Grup kriminal siber di balik ransomware LockBit kembali beraksi dengan versi terbaru yang jauh lebih agresif.
Peneliti Trend Micro mengungkap bahwa LockBit 5.0 kini dirancang untuk menyerang Windows, Linux, dan VMware ESXi secara bersamaan, membuat upaya mitigasi dan pemulihan jauh lebih sulit dibanding varian sebelumnya.
Analisis sampel dari serangan terbaru menunjukkan bahwa setiap versi LockBit 5.0 dikustomisasi khusus untuk mengeksploitasi kelemahan di lingkungan targetnya, demikian dikutip infoINET dari Techspot, Rabu (1/10/2025).
Pada sistem Windows, LockBit 5.0 kini memakai teknik DLL reflection untuk menyuntikkan payload, serta menerapkan beberapa lapisan packing guna menghindari deteksi dan memperlambat analisis forensik.
Sementara pada Linux, ransomware ini memberi fleksibilitas lebih bagi afiliasi dengan opsi command-line yang dapat menyasar jenis file atau direktori tertentu sesuai kebutuhan.
Di lingkungan VMware ESXi, serangan menyasar langsung infrastruktur virtualisasi dengan mengenkripsi mesin virtual dan bahkan host hypervisor. Artinya, sistem cadangan dan redundansi yang biasanya diandalkan perusahaan bisa lumpuh hanya dalam sekali serangan.
Semua file korban akan diberi akhiran ekstensi acak sepanjang 16 karakter, memperumit proses dekripsi dan memperpanjang waktu pemulihan.
Trend Micro menggambarkan LockBit 5.0 sebagai ransomware modular: enkripsi, teknik penghindaran, dan payload untuk masing-masing platform bekerja secara terkoordinasi. Evolusi ini menegaskan strategi LockBit yang semakin matang dalam melumpuhkan infrastruktur TI, mulai dari workstation hingga data center berbasis virtualisasi.
Kembalinya LockBit terjadi setelah operasi penegakan hukum besar-besaran pada Februari 2025. Dalam Operation Cronos, aparat AS dan Inggris menyita server, infrastruktur, dan bahkan membagikan kunci dekripsi kepada para korban.
Meski sempat lumpuh, pengembang LockBit muncul kembali beberapa bulan terakhir dan merilis versi 5.0 sembari membuka kembali skema afiliasi dengan iming-iming keuntungan finansial.
Seperti sebelumnya, model afiliasi tetap menjadi tulang punggung operasi. Operator inti menyediakan ransomware, sementara afiliasi mengeksekusi serangan secara luas tanpa keterlibatan langsung pimpinan.
LockBit 5.0 makin berbahaya karena mampu mematikan proses keamanan dan mengacaukan sistem backup. Peralihan ke target ESXi menjadi perhatian utama, karena banyak perusahaan mengandalkan virtualisasi untuk pemulihan dan kontinuitas bisnis.
