuk Windows tetapi juga Linux, dan mereka adalah kelompok ransomware pertama yang secara khusus menargetkan MacOS. Namun, kadang-kadang kelompok ini menyimpang dari reputasi mereka yang berorientasi bisnis. Dalam satu kasus, dalam kampanye pemasaran yang aneh atau mungkin mereka melakukannya hanya untuk bersenang-senang, LockBit menawarkan $1.000 kepada siapa saja yang menato logo mereka di tubuh mereka, dan lebih dari 20 orang benar-benar melakukannya.
Kamu tidak menjadi geng ransomware nomor satu di dunia tanpa beberapa peretasan profil tinggi. Beberapa korban mereka termasuk TSMC, Boeing, dan bahkan layanan pos nasional Inggris, Royal Mail. LockBit adalah alasan mengapa bahkan berbulan-bulan setelah peretasan Royal Mail, kamu masih tidak bisa menggunakan mesin checkout mandiri untuk mengirim internasional. Mungkin terdengar seperti detail kecil, tapi bagi saya yang sering mengirim surat internasional, ini sangat mengganggu. Terima kasih, LockBit.
Pada akhir tahun 2023, LockBit telah mencapai status yang diimpikan oleh sedikit geng kriminal siber. Secara total, mereka telah menerima lebih dari $100 juta dalam pembayaran tebusan. Tapi seperti mereka yang datang sebelumnya, hari-hari LockBit sudah dihitung. Pada pagi hari 19 Februari 2024, ketika afiliasi masuk ke dasbor web gelap LockBit seperti yang mereka lakukan berkali-kali sebelumnya, mereka disambut dengan pesan:
"Halo, penegak hukum telah mengambil alih platform LockBit dan memperoleh semua informasi yang ada di sana. Informasi ini terkait dengan kelompok LockBit dan Anda, afiliasi mereka. Anda bisa berterima kasih kepada LockBitSupp dan infrastruktur cacat mereka untuk situasi ini. Kami mungkin akan menghubungi Anda segera. Sementara itu, kami menyarankan Anda untuk mengunjungi situs kebocoran LockBit. Selamat hari."
Dalam semalam, koalisi lembaga penegak hukum meluncurkan Operasi Kronos yang dipimpin oleh NCA (National Crime Agency) Inggris. Mereka meretas 34 server LockBit, mengambil kode sumber, log obrolan, dan melakukan penangkapan. Tetapi yang terbaik dari semuanya, FBI memberikan kita pelajaran dalam trolling dengan cara yang belum pernah saya lihat sebelumnya. Kamu akan menyukainya. Alih-alih hanya menempelkan halaman penyitaan yang standar dan membosankan di situs LockBit, FBI memutuskan untuk bersenang-senang, mempermalukan LockBit dengan mengganti dinding trofi korban mereka dengan detail semua tindakan penegak hukum terhadap mereka. Perhatian terhadap detail di sini sangat mengagumkan. Mereka memodifikasi logo LockBit dan bahkan berusaha mengedit animasi pemuatan situs untuk menunjukkan negara-negara di balik penangkapan tersebut. Mereka juga mempertahankan pengatur waktu hitung mundur ikonik LockBit yang menghitung mundur ke momen ketika penegak hukum akan mengungkap identitas pemimpin kelompok, LockBitSupp.
Di satu bagian, NCA membocorkan tangkapan layar dari konsol admin LockBit, log obrolan yang menunjukkan negosiasi dengan korban, dan bahkan tangkapan layar dari file bayangan server. File bayangan adalah file pada sistem Linux yang berisi hash kata sandi, yang bernilai tinggi sehingga untuk bisa mengaksesnya, kamu biasanya memerlukan izin tingkat root. Jadi fakta bahwa NCA bisa mengambil tangkapan layar itu adalah berita buruk bagi LockBit. Bahkan, NCA memberi nama file itu "this is really bad.png". Berkat izin admin tersebut, penegak hukum bisa mengambil nama pengguna dari semua 194 afiliasi. Video salah satu afiliasi yang ditangkap dirilis oleh polisi Polandia. Operasi Kronos tampaknya berjalan sebaik yang bisa diharapkan oleh penegak hukum. Mereka bahkan bisa mengambil kunci dekripsi dan membuatnya tersedia bagi korban. Ada juga bagian yang didedikasikan untuk mengejek LockBit setelah mereka membuat mereka dilarang di berbagai forum kejahatan siber.
Tapi semua ini menimbulkan pertanyaan, apa yang membuat penangkapan ini mungkin? Rumor menyebutkan semua ini karena kerentanan PHP yang diketahui di server LockBit yang tidak mereka perbaiki. Hal ini hampir dikonfirmasi dalam wawancara dengan pemimpin kelompok yang mengatakan bahwa FBI, NCA, dan Europol bukanlah pentester terampil dan keberhasilan mereka hanya karena kemalasan administrator mereka. Pemimpin kelompok, LockBitSupp, juga meragukan pengungkapan identitas dirinya yang akan datang, mengatakan dia bersedia menggandakan hadiah $10 juta FBI di kepalanya menjadi $20 juta jika mereka bisa mengidentifikasi dirinya dengan sukses.
Berita yang paling tidak mengejutkan dari semua ini adalah bahwa tidak ada banyak simpati dari geng ransomware pesaing. Pemimpin geng AL, misalnya, tidak memiliki sesuatu yang baik untuk dikatakan. Ini seharusnya menjadi akhir dari LockBit. Namun, kenyataannya adalah meskipun infrastruktur kelompok telah sepenuhnya diambil alih dan semua data yang menyertainya, hanya ada tiga atau empat penangkapan di seluruh Eropa dan lima afiliasi LockBit lainnya telah didakwa di AS. Sebagian besar dari ratusan afiliasi kemungkinan besar tidak akan pernah diadili dan bebas untuk bergabung dengan geng ransomware lain.
Adapun hitungan mundur untuk pengungkapan identitas LockBitSupp, penegak hukum akhirnya mempublikasikan halaman yang kita semua tunggu-tunggu. "Siapa LockBitSupp? Dia mengklaim tinggal di AS, dia tidak. Dia mengklaim tinggal di Belanda, dia tidak. Dia mengklaim mengendarai Lambo, dia mengendarai Mercedes meskipun suku cadangnya mungkin sulit didapat." Referensi yang jelas untuk sanksi terhadap Rusia yang membuat hidup sulit bagi industri mobil. Jadi implikasinya di sini adalah bahwa orang itu tinggal di Rusia, tapi itu bukanlah pengungkapan besar. Sudah diketahui bahwa sebagian besar geng ransomware berbasis di Rusia.
FBI melanjutkan dengan mengatakan bahwa mereka tahu siapa dia, di mana dia tinggal, dan berapa kekayaannya. Mereka juga mengklaim dia "terlibat dengan penegak hukum" tapi tidak jelas apa artinya. Jika FBI benar-benar yakin dengan identitasnya, lalu kenapa dia tidak masuk dalam daftar sanksi? Mungkin ini berarti dia menjadi aset FBI dan entah bagaimana bekerja dengan penegak hukum, tapi jika itu kasusnya, sepertinya bukan sesuatu yang ingin FBI publikasikan. Saya tidak tahu soal ini, dan saya mulai merasa seperti kita yang sedang di-troll. Ini adalah penangkapan geng kejahatan siber favorit saya sejauh ini, dan saya harap lembaga penegak hukum lainnya bisa belajar dari NCA. Siapa pun yang membuat situs ini jelas perlu mendapatkan kenaikan gaji. Seperti biasa, terima kasih telah membaca, dan sampai jumpa di artikel berikutnya. Semoga harimu menyenangkan.
sumber: youtube