Malware & Ransomware ▲ KRITIS

LockBit 4.0 Mengancam Infrastruktur Perbankan Asia Tenggara

8 Mei 2026 Seraphim News 8 mnt baca

Eksekusi Serangan yang Terencana

Pada tanggal 3 Mei 2026, operator LockBit 4.0 berhasil mengkompromikan jaringan internal 12 institusi keuangan di Indonesia, Malaysia, Singapura, dan Thailand secara simultan — serangan terkoordinasi yang menandai eskalasi berbahaya dalam lanskap ancaman ransomware global.

Para peneliti keamanan dari Mandiant dan Group-IB mengkonfirmasi bahwa operasi tersebut menggunakan teknik double extortion: mengenkripsi data sekaligus mengancam publikasi 47 terabyte data nasabah sensitif jika tebusan tidak dibayarkan dalam 96 jam.

Vektor Awal: Supply Chain Attack

Analisis forensik mengungkap bahwa titik masuk awal adalah pembaruan perangkat lunak yang telah dikompromikan dari vendor software core banking pihak ketiga yang digunakan oleh mayoritas target. Paket update yang terinfeksi menyertakan:

  • Loader backdoor yang disebut tim peneliti sebagai “SilentBridge
  • Mekanisme persistence menggunakan Windows Task Scheduler yang disamarkan sebagai update sistem
  • Eksfiltrasi data diam-diam selama 14 hari sebelum ransomware dieksekusi
# Indikator kompromi (IOC) yang ditemukan di log sistem target:
svchost.exe -k netsvcs -s Schedule
C:\Windows\System32\tasks\MicrosoftEdgeUpdateTaskMachine
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache

Teknik Enkripsi Baru

LockBit 4.0 memperkenalkan skema enkripsi hybrid yang menggabungkan:

  1. ChaCha20-Poly1305 untuk enkripsi file berukuran besar (>100MB)
  2. AES-256-GCM untuk file sistem kritis
  3. Curve25519 untuk pertukaran kunci asimetris

Pendekatan ini membuat dekripsi tanpa kunci privat operator menjadi praktis tidak mungkin secara komputasional, bahkan dengan sumber daya komputasi kuantum yang ada saat ini.

Respons Regulasi dan Mitigasi

BSSN (Badan Siber dan Sandi Negara) telah mengeluarkan perintah darurat kepada seluruh lembaga keuangan yang berizin OJK untuk segera:

  • Memvalidasi integritas semua pembaruan perangkat lunak melalui rantai pasokan tepercaya
  • Mengaktifkan isolasi jaringan segmen kritikal
  • Melaporkan setiap anomali dalam 1 jam kepada CSIRT Nasional

Langkah Mitigasi Teknis

# Konfigurasi deteksi SIEM untuk LockBit 4.0
rule: LockBit4_FileActivity
  condition:
    - process.name NOT IN ["explorer.exe", "winword.exe"]
    - file.extension CHANGED to ["lockbit4", "encrypted"]
    - file.write_rate > 500/second
  action: ISOLATE_ENDPOINT + ALERT_SOC

Status Investigasi

FBI, Interpol, dan Europol sedang berkoordinasi dalam operasi bersama untuk mengidentifikasi infrastruktur command-and-control (C2) baru yang digunakan oleh LockBit 4.0. Berdasarkan analisis infrastruktur, server C2 menggunakan jaringan bulletproof hosting di yurisdiksi non-kooperatif dengan routing melalui beberapa lapis VPN komersial.