Di tulisan ini saya ingin sharing mengenai reverse engineering (RE) ransomware yang menyerang PDN. Saya tidak akan ikut-ikutan mencela berbagai pihak, hanya sekedar membahas teknis ransomwarenya, berikut kelemahan kecilnya yang memungkinkan sebagian data akan bisa didekrip tanpa key dalam kondisi tertentu.
Hal dasar mengenai ransomware pernah saya bahas di beberapa artikel saya yang lain sejak beberapa tahun yang lalu, misalnya tentang Ransomware Wannacry, dan Membongkar Ransomware.
Tentang LockBit
LockBit adalah keluarga ransomware yang sangat terkenal yang dibuat oleh group bernama LockBit. Kisahnya sangat panjang dan bisa dibaca sendiri di berbagai tulisan di Internet, tapi beberapa hal pentingnya adalah:
- Lockbit memakai sistem referal, jadi bisa saja orang dalam yang menjalankan ransomware meski semua sudah aman
- Ada banyak target LockBit, cara yang mereka pakai adalah: untuk tiap target, mereka membuat malware baru, mereka menggunakan sebuah template EXE dan software builder. Jadi sebelum menyerang mereka akan membuat dua buah exe: locker.exe dan unlocker.exe
- Tiap target bisa dikustomisasi, misalnya: isi README yang akan ditampilkan ke user (berisi alamat, encryption id, dsb), bisa juga fitur-fitur tertentu diaktifkan atau dinonaktifkan tergantung targetnya seperti apa.
- Group asli lockbit sudah ditakedown oleh kerjasama polisi internasional
- Sayangnya builder/generator LockBit ini sudah bocor, group manapun bisa membuat varian Lockbit dengan pesan yang berbeda-beda
- Setiap Locker EXE yang dihasilkan memiliki key yang unik, yang digenerate ketika builder dijalankan. Locker.exe hanya berisi public key (untuk disebar) dan Unlocker.exe berisi private key (ini ditahan oleh group ransomwarenya).
