LockBit Ransomware: Pengertian, Cara Kerja, Versi, dan IOC
LockBit adalah kelompok Ransomware-as-a-Service (RaaS) yang mengenkripsi data korban dan meminta tebusan dalam bentuk kripto. Pertama muncul tahun 2019 dengan nama ABCD ransomware, LockBit kini telah berkembang hingga versi 5.0 dan menjadi salah satu ancaman ransomware paling aktif di dunia, termasuk Indonesia.

Bayangkan suatu 'hantu' digital yang melintas dalam bayang-bayang dunia maya, diam-diam mengunci data Anda, dan meninggalkan pesan menyeramkan untuk meminta tebusan. 'Hantu' ini adalah ransomware LockBit, salah satu serangan paling menyebalkan dalam dunia keamanan siber.
Pada blog ini, mari kita kupas tuntas misteri LockBit: bagaimana ia menyusup dan membuat kerusakan, menghancurkan sistem, dan mengapa bisnis harus selalu waspada.
Apa itu ancaman LockBit?
LockBit adalah grup Ransomware as a Service (RaaS) yang mengenkripsi file dan meminta tebusan untuk membukanya kembali. LockBit beroperasi di balik layar, sehingga sulit dilacak karena memanfaatkan model RaaS serta teknik serangan canggih dalam berbagai high-profile cyberattack terhadap organisasi di seluruh dunia.
Ancaman LockBit ransomware memasuki sistem melalui celah keamanan, mengenkripsi file, dan meninggalkan catatan tebusan yang meminta pembayaran dalam bentuk mata uang kripto untuk dekripsi file. Dikenal karena taktiknya yang licik dan terus berkembang, LockBit telah terlibat dalam berbagai insiden keamanan siber.
Anatomi serangan ransomware LockBit (LockBit 3.0)
Umumnya, serangan LockBit terdiri atas tiga tahapan utama, yaitu akses awal (initial access), enkripsi, dan eksfiltrasi data. Pada setiap tahap, pelaku memanfaatkan berbagai teknik dan tools untuk memaksimalkan dampak serangan.
1. Akses awal
Tahap pertama dalam serangan ransomware LockBit adalah mendapatkan akses awal ke sistem target. Afiliasi LockBit 3.0 menembus jaringan korban dengan berbagai metode, termasuk mengeksploitasi Remote Desktop Protocol (RDP), drive-by compromise, melakukan kampanye phishing, menyalahgunakan akun yang valid, dan mengeksploitasi kerentanan dalam aplikasi yang dapat diakses publik. Selama proses instalasi, LockBit 3.0 juga berusaha meningkatkan hak akses jika izin awal yang diperoleh tidak mencukupi.
2. Enkripsi
LockBit 3.0 masuk ke dalam jaringan menggunakan kredensial yang sudah ditetapkan atau melalui akun lokal yang aksesnya bocor. Serangan ini menyebar melalui Group Policy Objects dan PsExec melalui protokol Server Message Block.
Ransomware LockBit mengenkripsi data, termasuk file sistem yang penting. Lalu, LockBit akan meninggalkan catatan tebusan, mengubah penampilan perangkat dengan branding LockBit 3.0, dan mengirim informasi yang sudah dienkripsi ke server command-and-control. Setelah tugas ini selesai, LockBit 3.0 dapat menghapus dirinya sendiri dan menghilangkan update Group Policy, tergantung pada konfigurasi saat dikompilasi.
3. Eksfiltrasi
Eksfiltrasi adalah teknik umum yang biasa digunakan afiliasi LockBit 3.0, yang biasanya melalui StealBit, tool eksfiltrasi proprietary turunan dari LockBit 2.0.
Sebagai tambahan, ancaman LockBit 3.0 menggunakan rclone, tool cloud storage open-source, ditambah dengan tool file sharing seperti MEGA. Tool ini memungkinkan afiliasi LockBit 3.0 mengambil data file perusahaan sebelum memulai proses enkripsi.
Metode serangan LockBit
LockBit menggunakan berbagai metode untuk mendapatkan akses ke jaringan korban sebelum menjalankan proses enkripsi. Memahami LockBit attack methods dapat membantu organisasi mengenali indikator serangan dan memperkuat sistem keamanan sejak tahap awal.
| Metode serangan | Cara kerja |
| Phishing | Mengirim email berisi tautan atau lampiran berbahaya untuk mencuri kredensial atau menginstal malware. |
| Brute-force RDP | Menebak kombinasi username dan password pada layanan Remote Desktop Protocol (RDP) hingga berhasil memperoleh akses. |
| Eksploitasi kerentanan | Memanfaatkan celah keamanan pada aplikasi atau sistem operasi yang belum diperbarui. |
| Credential abuse | Menggunakan akun yang bocor atau dicuri untuk masuk ke jaringan tanpa menimbulkan kecurigaan. |
| Lateral movement | Bergerak ke perangkat lain di dalam jaringan untuk memperluas akses dan menemukan aset bernilai tinggi. |
Setelah memperoleh akses, afiliasi LockBit biasanya memanfaatkan beberapa tools seperti StealBit untuk mencuri data, rclone untuk mentransfer data ke cloud, PsExec untuk menyebarkan ransomware ke perangkat lain, serta PowerShell Empire untuk menjalankan aktivitas pasca-eksploitasi dan mempertahankan akses ke sistem korban.
Variasi ancaman LockBit
Berikut ini adalah beberapa variasi dari ancaman LockBit ransomware:
LockBit 2.0
LockBit 2.0, variasi RaaS yang muncul pada Juni 2021, melampaui LockBit dan ransomware ABCD pendahulunya, yang awalnya terdeteksi pada September 2019. Melalui active recruitment pada forum underground, LockBit 2.0 semakin terkenal pada Q3 2021. Dengan software enkripsi tercepatnya, LockBit 2.0 terus beroperasi bahkan ketika program RaaS lainnya hilang pada 2021.
LockBit 3.0
Dikenal juga sebagai LockBit Black, ransomware ini muncul pada Maret 2022 ketika LockBit gang mengumumkan rencananya untuk merilis data korban yang tidak membayar tebusan pada format yang mudah dicari. Dengan menargetkan data penting di Amerika Serikat, Britania Raya, dan Jerman, LockBit bergantung pada password yang lemah dan ketiadaan MFA untuk akses akun admin. Selain itu, LockBit 3.0 juga memiliki program pencarian bug, yang menandakan kemajuan teknologi untuk mendorong hacker mengidentifikasi kerentanan sistem.
LockBit melakukan serangan dengan memanfaatkan kerentanan pada aplikasi, mencoba menebak password RDP, dan menerapkan teknik phishing. Pelaku ancaman LockBit kemudian melakukan serangan ransomware, menghapus log, dan mengenkripsi data pada perangkat local dan remote menggunakan PowerShell Empire.
LockBit Green
LockBit Green adalah tambahan dari variasi ransomware LockBit. Pertama kali diumumkan pada 27 Januari 2023 melalui screenshot yang dibagikan di media sosial oleh tim riset bernama vx-underground, variasi ransomware ini mengikuti pola umum dari LockBit, yaitu menargetkan lingkungan Windows dengan kemampuan ransomware-nya.
LockBit for Mac
Pada April 2023, ransomware LockBit melakukan perubahan besar pada operasionalnya dengan mengembangkan enkriptor yang dirancang khusus untuk menargetkan macOS untuk pertama kalinya. Penemuan ini dilakukan oleh tim riset keamanan siber MalwareHunterTeam, yang mengidentifikasi ZIP archive pada VirusTotal yang tampaknya berisi kumpulan enkriptor LockBit yang baru dibuat.
LockBit 4.0
LockBit 4.0 pertama kali terdeteksi pada Februari 2024, tak lama setelah dua operatornya ditangkap oleh aparat penegak hukum. Meski sempat mengalami kebocoran data internal, kelompok ini tetap melanjutkan operasinya dengan model Ransomware-as-a-Service.
Varian ini menargetkan sistem Windows serta beberapa versi Mac dan Linux. Selain itu, varian ini juga memiliki kemampuan menghindari deteksi solusi keamanan seperti EDR.
LockBit 5.0
Ransomware LockBit 5.0 dirancang untuk menyerang Windows, Linux, dan VMware ESXi secara bersamaan. Setiap variannya dioptimalkan untuk mengeksploitasi kelemahan di lingkungan targetnya.
Di sistem Windows, LockBit 5.0 memakai teknik DLL reflection. Pada Linux, ransomware ini menggunakan opsi command-line yang lebih fleksibel. Sementara itu, pada VMware ESXi, LockBit 5.0 mengenkripsi virtual machine dan host hypervisor.
| Versi | Tahun | Ciri Utama | Target |
| LockBit 2.0 | 2021 | Auto-spread via Active Directory | Windows, enterprise |
| LockBit 3.0 | 2022 | Double extortion, bug bounty | Pemerintah, enterprise |
| LockBit Green | 2023 | Basis kode Conti | Windows |
| LockBit for Mac | 2023 | Pertama menyerang macOS | macOS |
| LockBit 4.0 | 2024 | Stealth mode, bypass EDR | Hybrid |
| LockBit 5.0 | 2025 | DLL Reflection Loading, multi-platform | Windows, Linux, VMware, ESXi |
Indicators of Compromise (IoCs) LockBit
Indicators of Compromise (IOCs) adalah jejak digital yang dapat membantu tim keamanan mengidentifikasi apakah sistem telah terpapar serangan LockBit. Meskipun IOC dapat berubah pada setiap varian, beberapa LockBit IoCs berikut sering ditemukan dalam insiden yang melibatkan LockBit.
| IOC | Contoh |
| File extension | .lockbit, .lock, atau ekstensi acak yang ditentukan afiliasi LockBit pada file yang telah dienkripsi. |
| Ransom note | File seperti Restore-My-Files.txt, Restore-My-Files.hta, ReadMeForDecrypt.txt, atau nama lain yang berisi instruksi pembayaran tebusan. |
| Registry keys | Perubahan pada registry untuk mempertahankan persistence, memodifikasi startup, atau menonaktifkan fitur keamanan Windows. |
| Network signatures | Koneksi keluar (outbound) yang tidak biasa ke server command-and-control (C2), layanan cloud, atau IP address yang digunakan untuk eksfiltrasi data. |
| Suspicious processes | Aktivitas proses seperti psexec.exe, powershell.exe, cmd.exe, rclone.exe, atau StealBit yang dijalankan secara tidak wajar. |
| File hash | Nilai hash (MD5, SHA-1, atau SHA-256) dari sampel ransomware yang dapat digunakan sebagai referensi dalam proses threat hunting. Karena sering berubah pada setiap campaign, administrator disarankan memperoleh hash terbaru dari sumber threat intelligence tepercaya. |
Serangan LockBit yang pernah terjadi
LockBit merupakan salah satu jenis serangan yang sering terjadi di organisasi. Beberapa organisasi berikut melaporkan telah mengalami insiden siber akibat LockBit:
Serangan LockBit terhadap Royal Mail Inggris
Pada Februari 2023, The Guardian melaporkan bahwa Royal Mail menolak permintaan tebusan sebesar $80 juta dari hacker yang terhubung dengan Rusia dalam serangan ransomware yang dimulai pada Januari 2023. LockBit memasuki software perusahaan, mengenkripsi file penting, dan menganggu pengiriman internasional.
Transkrip dark web yang terkait dengan ancaman LockBit menunjukkan bahwa terjadi negosiasi alot di mana Royal Mail menolak permintaan tebusan yang semakin meningkat. Setelah dua minggu, hacker menetapkan tebusan sebesar $80 juta sebagai syarat untuk dekripsi file, menganggap bahwa jumlah ini hanya sebesar 0.5% dari revenue perusahaan.
Serangan LockBit terhadap Pusat Data Nasional Sementara (PDNS)
Di Indonesia, LockBit pernah menyerang Pusat Data Nasional Sementara (PDNS) pada 20 Juni 2024. Insiden yang terjadi akibat braincipher ransomware, turunan dari LockBit 3.0 ini menyebabkan ratusan layanan publik di Indonesia terdampak.
Sebanyak 282 layanan instansi pusat dan daerah terdampak, termasuk layanan Imigrasi dan layanan Penerimaan Peserta Didik Baru (PPDB) di sejumlah daerah. Dalam aksinya, pelaku menuntut tebusan hingga US$8 juta atau sekitar Rp131 miliar.
Insiden ini disinyalir bermula dari upaya menonaktifkan fitur keamanan Windows Defender pada 17 Juni 2024 pukul 23.15 WIB. Kelalaian ini membuka celah bagi pelaku untuk melakukan instalasi file berbahaya, menghapus file sistem penting, dan menonaktifkan layanan yang sedang berjalan.
Serangan LockBit terhadap Bank Syariah Indonesia
Pusat Data Nasional bukan satu-satunya organisasi di Indonesia yang mengalami serangan ransomware LockBit. Pada pertengahan Mei 2023, Bank Syariah Indonesia (BSI) juga menjadi korban serangan LockBit 3.0.
Dalam insiden ini, sekitar 1,5 TB data dilaporkan dicuri, termasuk data nasabah seperti nama, nomor ponsel, saldo rekening, dan riwayat transaksi. Selain itu, informasi pribadi sekitar 24 ribu karyawan BSI dan dokumen internal juga ikut bocor.
Kelompok ransomware LockBit mengaku bertanggung jawab atas serangan tersebut dan memberikan batas waktu kepada pihak BSI untuk menghubungi mereka. Jika tuntutan tidak dipenuhi, mereka mengancam akan memublikasikan seluruh data yang berhasil dicuri. Nilai tebusan yang diminta mencapai US$20 juta atau sekitar Rp296 miliar.
Deteksi ancaman LockBit dengan solusi SIEM
Deteksi ransomware LockBit menggunakan solusi SIEM melibatkan analisis log yang komprehensif dan pemantauan perilaku. Berikut cara ManageEngine Log360 dapat digunakan untuk deteksi yang efektif:
1. Anomali perilaku

Log360 memantau pola perilaku yang mencurigakan, mengidentifikasi secara instan setiap penyimpangan dalam upaya akses file, interaksi sistem, atau traffic jaringan yang mengindikasikan aktivitas ransomware LockBit.
2. Anomali pengguna
UEBA Log360 mengidentifikasi perilaku pengguna yang mencurigakan, seperti eskalasi privilege atau percobaan akses data yang tidak biasa. Hal ini merupakan bagian dari deteksi dini serangan LockBit.
3. Monitoring endpoint
Solusi SIEM memantau endpoint untuk menemukan perubahan file atau proses yang tidak biasa. Solusi ini memberikan alert real-time terkait aktivitas ransomware LockBit.
4. Analisis traffic jaringan
Solusi SIEM menganalisis traffic jaringan untuk mengidentifikasi pola yang serupa pergerakan lateral LockBit. Identifikasi ini membantu mendeteksi dan mengatasi persebaran ransomware dengan cepat.
5. MITRE ATT&CK® mapping

Log360 menyesuaikan mekanisme deteksi dan responsnya dengan framework MITRE ATT&CK untuk fokus pada teknik yang biasanya berhubungan dengan ransomware LockBit, seperti pergerakan lateral.
6. Monitoring file integrity

Solusi SIEM menggunakan pengecekan file integrity untuk mendeteksi modifikasi tidak diizinkan yang menandakan potensi serangan LockBit. Hal ini memungkinkan mitigasi dan respons insiden yang lebih cepat.
7. Keamanan aplikasi cloud

Kapabilitas CASB dari Log360 membantu membuat blacklist serta memblokir website dan aplikasi yang mencurigakan. Kapabilitas ini bermanfaat untuk menjaga data cloud yang sensitif dari ancaman ransomware.
8. Deteksi dan respons insiden ransomware
Log360 dilengkapi predefined correlation rule dan alert profile yang mampu mendeteksi aktivitas ransomware secara real-time. Ketika ancaman teridentifikasi, built-in incident response workflow dapat secara otomatis menjalankan tindakan mitigasi untuk mengisolasi ancaman dan membantu mencegah penyebaran ransomware ke seluruh jaringan.
Pendekatan keamanan yang penting untuk mencegah LockBit
Untuk mencegah LockBit, berikut adalah pendekatan keamanan yang dapat Anda terapkan:
Mencadangkan data penting secara berkala dan memastikan backup data tersebut disimpan di tempat terpisah, aman, dan offline.
Menggunakan antivirus, antimalware, dan solusi SIEM terkemuka yang efektif untuk mendeteksi dan memblokir ransomware sebelum menyebar.
Menggunakan solusi filter email untuk mengidentifikasi dan memblokir email mencurigakan.
Mengimplementasikan solusi pelindungan endpoint untuk memantau dan mengelola perangkat yang terhubung ke jaringan guna mendeteksi dan mencegah aktivitas mencurigakan.
Membagi jaringan untuk membatasi penyebaran ransomware. Membatasi pergerakan lateral dengan memisahkan sistem penting dari sistem yang kurang penting.
Menerapkan MFA ke akses ke data dan sistem sensitif untuk menambah lapisan keamanan tambahan, sehingga pengguna yang tidak berizin tidak bisa mendapatkan akses.
Berpartisipasi dalam threat intelligence sharing untuk tetap mendapatkan informasi terbaru tentang perkembangan dan teknik yang digunakan oleh LockBit serta varian ransomware lainnya.
Memastikan compliance dengan regulasi pelindungan data dan keamanan siber yang relevan.
Apa yang harus dilakukan jika terkena LockBit?
Berikut beberapa langkah awal yang disarankan untuk meminimalkan dampak serangan LockBit.
Isolasi endpoint yang terdampak dengan memutuskan koneksi perangkat yang terinfeksi dari jaringan, baik melalui LAN, Wi-Fi, atau VPN.
Jangan membayar tebusan, karena tidak ada jaminan data akan dipulihkan atau tidak disalahgunakan. Membayar tebusan juga mendorong pelaku untuk melakukan serangan serupa.
Laporkan insiden ke Badan Siber dan Sandi Negara (BSSN) atau Computer Security Incident Response Team (CSIRT) di organisasi maupun instansi terkait. Laporan ini membantu proses investigasi, mitigasi, dan penanganan insiden.
Setelah memastikan ransomware telah dihapus dari sistem, lakukan pemulihan data menggunakan backup offline atau backup yang tidak terhubung ke jaringan. Pastikan backup telah diverifikasi bersih sebelum digunakan untuk mengembalikan operasional.
Lakukan investigasi menyeluruh untuk menemukan penyebab serangan. Segera patch vulnerability dan tingkatkan monitoring keamanan menggunakan solusi seperti SIEM dan threat intelligence.
Lindungi Organisasi dari Ancaman LockBit dengan ManageEngine Log360
Mencegah serangan ransomware seperti LockBit membutuhkan lebih dari sekadar antivirus. Organisasi perlu memiliki visibilitas menyeluruh terhadap aktivitas di jaringan, kemampuan mendeteksi ancaman secara real-time, serta respons insiden yang cepat untuk meminimalkan dampak serangan.
ManageEngine Log360 membantu tim keamanan mewujudkan hal tersebut melalui SIEM terpadu yang dilengkapi korelasi log, threat detection berbasis MITRE ATT&CK, alert otomatis, serta workflow respons insiden untuk mendeteksi dan menghentikan penyebaran ransomware lebih cepat.
Pelajari lebih lanjut tentang Log360 melalui demo bersama tim kami.