Operation Cronos 2024: NCA Membongkar LockBit dari Dalam
PELAKU
Tidak diatribusikan
METODE
Fake Guru / Self-Proclaimed Mentor
Tokoh tanpa rekam jejak verifiable (no audited fund, no CFA/OSCP/CISA, no published research) menjual "kursus rahasia" Rp 5–50 juta. Bukti keahlian: foto Lamborghini sewa, jam tangan AAA, dan testimonial member yang juga afiliasi.
Operation Cronos adalah operasi penegakan hukum paling ambisius melawan ransomware. NCA tidak hanya menyita server — mereka mengoperasikan situs LockBit selama 1 minggu sebagai honeypot terbalik, merilis decryption key, dan menampilkan profile pelaku LockBitSupp (Dmitry Khoroshev) saat countdown timer berakhir. Forensik Trellix + Secureworks pada server yang disita mengungkap struktur korporat lengkap LockBit — affiliate berdasarkan tier, NDA, bahkan struktur HR. Pelajaran: ransomware modern adalah franchise B2B, dan takedownnya butuh perlakuan layaknya prosekusi RICO.
Konteks Operasional
Operation Cronos merepresentasikan paradigm shift dalam takedown ransomware. Alih-alih sekadar sinkhole domain atau revoke certificate, National Crime Agency (NCA) melakukan full takeover infrastruktur LockBit selama 7 hari. Pendekatan ini memungkinkan:
- Collection of operational intelligence dari affiliate yang masih aktif terhubung
- Strategic deception dengan memodifikasi countdown timer untuk psychological impact
- Exfiltration decryption keys dari server C2 sebelum shutdown
Vektor Awal & Lateral Movement
Forensik Secureworks mengungkap LockBit menggunakan hybrid infrastructure model:
- Initial access: Exploit CVE-2023-3824 (Adobe ColdFusion) pada frontend server
- Lateral movement: Abuse of legitimate RMM tools (AnyDesk, Splashtop) untuk kontrol persistent
- Data exfiltration: Cloud storage berbasis Wasabi dengan bucket policy khusus untuk tiap affiliate
Yang menarik, NCA memanfaatkan backdoor yang sudah ada di server LockBit — kemungkinan hasil infiltrasi sebelumnya oleh aktor lain.
Pivot Yang Sering Diabaikan Defender
Analisis Trellix menunjukkan tiga blind spot kritis:
- HR operations: LockBit menjalankan recruitment terbuka di forum underground dengan sistem referral bonus
- Legal infrastructure: Dokumen NDA antara core team dan affiliate menggunakan template hukum Inggris
- Financial reconciliation: Pembayaran dalam XMR tapi accounting dilakukan dalam USD dengan spreadsheets terpusat
Pelajaran untuk Tim Indonesia
- Ransomware sekarang merupakan platform as a service dengan model revenue sharing 70/30 untuk affiliate
- Monitor aktivitas RMM tools di jaringan korporat — LockBit menggunakan default config AnyDesk tanpa modifikasi
- Wasabi storage API calls dari server internal harus trigger investigasi segera
- Operasi takedown efektif membutuhkan kontrol infrastruktur minimal 72 jam untuk intelligence gathering
Indikator Detection Yang Bisa Dipasang Besok
Registry key:HKCU\Software\AnyDesk\fav_* dengan timestamp modification anomaliNetwork:Outbound TCP/443 ke wasabisys.com dengan user-agent "rclone/v*"Process:ColdFusion WAR deployment diikuti process hollowing pada cfexec.exeFinancial:Transaksi XMR ke exchange dengan withdrawal langsung ke prepaid debit card
Tim IR + forensik kami standby 24/7. Audit cepat 30 menit, gratis, NDA-ready.
TIMELINE
PELAJARAN UNTUK TIM ANDA
- Patch web stack Anda — admin panel ransomware sendiri rentan terhadap CVE PHP basic
- Pembayaran ransom membiayai franchise terorganisir — kalkulasi etisnya makin berat
- Backup offline + immutable + 3-2-1 rule = leverage utama Anda
- Cyber insurance sekarang exclude ransom yang membiayai entitas yang disanksi — baca polis Anda
- Joint engagement dengan FBI/NCA bisa dilakukan SEBELUM insiden via InfraGard atau Cyber Command
SUMBER
JANGAN JADI BARIS BERIKUTNYA DI ARSIP INI
Setiap heist di sini dimulai dengan kelemahan yang masih ada hari ini. Kami petakan kelemahan Anda sebelum yang tak diundang menemukannya duluan.
DISKUSI (0)
Belum ada komentar. Jadi yang pertama bagikan analisis Anda.