a

PERINGATAN KEAMANAN
RANSOMWARE LOCKBIT 2.0

Ringkasan Eksekuif
1. LockBit merupakan grup Ransomware-as-a-Service (RaaS) yang pertama kali
ditemukan pada Januari 2020. Grup ini menamakan malware yang ditulis sebagai
LockBit dan mendistribusikannya melalui afiliasi.
2. LockBit 2.0 ransomware menginfeksi jaringan korban melalui berbagai cara, yakni
akses compromised account yang diperjual belikan, kerentanan yang tidak diperbaiki
oleh pemilik sistem elektronik, akses orang dalam, dan eksploitasi zero-day.
3. Dampak yang dapat terjadi apabila LockBit 2.0 berhasil menginfeksi adalah
penyerang akan berusaha meningkatkan hak akses (privilege escalation) untuk
kemudian melakukan eksfiltrasi data dan mengenkripsi data, serta memberikan
catatan ancaman untuk meminta tebusan.
4. Mengingat dampak yang mungkin muncul dari eksploitasi kerentanan ini, diharapkan
pemangku kepentingan untuk segera melakukan tindakan-tindakan mitigasi yang
dijelaskan pada peringatan keamanan ini.

Pendahuluan
LockBit merupakan grup Ransomware-as-a-Service (RaaS) yang pertama kali
ditemukan pada Januari 2020. Grup ini menamakan malware yang ditulis sebagai LockBit
dan mendistribusikannya melalui afiliasi. LockBit 2.0 ransomware menginfeksi jaringan
korban melalui berbagai cara, yakni akses compromised account yang diperjual belikan,
kerentanan yang tidak diperbaiki oleh pemilik sistem elektronik,, akses orang dalam, dan
eksploitasi zero-day.
Pada Juli 2021, LockBit 2.0 merilis pembaruan yang menampilkan enkripsi otomatis
perangkat di seluruh domain windows dengan memanfaatkan Group Policy Object dari
Active Directory. Pada Agustus 2021, LockBit 2.0 mulai mengiklankan “orang dalam” untuk
membangun akses awal ke jaringan korban yang potensial, sembari menjanjikan sebagian
dari hasil dari serangan yang berhasil. LockBit 2.0 juga mengembangkan malware berbasis
Linux yang memanfaatkan kerentanan pada infrastruktur virtual mesin yang menggunakan
VMWare ESXi.
TLP : WHITE
Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)
Halaman 1 dari 11
Rantai Infeksi LockBit 2.0
LockBit 2.0 merupakan jenis ransomware yang menerapkan teknik obsfukasi dengan
memanfaatkan operasi bitwise untuk memecahkan kode string dan memuat modul yang
diperlukan untuk menghindari deteksi perimeter keamanan. Saat diluncurkan, LockBit 2.0
mendekode string dan kode yang diperlukan untuk mengimpor modul diikuti dengan
menentukan apakah proses tersebut memiliki hak istimewa (admin) atau tidak. Jika hak
istimewa tidak cukup, LockBit 2.0 akan mencoba untuk meningkatkan ke hak istimewa.
Lockbit 2.0 kemudian menentukan sistem dan pengaturan bahasa pengguna dan hanya
menargetkan yang tidak cocok dengan daftar bahasa Eropa Timur. Jika bahasa Eropa
Timur terdeteksi, program akan keluar tanpa infeksi. Saat infeksi dimulai, Lockbit 2.0
menghapus file log dan shadow copy yang berada di disk.
Lockbit 2.0 melakukan enumerasi terhadap jaringan korban dengan menggunakan
nama host, konfigurasi host, informasi domain, konfigurasi drive lokal, remote shares, dan
perangkat penyimpanan eksternal yang dipasang. Lockbit 2.0 mencoba mengenkripsi data
apa saja yang disimpan ke perangkat lokal atau jarak jauh (remote), kecuali file yang terkait
dengan fungsi sistem inti. Setelah selesai, Lockbit 2.0 menghapus dirinya sendiri dari disk
dan membuat mekanisme persistensi, sehingga dapat berjalan secara otomatis saat
perangkat dinyalakan kembali (start-up).
Sebelum dilakukan enkripsi, afiliasi Lockbit menggunakan aplikasi Stealbit yang
diperoleh langsung dari panel Lockbit untuk mengekstrak jenis file tertentu. Jenis file yang
diinginkan dapat dikonfigurasi oleh afiliasi untuk menyesuaikan serangan dengan korban.
Afiliasi mengonfigurasi aplikasi untuk menargetkan path file yang diinginkan dan setelah
dieksekusi, tools tersebut menyalin file ke server yang dikendalikan penyerang
menggunakan http. Karena sifat dari model afiliasi, beberapa penyerang menggunakan
tools lain yang tersedia secara komersial seperti rclone dan MEGAsync untuk mencapai
hasil yang sama. Aktor Lockbit 2.0 sering menggunakan layanan berbagi file (sharing files)
yang tersedia untuk umum, di antaranya: privatlab[.]net, anonfiles[.]com, sendspace[.]com,
fex[.]net, transfer[.]sh, dan send.exploit[.]in. Selain itu, layanan tersebut juga dapat
digunakan oleh pelaku ancaman untuk membantu dalam meneberobos sistem atau
melakukan eksplorasi jaringan dari suatu perusahaan.

TLP : WHITE
Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)
Halaman 2 dari 11
MITRE Technique Map
ATT&CK Tactic ATT&CK Technique
Reconnaissance • Active Scanning – Scanning IP Blocks – T1595.001
Resource Development • Compromise Infrastructure – Domains – T1584.001
Initial Access • Exploit Public-Facing Application – T1190
• External Remote Services – T1133
Execution • Command and Scripting Interpreter – PowerShell – T1059.001
• Windows Command Shell – T1059.003
• Windows Management Instrumentation – T1047
Persistence • Boot or Logon Autostart Execution – Registry Run Key –
T1547.001
Lateral Movement • Remote Services – Remote Desktop Protocol – T1021.002
• Lateral Tool Transfer – T1570
Impact • Data Encrypted for Impact – T1486
• Inhabit System Recovery – T1490
• Service Stop – T1489

Indicator of Compromise
Indicator of Compromises (IOC) dan karakteristik malware yang diuraikan di bawah ini
berasal dari analisis lapangan dan sampel bersumber dari FBI Flash CU-000162-MW.
Pemeriksaan Bahasa

Kode Bahasa

2092 1068 1067 1064 1049

(Azeri - Azeri - (Armenian) (Tajik) (Russian)
Cyrillic) Latin)

1087 1088 2073 1089 1079

(Kazakh) (Kyrgyz - (Russian - (Swahili) (Georgian)
Cyrillic) Moldova)

1090 2115 1091

(Turkmen) (Uzbek - (Uzbek -
Cyrillic) Latin)

Aktivitas Command Line

Berikut merupakan daftar command line yang yang dieksekusi selama aktifitas infeksi:
Command Deskripsi
cmd.exe /c vssadmin Delete Shadows Menghapus shadow copy
/All /Quiet

TLP : WHITE
Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)
Halaman 3 dari 11
 Command Deskripsi
cmd.exe /c bcdedit /set {default} Melarang/menonaktifkan Win 10 recovery
recoveryenabled No
cmd.exe /c bcdedit /set {default} Menghiraukan kegagalan boot
bootstatuspolicy ignoreallfailures
cmd.exe /c wmic SHADOWCOPY Perintah ini memiliki invalid syntax dan
/nointeractive menghasilkan error
cmd.exe /c wevtutil cl security Menghapus log keamanan
cmd.exe /c wevtutil cl system Menghapus log sistem
cmd.exe /c wevtutil cl application Menghapus log aplikasi
cmd.exe "C:\Windows\System32\cmd.exe" Perintah LockBit 2.0 untuk menghapus dirinya
/C ping 127.0.0.7 -n 3 >Nul&fsutil sendiri
file setZeroData offset=0
length=524288
"C:\Users\fred\Desktop\Lsystem-234-
bit.exe" & Del /f /q
"C:\Users\fred\Desktop\Lsystem-234-
bit.exe"
cmd.exe "C:\Windows\System32\cmd.exe" LockBit 2.0 menghapus semua shadow copies
/c vssadmin delete shadows /all /quiet pada disk untuk mencegah data recovery
& wmic shadowcopy delete & bcdedit
/set {default} bootstatuspolicy
ignoreallfailures & bcdedit /set
{default} recoveryenabled no

Registry Key

Created – UAC Bypass

Key :
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows
NT\CurrentVersion\ICM\Calibration
Value :
Display Calibrator
Data:
<LockBit 2.0 Ransomware path>
Created - LockBit 2.0 Wallpaper Change
Key:
HKEY_CLASSES_ROOT\Lockbit\shell\Open\Command

Data:
"C:\Windows\system32\mshta.exe" "C:\Users\\Desktop\LockBit_Ransomware.hta"
Key:
HKEY_CLASSES_ROOT\Lockbit\DefaultIcon

Data:
C:\Windows\.ico

Created - Persistence

TLP : WHITE
Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)
Halaman 4 dari 11
 Registry Key
Key:
HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{GUID}

Data:
C:\Users\<Username>\Desktop\LockBit_Ransomware.hta
Data:
<LockBit 2.0 Ransomware path>
Created - Encryption
Key:
HKEY_CURRENT_USER\Software\< LockBit 2.0 ID >\Private
Key:
HKEY_CURRENT_USER\Software\< LockBit 2.0 ID >\Public

Created - LockBit 2.0 Icon Location

Key:
HKEY_LOCAL_MACHINE\Software\Classes\.lockbit\DefaultIcon

Created / Modified - LockBit 2.0 Desktop

Key:
HKEY_CURRENT_USER\Control Panel\Desktop
String Value:
%APPDATA%\Local\Temp\<LockBit 2.0 wallpaper>.tmp.bmp
String Value:
TitleWallpaper=0
String Value:
WallpaperStyle = 2

File Yang Dibuat

C:\Users\<Username>\Desktop\LockBit_Ransomware.hta - LockBit 2.0 hta File

C:\Windows\SysWOW64\<First 6 characters of Decryption ID>.ico - LockBit 2.0 Icon

C:\Users\<username>\AppData\Local\Temp\<LockBit 2.0 wallpaper> .tmp.bmp -

LockBit 2.0 Wallpaper

Group Policy Update – Windows Defender Disable

[General]
Version=%s

displayName=%s
[Software\Policies\Microsoft\Windows Defender;DisableAntiSpyware]

[Software\Policies\Microsoft\Windows Defender\Real-Time
Protection;DisableRealtimeMonitoring]

[Software\Policies\Microsoft\Windows Defender\Spynet;SubmitSamplesConsent]

[Software\Policies\Microsoft\Windows

TLP : WHITE
Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)
Halaman 5 dari 11
Defender\Threats;Threats_ThreatSeverityDefaultAction]

[Software\Policies\Microsoft\Windows
Defender\Threats\ThreatSeverityDefaultAction]

[Software\Policies\Microsoft\Windows
Defender\Threats\ThreatSeverityDefaultAction]

[Software\Policies\Microsoft\Windows
Defender\Threats\ThreatSeverityDefaultAction]
[Software\Policies\Microsoft\Windows
Defender\Threats\ThreatSeverityDefaultAction]

[Software\Policies\Microsoft\Windows Defender\UX
Configuration;Notification_Suppress]

Anti-Recovery Command
C:\Windows\System32\cmd.exe /c vssadmin delete shadows /all /quiet & wmic
shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures
& bcdedit /set {default} recoveryenabled no

Ekstensi LockBit 2.0

.lockbit

Catatan dan Wallpaper LockBit 2.0

Restore-My-Files[.]txt

Gambar 4. Contoh catatan ransom LockBit 2.0

TLP : WHITE
Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)
Halaman 6 dari 11
 Gambar 5. Wallpaper Dekstop yang terinfeksi LockBit 2.0

Hidden Status/Debug Window

Lockbit 2.0 Status/Debug Window diaktifkan saat Shift + F1 ditekan. Jendela ini akan ada
selama infeksi awal dan menampilkan informasi waktu nyata tentang proses, status
penghancuran data pengguna, dan enkripsi. Gambar 6 merupakan tampilan dari
Status/Debug Window LockBit 2.0.

Gambar 6. Status/Debug Window pada perangkat yang terinfeksi LockBit 2.0

TLP : WHITE
Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)
Halaman 7 dari 11
Stealbit
Stealbit merupakan aplikasi/tools yang digunakan oleh LockBit 2.0 untuk melakukan operasi
bitwise untuk membangun string dan memuat modul yang diperlukan.
Berikut merupakan daftar IP address dan URL yang diindikasikan berkaitan dengan
aktivitas StealBit:

Alamat IP
139[.]60[.]160[.]200 93[.]190[.]139[.]223 45[.]227[.]255[.]190 193[.]162[.]143[.]218

168[.]100[.]11[.]72 93[.]190[.]143[.]101 88[.]80[.]147[.]102 193[.]38[.]235[.]234

174[.]138[.]62[.]35 185[.]215[.]113[.]39 185[.]182[.]193[.]120

Stealbit URL
http[:]//185[.]182[.]193[.]120/06599379103BD9028AB56AE0EBED457D0

Network Indicator
Setelah host membuat koneksi ke salah satu server CnC (command and control), permintaan
HTTP PUT dengan nilai heksadesimal dan panjang 32 atau 33 karakter dikirim ke server CnC
Contoh:
PUT /06599379103BD9028AB56AE0EBED457D0 HTTP/1.1.

Jika aksinya telah berhasil, StealBit akan menghapus diri dengan perintah sebagai berikut:
ping 127.0.0.7 –n 7 > Nul & fsutil file setZeroData offset=0 length=<Stealbit
file size>< Stealbit file path > & Del /f /q <Stealbit executable>

Jalur (pipe) yang dibuat/dibangun oleh StealBit disebut dengan : STEALBIT-MASTER-

PIPE

TLP : WHITE
Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)
Halaman 8 dari 11
Panduan Mitigasi
Terdapat beberapa rekomendasi yang dapat dilakukan untuk mencegah infeksi tersebut.
Administrator jaringan yang berperan dalam mengelola dan menjaga jaringan disarankan
untuk melakukan langkah-langkah sebagai berikut:
1. Mewajibkan semua akun dengan login sandi yang kuat dan unik (misalnya, akun
layanan, akun admin, dan akun admin domain). Sandi yang digunakan sangat
disarankan untuk tidak digunakan kembali di banyak akun atau disimpan di sistem.
2. Menerapkan autentikasi multi-faktor (Multi-Factor Authentication/MFA) untuk semua
layanan jarak jauh (remote), terutama untuk email web, VPN (Virtual Private Network),
dan akun yang mengakses sistem penting.
3. Melakukan pembaruan semua sistem operasi dan perangkat lunak secara rutin. Hal
yang perlu diprioritaskan adalah untuk menambal kerentanan yang
diketahui/dieksploitasi.
4. Menonaktifkan akses yang tidak perlu ke partisis administratif, terutama ADMIN$ dan
C$. Jika ADMIN$ dan C$ dianggap perlu secara operasional, lakukan pembatasan hak
istimewa hanya untuk layanan atau akun pengguna yang diperlukan dan lakukan
pemantauan berkelanjutan jika terdapat aktivitas anomaly.
5. Menerapkan perimeter keamanan, seperti firewall berbasis host (Host-based Firewall),
hal ini untuk mengelola perizinan koneksi ke segmen administratif melalui protokol server
message block (SMB) melalui perangkat tertentu.
6. Mengaktifkan file yang dilindungi di Sistem Operasi Windows untuk mencegah
perubahan tidak sah pada file penting.

Penyerang atau pelaku ancaman menggunakan teknik pemindaian sistem dan jaringan
untuk visibilitas dan pemetaan jaringan/sistem. Untuk membatasi penyerang mempelajari
lingkungan perusahaan organisasi, perlu dilakukan pembatasan sistem umum dan teknik
yang digunakan penyerang dengan beberapa langkah berikut:
1. Melakukan segmentasi jaringan untuk mencegah penyebaran ransomware. Hal ini dapat
membantu karena dengan segmentasi jaringan, arus lalu lintas antara dan akses ke
berbagai subjaringan terkontrol dan membatasi pergerakan lateral penyerang.
2. Melakukan identifikasi, deteksi, dan penyelidikan aktivitas tidak wajar (abnormal) dan
potensi traversal ransomware yang ditemukan menggunakan alat pemantauan jaringan.
Alat ini akan mencatat dan melaporkan semua lalu lintas jaringan, termasuk aktivitas
pergerakan lateral di jaringan. Contohnya dengan endpoint detection and response

TLP : WHITE
Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)
Halaman 9 dari 11
 (EDR), alat ini berguna untuk mendeteksi koneksi lateral karena memiliki wawasan
tentang koneksi jaringan umum dan tidak umum untuk setiap host.
3. Menerapkan akses berbasis waktu (session) untuk akun dengan hak akses
administrator dan yang lebih tinggi. Misalnya, metode akses Just-in-Time (JIT)
menyediakan akses istimewa bila diperlukan dan menerapkan prinsip hak akses least
privilege, dimana hak akses diberikan sesuai dengan role dari pengguna (serta model
Zero Trust).
4. Menonaktifkan aktifitas dan izin untuk mengeksekusi command line dan script. Hal ini
dikarenakan peningkatan hak istimewa dan pergerakan lateral sering kali memanfaatkan
utilitas ini dengan menjalankan baris perintah tertentu. Jika dinonaktifkan, pelaku
ancaman akan mengalami kesulitan untuk meningkatkan hak istimewa dan/atau
melakukan pergerakan lateral.
5. Selalu melakukan pencadangan data secara offline (pada media penyimpanan yang
terpisah) dan pemulihan cadangan data secara teratur.
6. Memastikan semua data cadangan dienkripsi, tidak dapat diubah (yaitu, tidak dapat
diubah atau dihapus) dan mencakup seluruh infrastruktur data organisasi.

TLP : WHITE
Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)
Halaman 10 dari 11
Referensi
[1] “LockBit 2.0 Ransomware Detection: Infamous Threat Resurfaces with New Attack
Techniques and Encryption Methods”, [Online]. Available:
https://socprime.com/blog/lockbit-2-0-ransomware-detection-infamous-threat-
resurfaces-with-new-attack-techniques-and-encryption-methods/.
[Diakses pada 22 Maret 2022]
[2] “Herjavec Group LockBit 2.0 Ransomware Profile”, [Online]. Available:
https://www.herjavecgroup.com/herjavec-group-lockbit-2-0-ransomware-profile/.
[Diakses pada 22 Maret 2022]
[3] “Malware Evolution – Analyzing LockBit 2.0”, [Online]. Available:
https://www.cynet.com/attack-techniques-hands-on/malware-evolution-analyzing-
lockbit-2-0/.
[Diakses pada 22 Maret 2022]
[4] “LockBit 2.0 (.lockbit) ransomware virus - removal and decryption options”, [Online].
Available: https://www.pcrisk.com/removal-guides/21605-lockbit-2-0-ransomware.
[Diakses pada 22 Maret 2022]
[5] “FBI Releases Indicators of Compromise Associated with LockBit 2.0 Ransomware”,
[Online]. Available: https://www.cisa.gov/uscert/ncas/current-activity/2022/02/07/fbi-
releases-indicators-compromise-associated-lockbit-20.
[Diakses pada 22 Maret 2022]

TLP : WHITE
Dokumen/Informasi ini dapat disebarkan secara bebas (Disclosure is not limited)
Halaman 11 dari 11