LockBit Black ( Lockbit 3.0 )

<div class="wp-block-advgb-container advgb-blocks-container"> <p><strong><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">LockBit Black, diuji pada 1 Mei 2024</font></font></strong></p> <p><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Hari ini kita akan membahas serangan ransomware yang berasal dari email berbahaya. Ini adalah serangan rekayasa sosial umum yang dapat menargetkan karyawan mana pun, dan mungkin akan paling efektif terhadap mereka yang secara teratur berkomunikasi dengan pihak ketiga. Umpan di sini adalah Dokumen, tetapi bisa saja lebih spesifik, seperti faktur, tiket parkir, dll.</font></font></p> <p><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Email ini berasal dari kampanye malspam yang diamati sekitar akhir April 2024 yang dimulai oleh ransomware yang berafiliasi dengan LockBit Black (alias LockBit 3.0).</font></font></p> <h3 class="wp-block-heading"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Distribusi (email->ZIP->SCR->unduh EXE)</font></font></h3> <p><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Contoh malware LockBit Black ini didistribusikan melalui kampanye malspam menggunakan botnet Phorpiex. Email dengan subjek “Dokumen Anda” berisi lampiran zip. File di dalam arsip menggunakan trik ekstensi ganda (.doc.scr) untuk meniru dokumen Word.</font></font></p> <figure class="wp-block-image size-full"><img alt="" class="wp-image-4375" decoding="async" height="534" loading="lazy" sizes="(max-width: 761px) 100vw, 761px" src="https://www.threatdown.com/wp-content/uploads/2024/05/image_e536c6.png" srcset="https://www.threatdown.com/wp-content/uploads/2024/05/image_e536c6.png 761w, https://www.threatdown.com/wp-content/uploads/2024/05/image_e536c6.png?resize=300,211 300w" width="761" /></figure> <p><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Perubahan wallpaper:</font></font></p> <figure class="wp-block-image size-full"><img alt="" class="wp-image-4373" decoding="async" height="707" loading="lazy" sizes="(max-width: 960px) 100vw, 960px" src="https://www.threatdown.com/wp-content/uploads/2024/05/image_3b68ce.png" srcset="https://www.threatdown.com/wp-content/uploads/2024/05/image_3b68ce.png 960w, https://www.threatdown.com/wp-content/uploads/2024/05/image_3b68ce.png?resize=300,221 300w, https://www.threatdown.com/wp-content/uploads/2024/05/image_3b68ce.png?resize=768,566 768w" width="960" /></figure> <p><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Dokumen terenkripsi:</font></font></p> <figure class="wp-block-image size-full"><img alt="" class="wp-image-4409" decoding="async" height="659" loading="lazy" sizes="(max-width: 789px) 100vw, 789px" src="https://www.threatdown.com/wp-content/uploads/2024/05/image_a29c10.png" srcset="https://www.threatdown.com/wp-content/uploads/2024/05/image_a29c10.png 789w, https://www.threatdown.com/wp-content/uploads/2024/05/image_a29c10.png?resize=300,251 300w, https://www.threatdown.com/wp-content/uploads/2024/05/image_a29c10.png?resize=768,641 768w" width="789" /></figure> <p><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Catatan tebusan:</font></font></p> <pre class="wp-block-code"><code> !! ALL YOUR FILES ARE ENCRYPTED !!! You can't restore them without our decryptor. Don't try to use any public tools, you could damage the files and lose them forever. To make sure our decryptor works, contact us and decrypt one file for free. Download TOX messenger: https://tox[.]chat/ Add friend in TOX, ID: {sanitized}</code></pre> <h3 class="wp-block-heading"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Aliran proses</font></font></h3> <figure class="wp-block-image size-full"><img alt="" class="wp-image-4381" decoding="async" height="373" loading="lazy" sizes="(max-width: 465px) 100vw, 465px" src="https://www.threatdown.com/wp-content/uploads/2024/05/image_5e608c.png" srcset="https://www.threatdown.com/wp-content/uploads/2024/05/image_5e608c.png 465w, https://www.threatdown.com/wp-content/uploads/2024/05/image_5e608c.png?resize=300,241 300w" width="465" /></figure> <h3 class="wp-block-heading"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Perlindungan</font></font></h3> <p><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Kami menguji </font></font><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">dengan melihat setiap lapisan perlindungan:</font></font></p> <ul class="wp-block-list"> <li><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Anti-Eksploitasi: lampiran diblokir saat dibuka dari klien email</font></font></li> <li><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Mesin Anti-Malware: lampiran terdeteksi saat dijalankan dari disk</font></font></li> <li><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Mesin Anti-Malware: Muatan LockBit saat dijalankan dari disk</font></font></li> <li><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Anti-Ransomware: enkripsi Lockbit</font></font></li> </ul> <figure class="wp-block-image size-full"><img alt="" class="wp-image-4407" decoding="async" height="248" loading="lazy" sizes="(max-width: 974px) 100vw, 974px" src="https://www.threatdown.com/wp-content/uploads/2024/05/image_1941fc.png" srcset="https://www.threatdown.com/wp-content/uploads/2024/05/image_1941fc.png 974w, https://www.threatdown.com/wp-content/uploads/2024/05/image_1941fc.png?resize=300,76 300w, https://www.threatdown.com/wp-content/uploads/2024/05/image_1941fc.png?resize=768,196 768w" width="974" /></figure> <h3 class="wp-block-heading"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Deteksi dan Respons Titik Akhir (EDR)</font></font></h3> <p><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">EDR mendeteksi aktivitas mencurigakan terkait dengan penonaktifan salinan bayangan volume oleh LockBit.</font></font></p> <figure class="wp-block-image size-full"><img alt="" class="wp-image-4442" decoding="async" height="404" loading="lazy" sizes="(max-width: 612px) 100vw, 612px" src="https://www.threatdown.com/wp-content/uploads/2024/05/image_13ba6c.png" srcset="https://www.threatdown.com/wp-content/uploads/2024/05/image_13ba6c.png 612w, https://www.threatdown.com/wp-content/uploads/2024/05/image_13ba6c.png?resize=300,198 300w" width="612" /></figure> <h2 class="wp-block-heading"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Mitigasi</font></font></h2> <p><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Pelanggan ThreatDown sudah terlindungi dari ancaman ini, dan tidak hanya melalui satu lapisan keamanan tertentu. Hal ini terutama penting untuk ancaman seperti ransomware karena sifatnya yang sangat merusak.</font></font></p> <p><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Ada beberapa elemen dalam serangan ini yang dapat dipelajari siapa pun:</font></font></p> <ul class="wp-block-list"> <li><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Email berbahaya tersebut meminta pengguna untuk "membalas secepatnya". Ini adalah taktik umum yang digunakan oleh penjahat karena mereka tahu bahwa mereka sering kali memiliki waktu yang sangat terbatas sebelum muatan mereka terdeteksi. Mereka ingin Anda melakukan sesuatu dengan cepat dan lengah.</font></font></li> <li><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Lampiran, file zip, berisi file yang dapat dieksekusi. Banyak, jika tidak sebagian besar klien email tidak mengizinkan file yang dapat dieksekusi untuk dilampirkan secara langsung sebagaimana adanya. Pelaku ancaman akan mengompresnya sebagai .zip, .rar atau ekstensi lainnya. Tentu saja ada arsip yang sah, tetapi Anda harus ekstra hati-hati saat file dikemas dengan cara itu.</font></font></li> <li><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">File di dalam zip tersebut bernama Document.doc.scr. Masalahnya, Microsoft Windows sering kali menghilangkan jenis ekstensi yang diketahui. Karena itu, file tersebut akan tampak seperti memiliki ekstensi .doc (dan karenanya tampak seperti dokumen) padahal sebenarnya adalah .scr (screensaver, tetapi dapat dieksekusi). Sebaiknya ubah pengaturan tersebut dan paksa Windows untuk menampilkan semua ekstensi.</font></font></li> </ul> <p><br /></p> <h3 class="wp-block-heading"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Indikator Kompromi (IOC)</font></font></h3> <p><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Subjek email</font></font></p> <pre class="wp-block-preformatted"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Dokumen Anda</font></font></pre> <p><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Isi email</font></font></p> <pre class="wp-block-preformatted"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Halo, Anda dapat menemukan dokumen Anda di lampiran. </font></font><br /><br /><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Mohon segera membalas. </font></font><br /><br /><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Salam, GSD Support.</font></font></pre> <p><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Nama lampiran</font></font></p> <pre class="wp-block-preformatted"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Dokumen.zip</font></font></pre> <p><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Lampiran SHA256</font></font></p> <pre class="wp-block-preformatted"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">1c5fd7bf511885054464124142f793501ab2c6e987b203c1a5f4b3bdcccb1fa1</font></font></pre> <p><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Nama lampiran yang diekstraksi</font></font></p> <pre class="wp-block-preformatted"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Dokumen.doc.scr</font></font></pre> <p><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">Ekstrak lampiran SHA256</font></font></p> <pre class="wp-block-preformatted"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">0cc54ffd005b4d3d048e72f6d66bcc1ac5a7a511ab9ecf59dc1d2ece72c69e85</font></font></pre> <p><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">URL unduhan LockBit</font></font></p> <pre class="wp-block-preformatted"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">hxxp[://]193[.]233[.]132[.]177/lbb[.]exe</font></font></pre> <p><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">KunciBit SHA256</font></font></p> <pre class="wp-block-preformatted"><font style="vertical-align: inherit;"><font style="vertical-align: inherit;">a18a6bacc0d8b1dd4544cdf1e178a98a36b575b5be8b307c27c65455b1307616</font></font></pre> </div>

LockBit Black ( Lockbit 3.0 )

LockBit Black, diuji pada 1 Mei 2024 Hari ini kita akan membahas serangan ransomware yang berasal dari email berbahaya. Ini adalah sera...

Baca selengkapnya »