Image credit: Pixabay
Bocoran! Ransomware Pilih File Paling Penting – Lanskap ancaman siber terus berkembang dengan munculnya berbagai kelompok dan varian ransomware baru yang semakin canggih.
Salah satu ancaman yang mulai menarik perhatian peneliti keamanan siber pada tahun 2026 adalah ransomware bernama Prinz Eugen.
Berbeda dengan banyak ransomware modern yang beroperasi menggunakan model Ransomware-as-a-Service (RaaS), Prinz Eugen tampaknya dijalankan oleh kelompok yang lebih terorganisasi dan mengelola operasinya sendiri.
Temuan terbaru menunjukkan bahwa ransomware ini memiliki strategi unik dalam memilih target file yang akan dienkripsi serta menerapkan berbagai teknik untuk mengurangi jejak digital dan mempersulit proses investigasi.
Mengutamakan File yang Paling Baru Digunakan
Salah satu karakteristik yang membedakan Prinz Eugen dari banyak ransomware lainnya adalah kemampuannya memprioritaskan file yang baru saja dimodifikasi.
Alih-alih mengenkripsi file secara acak atau berdasarkan lokasi tertentu, ransomware ini terlebih dahulu mencari file yang memiliki waktu modifikasi paling terbaru. Jika terdapat beberapa file dengan waktu yang sama, proses enkripsi dilakukan berdasarkan urutan alfabet.
Strategi ini diyakini dirancang untuk meningkatkan dampak serangan terhadap korban. File yang baru dimodifikasi umumnya merupakan dokumen yang sedang aktif digunakan oleh pengguna atau organisasi, sehingga kemungkinan besar memiliki nilai operasional yang tinggi.
Dengan menargetkan file-file tersebut terlebih dahulu, pelaku berharap dapat meningkatkan tekanan terhadap korban untuk memenuhi tuntutan mereka.
Menggunakan Teknik yang Sulit Dideteksi
Peneliti menemukan bahwa pelaku Prinz Eugen lebih mengandalkan pendekatan manual atau yang sering disebut sebagai hands-on-keyboard attack.
Dalam metode ini, pelaku tidak sepenuhnya mengandalkan otomatisasi, tetapi secara aktif berinteraksi dengan sistem korban setelah berhasil memperoleh akses.
Untuk mempertahankan akses dan mengelola sistem yang telah disusupi, pelaku diketahui menggunakan perangkat lunak Remote Monitoring and Management (RMM) yang sah.
Serta berbagai alat bawaan sistem operasi yang umum digunakan administrator. Pendekatan semacam ini membuat aktivitas mereka lebih sulit dibedakan dari aktivitas administratif yang normal.
Dalam salah satu insiden yang dianalisis, peneliti juga menemukan penggunaan akun administrator tersembunyi yang berfungsi sebagai mekanisme persistensi agar pelaku dapat kembali mengakses sistem di kemudian hari.
Mekanisme Enkripsi yang Kuat
Prinz Eugen dibangun menggunakan bahasa pemrograman Go dan menerapkan algoritma kriptografi modern yang dirancang untuk membuat proses pemulihan data tanpa kunci enkripsi menjadi sangat sulit.
Ransomware ini melakukan pemindaian direktori secara menyeluruh tanpa batas kedalaman dan mengenkripsi hampir seluruh file yang ditemukan.
Setelah proses enkripsi selesai, file korban akan diberi ekstensi baru yang menandakan bahwa file tersebut telah diproses oleh ransomware.
Menariknya, sebelum menghapus file asli, malware akan melakukan verifikasi untuk memastikan bahwa file hasil enkripsi dapat didekripsi menggunakan kunci yang sesuai.
Langkah ini menunjukkan tingkat pengembangan yang cukup matang dan bertujuan menghindari kerusakan data yang tidak disengaja.
Selain itu, setelah proses enkripsi selesai, ransomware akan menghapus jejak kunci enkripsi dari memori dan bahkan menghapus dirinya sendiri dari sistem untuk mempersulit proses analisis forensik.
|
Baca juga: Pentingnya Tim dan Respons yang Tepat dalam Keamanan Siber |
Tidak Menggunakan Catatan Tebusan Tradisional
Sebagian besar ransomware biasanya meninggalkan catatan tebusan (ransom note) atau mengubah wallpaper desktop korban sebagai bentuk pemberitahuan bahwa sistem telah disandera.
Namun Prinz Eugen mengambil pendekatan yang berbeda.
Peneliti tidak menemukan fungsi yang digunakan untuk membuat catatan tebusan maupun mengubah tampilan desktop korban.
Komunikasi dengan korban diduga dilakukan melalui jalur terpisah seperti email, panggilan telepon, atau portal khusus yang berada di luar sistem korban.
Pendekatan ini semakin banyak digunakan oleh kelompok ransomware modern karena mampu mengurangi jejak digital yang dapat dimanfaatkan oleh tim investigasi serta menyulitkan sistem keamanan dalam mendeteksi tahap pemerasan secara otomatis.
Korban dan Aktivitas yang Teridentifikasi
Meskipun situs kebocoran data yang dimiliki kelompok ini hanya menampilkan beberapa korban, komunitas keamanan siber telah mengidentifikasi lebih banyak organisasi yang terdampak.
Dalam beberapa kasus, pelaku tidak hanya melakukan enkripsi data tetapi juga mencuri informasi dari sistem korban sebelum melancarkan tahap pemerasan.
Pendekatan ini memungkinkan pelaku memiliki tekanan tambahan terhadap korban, terutama jika data yang dicuri memiliki nilai bisnis atau reputasi yang tinggi.
|
Baca juga: Spyware Seluler |
Pelajaran yang Dapat Dipetik
Kemunculan Prinz Eugen menunjukkan bahwa ransomware modern tidak lagi hanya mengandalkan kemampuan enkripsi data.
Kelompok di balik ancaman ini juga memperhatikan aspek operasional, teknik penyamaran, serta metode untuk mengurangi kemungkinan terdeteksi oleh sistem keamanan maupun tim investigasi.
Selain itu, penggunaan perangkat lunak administrasi yang sah dan teknik yang menyerupai aktivitas administrator menunjukkan bahwa batas antara aktivitas normal dan aktivitas berbahaya semakin sulit dibedakan.
Organisasi perlu memahami bahwa ancaman saat ini tidak selalu datang dalam bentuk malware yang mudah dikenali, tetapi dapat memanfaatkan alat dan mekanisme yang sebenarnya digunakan setiap hari dalam operasional TI.
Pengingat untuk Pengguna
Prinz Eugen menjadi contoh bagaimana ransomware terus berevolusi dengan menggabungkan teknik enkripsi yang kuat, pendekatan operasional yang lebih tersembunyi, serta kemampuan untuk memprioritaskan target yang dianggap paling bernilai bagi korban.
Dengan memfokuskan serangan pada file yang baru digunakan dan mengurangi jejak aktivitasnya, ransomware ini menunjukkan tingkat kematangan yang patut diperhatikan.
Bagi organisasi maupun pengguna individu, perkembangan ancaman seperti Prinz Eugen menjadi pengingat bahwa keamanan siber tidak hanya berkaitan dengan perlindungan terhadap malware.
Tetapi juga mencakup pemantauan aktivitas yang mencurigakan, pengelolaan akses yang baik, serta kemampuan mendeteksi penyalahgunaan alat dan layanan yang sah sebelum menimbulkan dampak yang lebih besar.
Sumber berita:
