Ketika lembaga penegak hukum mengatakan mereka telah menutup kelompok peretas LockBit yang terkenal itu awal tahun ini, hal ini tampak seperti kabar baik bagi lembaga keuangan yang sering menjadi sasaran serangan ransomware geng tersebut. Namun perkembangan terkini menunjukkan bahwa anggota LockBit telah berkumpul kembali dan kembali melakukan serangan, sama seperti beberapa pakar keamanan siber diperingatkan mereka akan.
Sejak FBI, lembaga penegak hukum Inggris dan Eropa mengganggu LockBit pada bulan Februari, ada kabar menggembirakan bagi para korban dan calon target LockBit. Minggu lalu, Belanda Dan Orang Ukraina penegak hukum mengidentifikasi seorang penduduk Kyiv yang bekerja dengan LockBit dan kelompok ransomware lainnya. Pada hari yang sama, FBI diumumkan mereka telah memperoleh lebih dari 7.000 kunci dekripsi yang dapat membantu korban ransomware LockBit mendapatkan kembali data mereka.
Meskipun ada kemajuan, LockBit telah menunjukkan beberapa tanda kehidupan. Pada tanggal 8 Mei, sehari setelah FBI diidentifikasi secara publik Pemimpin LockBit sebagai warga negara Rusia Dmitry Khoroshev, geng mengaku bertanggung jawab untuk pelanggaran terhadap kota Wichita, Kansas. Pada tanggal 23 Mei, kelompok tersebut menerbitkan data ia mengaku mencuri dari London Drugs, jaringan apotek Kanada. Sejauh ini pada bulan Juni, kelompok tersebut telah mengaku bertanggung jawab atas 12 serangan ransomware terpisah, menurut blog kelompok yang mempermalukan korbannya.
Kelompok ini “meningkatkan prevalensinya setelah jeda singkat,” menurut laporan dirilis Senin oleh Check Point Software, penyedia perangkat lunak keamanan Amerika-Israel. LockBit menyumbang sekitar sepertiga serangan yang diklaim secara publik oleh kelompok ransomware yang dilacak oleh Check Point.
“Meskipun lembaga penegak hukum berhasil menghentikan sementara geng siber LockBit dengan mengungkap salah satu pemimpin dan afiliasinya selain melepaskan lebih dari 7.000 kunci dekripsi LockBit, hal ini masih belum cukup untuk menghilangkan ancaman sepenuhnya,” tulis laporan tersebut. “Tidak mengherankan melihat mereka berkumpul kembali dan menerapkan taktik baru untuk melanjutkan upaya mereka.”
LockBit hanyalah salah satu dari beberapa geng ransomware yang perlu dikhawatirkan oleh bank. Di sebuah laporan dirilis pada bulan Maret oleh Financial Services Information Sharing and Analysis Center (FS-ISAC), konsorsium keamanan siber untuk perusahaan keuangan secara khusus menyebutkan sejumlah ancaman yang baru-baru ini mengancam sektor ini, termasuk Alphv, Qakbot, dan TA569.
alfavjuga dikenal sebagai BlackCat, adalah grup ransomware yang pada tahun 2023 menyerang perusahaan perangkat lunak keuangan Tautan Meridiangrup kasino dan resor Resor MGM dan Hiburan Caesarsprodusen tempat penjualan NCR, dan penyedia ATM QSI. Tahun lalu, Alphv menjadi grup ransomware paling produktif kedua, setelah LockBit, berdasarkan perusahaan keamanan siber Cyberint.
Qakbot adalah malware botnet yang awalnya dirancang oleh pelaku ancaman untuk menargetkan aplikasi perbankan secara spesifik, namun Trojan telah berevolusi, dan pelaku ancaman kini dapat menggunakan malware tersebut untuk menargetkan sistem di sektor lain, menurut FS-ISAC. Malware ini terkenal karena FBI diumumkan pada bulan Agustus bahwa hal itu telah mengganggu Qakbot, namun para ahli keamanan siber menemukannya bukti bahwa pelaku ancaman di baliknya mulai mendistribusikan ransomware jenis baru pada waktu yang hampir bersamaan.
TA569 adalah broker akses awal yang menjual akses ke jaringan yang disusupi oleh SocGholish, sejenis malware yang menyamar sebagai pembaruan perangkat lunak (oleh karena itu nama alternatifnya adalah FakeUpdates). TA569 mengkompromikan situs web yang rentan untuk menampilkan pesan palsu yang perlu diperbarui oleh browser pengguna, sebuah taktik yang menurut FS-ISAC telah disalin oleh kelompok lain.
SocGholish dan Qakbot adalah dua dari lima keluarga malware teratas yang dilaporkan oleh anggota FS-ISAC pada tahun 2023. Tiga lainnya adalah Agen Tesla, AsyncRATDan TIKUS Dukungan Net. Masing-masing dari ketiga keluarga malware ini adalah jenis Trojan akses jarak jauh), yang memungkinkan penyerang memantau atau mengendalikan sistem yang terinfeksi dan menyamar sebagai perangkat lunak yang sah.
