Setelah diketahui keberadaannya pertama kali pada Januari 2020 dan merilis pembaruan mampu melakukan enkripsi otomatis perangkat di seluruh domain windows dengan memanfaatkan group policy object dari active directory pada Juli 2021, ransomware-as-a-service LockBit 2.0 kini ditengarai beraksi kembali dengan menginfeksi jaringan melalui berbagai cara diantaranya melalui akses compromised account yang diperjual belikan, kerentanan yang tidak diperbaiki oleh pemilik sistem elektronik, akses orang dalam, dan eksploitasi zero-day.
Dampaknya adalah penyerang akan dapat mendapatkan hak akses yang lebih tinggi (privilege escalation) sehingga dimungkinkan melakukan eksfiltrasi dan mengenkripsi data serta mengirimkan ancaman untuk meminta tebusan. Mengingat dampak yang mungkin ditimbulkan dari eksploitasi kerentanan tersebut berikut beberapa tindakan mitigasi untuk mencegah infeksi Ransomware LOCKBIT 2.0:
- Mewajibkan penggunaan kata sandi login yang kuat dan unik serta tidak digunakan untuk akun lain atau disimpan di dalam sistem.
- Menerapkan multi-factor authentication untuk semua layanan jarak jauh (remote), terutama untuk email web, virtual private network, dan akun yang mengakses sistem penting.
- Melakukan pembaruan semua sistem operasi dan perangkat lunak secara rutin untuk menambal kerentanan yang diketahui.
- Menonaktifkan akses yang tidak perlu ke partisis administratif, terutama ADMIN$ dan C$. Jika ADMIN$ dan C$ dianggap perlu secara operasional, lakukan pembatasan hak istimewa hanya untuk layanan atau akun pengguna yang diperlukan dan lakukan pemantauan berkelanjutan jika terdapat aktivitas anomaly.
- Menerapkan perimeter keamanan seperti host-based firewall untuk mengelola perizinan koneksi ke segmen administratif melalui protokol server message block.
- Mengaktifkan file yang dilindungi di Sistem Operasi Windows untuk mencegah perubahan tidak sah pada file
Untuk membatasi penyerang atau pelaku ancaman melakukan pemindaian sistem dan jaringan untuk mengetahui visibilitas dan memetakan jaringan/sistem perlu dilakukan pembatasan sistem umum dan teknis yang mungkin digunakan penyerang dengan beberapa langkah berikut:
- Melakukan segmentasi jaringan untuk mencegah penyebaran ransomware sehingga arus lalu lintas antara dan akses ke berbagai subjaringan terkontrol dan membatasi pergerakan lateral penyerang.
- Melakukan identifikasi, deteksi, dan penyelidikan aktivitas tidak wajar (abnormal) dan potensi traversal ransomware yang ditemukan menggunakan alat pemantauan jaringan.
- Menerapkan akses berbasis waktu (session) untuk akun dengan hak akses administrator dan yang lebih tinggi.
- Menonaktifkan aktifitas dan izin untuk mengeksekusi command line dan script sehingga pelaku ancaman akan mengalami kesulitan untuk mendapatkan hak istimewa dan/atau melakukan pergerakan lateral.
- Melakukan pencadangan data secara offline (pada media penyimpanan yang terpisah) dan pemulihan cadangan data secara teratur.
- Melakukan enkripsi pada seluruh cadangan infrastruktur data organisasi dan menyetingnya agar tidak dapat diubah atau dihapus.
Informasi lengkap mengenai hal tersebut dapat diunduh di sini.
Sumber : https://bssn.go.id/peringatan-keamanan-ransomware-lockbit-2-0/
