Ancaman siber kembali memanas. Versi terbaru ransomware LockBit 5.0 resmi muncul pada September 2025 dan langsung jadi perhatian pelaku industri keamanan global. Bukan tanpa alasan, pembaruan ini disebut sebagai salah satu peningkatan terbesar dari keluarga ransomware LockBit yang selama beberapa tahun terakhir dikenal sangat aktif menyerang berbagai sektor bisnis.
Baca Juga : Serangan Akira Ransomware Bocorkan 23GB Data Apache OpenOffice
Yang bikin situasinya makin serius, LockBit 5.0 kini mendukung Windows, Linux, hingga ESXi. Artinya, serangan tidak lagi terbatas pada satu sistem operasi saja, melainkan bisa menyasar infrastruktur yang lebih luas, termasuk lingkungan virtualisasi yang banyak digunakan perusahaan.
Mendukung Banyak Platform
Berbeda dengan versi-versi awal yang cenderung fokus pada Windows, LockBit 5.0 hadir dengan dukungan lintas platform. Dukungan terhadap Linux dan ESXi (VMware hypervisor) membuatnya semakin fleksibel dalam menyerang server perusahaan dan data center.
Ransomware ini tetap beroperasi dengan model ransomware-as-a-service (RaaS). Artinya, pengembang menyediakan “layanan” kepada afiliasi untuk melancarkan serangan. Skema yang digunakan juga masih mengandalkan metode double-extortion, yaitu:
-
Mengenkripsi file korban
-
Mencuri data sebelum enkripsi
-
Mengancam akan membocorkan data jika tebusan tidak dibayar
Tekanan ganda inilah yang membuat banyak perusahaan akhirnya memilih membayar demi mencegah kerugian reputasi yang lebih besar.
Sektor yang Paling Banyak Terdampak
Berdasarkan laporan yang ada, sektor bisnis di Amerika Serikat menjadi target utama. Sekitar 67% korban tercatat berasal dari perusahaan swasta.
Selain itu, sektor lain yang terdampak meliputi:
-
Manufaktur
-
Layanan kesehatan
-
Pendidikan
-
Jasa keuangan
-
Instansi pemerintahan
Sejak Desember 2025, situs kebocoran data milik LockBit telah mendokumentasikan 60 entri korban, menunjukkan bahwa kampanye ini memiliki dampak yang cukup luas dan sistematis.
Dukungan Proxmox Jadi Sorotan
Salah satu fitur yang paling mengkhawatirkan dari LockBit 5.0 adalah klaim bahwa ransomware ini bisa bekerja pada seluruh versi Proxmox.
Sebagai informasi, Proxmox adalah platform virtualisasi open-source yang kini semakin banyak diadopsi perusahaan sebagai alternatif hypervisor komersial. Jika klaim ini benar, maka perusahaan yang memigrasikan infrastruktur ke Proxmox pun tetap berisiko terkena serangan.
Peningkatan dari Versi Sebelumnya
Menurut analis Acronis, LockBit 5.0 memiliki kemiripan dengan versi 4, namun menghadirkan peningkatan signifikan, terutama pada:
-
Kemampuan menghindari deteksi (defense evasion)
-
Kecepatan proses enkripsi
Varian Windows disebut sebagai versi paling canggih secara teknis. Beberapa teknik anti-analisis yang digunakan antara lain:
-
Packing mechanism
-
DLL unhooking
-
Process hollowing
-
Patching Event Tracing for Windows (ETW)
Selain itu, malware ini juga menghapus seluruh log sistem untuk menghilangkan jejak forensik. Sementara itu, versi Linux dan ESXi memang tidak menggunakan teknik packing, tetapi hampir semua string dalam kode dienkripsi untuk menghindari deteksi.
Algoritma Enkripsi yang Digunakan
Ketiga varian platform menggunakan algoritma enkripsi yang sama, yakni kombinasi:
-
XChaCha20 untuk enkripsi simetris
-
Curve25519 untuk enkripsi asimetris
Setiap file yang terenkripsi akan diberi ekstensi acak sepanjang 16 karakter, sehingga makin sulit dikenali.
Menariknya, ransomware ini membuat beberapa thread enkripsi berdasarkan jumlah prosesor sistem. Hasilnya? Proses enkripsi berjalan sangat cepat di lingkungan yang terinfeksi.
Mekanisme Evasion dan Persistensi yang Lebih Canggih
Varian Windows menunjukkan taktik penghindaran yang jauh lebih kompleks. LockBit 5.0 menggunakan teknik Mixed Boolean-Arithmetic obfuscation dengan hashing yang bergantung pada return address untuk menyamarkan fungsi aslinya.
Ransomware ini juga melakukan pemeriksaan geolokasi untuk menghindari infeksi pada sistem di negara-negara pasca-Soviet. Sebelum proses enkripsi dimulai, LockBit memeriksa pengaturan bahasa sistem dan membandingkannya dengan identifier bahasa Rusia.
Teknik process hollowing juga digunakan, dengan menyuntikkan dirinya ke dalam utilitas Windows yang sah, yaitu defrag.exe. Dengan cara ini, ransomware dapat berjalan seolah-olah merupakan proses sistem yang terpercaya.
Setelah enkripsi selesai, LockBit memodifikasi fungsi EtwEventWrite dengan mengganti byte pertamanya menjadi instruksi return, sehingga mematikan pemantauan Event Tracing for Windows. Kemudian, semua event log dihapus menggunakan fungsi EvtClearLog, membuat aktivitasnya semakin sulit dilacak.
Indikasi Kerja Sama Infrastruktur Siber
Analisis infrastruktur menunjukkan bahwa situs kebocoran data LockBit di-host pada alamat IP yang sebelumnya dikaitkan dengan operasi malware SmokeLoader.
Hal ini mengindikasikan kemungkinan adanya berbagi infrastruktur atau kerja sama antar kelompok kriminal siber, praktik yang memang umum terjadi di pasar gelap digital.
Langkah Mitigasi yang Perlu Dilakukan
Melihat kompleksitas serangan LockBit 5.0, organisasi perlu menerapkan pendekatan keamanan berlapis, antara lain:
-
Backup offline secara rutin
-
Segmentasi jaringan
-
Solusi Endpoint Detection and Response (EDR)
-
Manajemen patch yang tepat waktu
Tak kalah penting, pelatihan kesadaran keamanan bagi karyawan tetap menjadi garis pertahanan pertama, terutama untuk mencegah akses awal melalui kampanye phishing.
Administrator sistem juga disarankan untuk memantau:
-
Perilaku proses yang mencurigakan
-
Aktivitas enkripsi file yang tidak wajar
-
Upaya penonaktifan mekanisme logging keamanan
Baca Juga : Ransomware LockBit 5.0 Serang Data Perusahaan di Berbagai Platform
Kesimpulan
LockBit 5.0 bukan sekadar pembaruan biasa. Dengan dukungan lintas platform, teknik evasion yang lebih canggih, serta kemampuan enkripsi yang cepat, ransomware ini menjadi ancaman serius bagi berbagai sektor industri.
Di tengah lanskap ancaman yang terus berkembang, kesiapan dan strategi keamanan yang proaktif menjadi kunci utama. Karena di dunia siber, satu celah kecil saja bisa berujung pada dampak yang sangat besar.
