Prinz Eugen Ransomware: Ancaman Baru yang Fokus pada File Terbaru dan Tanpa Catatan

Sebuah kelompok ransomware baru bernama Prinz Eugen tengah menarik perhatian para ahli keamanan karena taktiknya yang tidak biasa. Berbeda dengan sebagian besar operasi serupa, malware ini tidak meninggalkan catatan tebusan di sistem korban dan justru memprioritaskan file yang baru dimodifikasi untuk dienkripsi. Dengan menggunakan kombinasi alat remote monitoring dan manajemen (RMM) yang sah serta teknik living-off-the-land, serangan ini menunjukkan pendekatan yang lebih terarah dan berdampak tinggi. Temuan awal mengindikasikan bahwa kelompok ini kemungkinan memperoleh akses awal melalui kredensial RDP yang dicuri, sebelum kemudian mengunduh dan menjalankan payload utama secara manual.

Para peneliti dari Threatdown mengamati bahwa serangan ini dilakukan dengan gaya "hands-on-keyboard", di mana pelaku terlibat langsung dalam setiap tahap serangan. Mereka menggunakan perangkat lunak RMM seperti RemotePC dan menciptakan akun administrator backdoor untuk mempertahankan akses jangka panjang. Pendekatan ini menunjukkan tingkat kecanggihan yang lebih tinggi dibandingkan dengan serangan ransomware yang diotomatisasi sepenuhnya. Selain itu, tidak adanya model RaaS (ransomware-as-a-service) dalam operasi ini juga menjadi perbedaan mencolok, karena kelompok ini tampaknya tidak merekrut afiliasi untuk memperluas jangkauan serangan.

Bagaimana Prinz Eugen Memilih Target: Fokus pada File Terbaru

Prinz Eugen menonjol karena strategi pemilihannya yang cermat terhadap file yang akan dienkripsi. Malware ini memindai seluruh direktori secara rekursif tanpa batasan kedalaman dan mengenkripsi hampir semua file, kecuali yang sudah memiliki ekstensi .prinzeugen—yang merupakan tanda bahwa file tersebut telah dienkripsi. Yang menarik, malware ini memprioritaskan file yang baru dimodifikasi, dan jika beberapa file memiliki timestamp yang sama, mereka akan diproses berdasarkan urutan abjad. Pendekatan ini dirancang untuk memaksimalkan dampak serangan dengan menargetkan file yang kemungkinan besar sedang digunakan atau kritikal bagi operasional bisnis.

Menurut analisis Threatdown, fokus pada file terbaru ini bertujuan untuk meningkatkan tekanan terhadap korban. File yang baru dimodifikasi biasanya merupakan dokumen penting, spreadsheet, atau basis data yang sedang aktif digunakan. Dengan mengenkripsi file-file ini terlebih dahulu, pelaku berharap korban akan merasa lebih terdesak untuk membayar tebusan karena kerugian yang ditimbulkan akan lebih cepat terasa. Pendekatan ini juga menunjukkan pemahaman yang mendalam tentang kebiasaan kerja korporat, di mana file terbaru sering kali merupakan yang paling relevan dan sulit untuk digantikan.

Teknik Enkripsi dan Infrastruktur yang Digunakan

Prinz Eugen menggunakan algoritma ChaCha20-Poly1305 untuk enkripsi, yang dikenal karena keamanannya yang kuat dan efisiensi dalam proses enkripsi-dekripsi. Setiap file dienkripsi dalam potongan 1 MB, dan integritas file diperiksa menggunakan fungsi hash SHA-256. Untuk kunci enkripsi, malware ini menggunakan kunci master berukuran 32 byte yang dihasilkan melalui kombinasi Argon2id, SHA-256, dan HKDF-SHA256. Setiap file juga diberikan initialization vector (IV) acak untuk memastikan bahwa kunci yang sama tidak menghasilkan pola enkripsi yang dapat diprediksi.

Selain itu, malware ini memiliki kemampuan untuk menghapus file asli setelah enkripsi jika diberi flag --delete. Fitur ini semakin meningkatkan kerusakan yang ditimbulkan, karena korban tidak hanya kehilangan akses ke file yang dienkripsi tetapi juga file aslinya. Pendekatan ini mencerminkan taktik yang semakin umum di kalangan pelaku ransomware modern, di mana penghapusan data asli digunakan sebagai tekanan tambahan untuk memaksa korban membayar tebusan.

Alat dan Infrastruktur yang Dimanfaatkan Pelaku

Penelitian menunjukkan bahwa pelaku Prinz Eugen menggunakan alat RMM sah seperti RemotePC untuk mempertahankan akses jarak jauh ke sistem korban. Mereka juga menciptakan akun administrator backdoor yang memungkinkan mereka untuk tetap terhubung ke sistem bahkan setelah upaya pembersihan awal. Pendekatan ini menunjukkan bahwa pelaku tidak hanya mengandalkan malware, tetapi juga memanfaatkan infrastruktur dan alat yang sah untuk menyembunyikan aktivitas mereka.

Selain itu, pelaku diduga memperoleh akses awal melalui kredensial RDP yang dicuri. RDP (Remote Desktop Protocol) sering kali menjadi sasaran empuk karena banyak organisasi yang tidak menerapkan otentikasi multi-faktor atau memiliki kebijakan kata sandi yang lemah. Setelah mendapatkan akses awal, pelaku kemudian mengunduh dan menjalankan payload utama secara manual, yang menunjukkan tingkat keterlibatan manusia yang tinggi dalam setiap serangan. Pendekatan ini memungkinkan mereka untuk menghindari deteksi otomatis dan menyesuaikan serangan sesuai dengan lingkungan korban.

Perbedaan dengan Model Ransomware-as-a-Service

Salah satu hal yang membedakan Prinz Eugen dari sebagian besar operasi ransomware lainnya adalah tidak adanya model RaaS. Dalam model RaaS, pengembang malware menyediakan perangkat lunak dan infrastruktur kepada afiliasi, yang kemudian melakukan serangan dan berbagi keuntungan. Namun, dalam kasus Prinz Eugen, tidak ada indikasi bahwa kelompok ini merekrut afiliasi atau menjual akses ke malware mereka. Pendekatan ini menunjukkan bahwa kelompok ini kemungkinan memiliki sumber daya dan kapabilitas internal yang memadai untuk melakukan serangan secara mandiri.

Tidak adanya model RaaS juga berarti bahwa kelompok ini tidak bergantung pada afiliasi untuk memperluas jangkauan serangan. Hal ini dapat membuat aktivitas mereka lebih sulit untuk dilacak, karena mereka tidak perlu berinteraksi dengan banyak pihak yang berbeda. Selain itu, tanpa afiliasi, kelompok ini juga tidak terikat oleh kontrak atau perjanjian yang mungkin membatasi jenis serangan yang dapat mereka lakukan. Akibatnya, mereka dapat lebih fleksibel dalam memilih target dan menyesuaikan taktik serangan.

Dampak terhadap Korban dan Komunitas Keamanan

Meskipun hanya tiga korban yang terdaftar di situs data leak milik Prinz Eugen, para ahli keamanan meyakini bahwa jumlah korban yang sebenarnya jauh lebih besar. Hal ini menunjukkan bahwa kelompok ini mungkin sedang dalam tahap awal operasional mereka dan belum sepenuhnya terungkap. Selain itu, tidak adanya catatan tebusan juga membuatnya sulit bagi korban untuk mengetahui siapa yang bertanggung jawab atas serangan tersebut, sehingga menyulitkan proses negosiasi dan pemulihan.

Bagi komunitas keamanan, Prinz Eugen menjadi peringatan akan pentingnya menerapkan langkah-langkah keamanan yang komprehensif. Organisasi perlu memastikan bahwa kredensial RDP diamankan dengan baik, misalnya dengan menerapkan otentikasi multi-faktor dan kebijakan kata sandi yang kuat. Selain itu, penggunaan alat RMM sah juga perlu diawasi dengan ketat, karena pelaku dapat memanfaatkannya untuk menyembunyikan aktivitas jahat. Pemantauan aktivitas jaringan yang berkelanjutan dan penerapan prinsip least privilege juga dapat membantu mengurangi risiko serangan semacam ini.

Langkah-Langkah Perlindungan yang Dapat Diambil

Untuk melindungi diri dari serangan ransomware semacam Prinz Eugen, organisasi perlu mengambil langkah-langkah proaktif. Pertama, pastikan bahwa semua sistem dan perangkat lunak selalu diperbarui dengan patch terbaru. Kerentanan yang tidak ditambal sering kali menjadi pintu masuk bagi pelaku untuk mengakses sistem. Kedua, terapkan otentikasi multi-faktor untuk semua akses jarak jauh, termasuk RDP dan alat RMM. Hal ini dapat secara signifikan mengurangi risiko kredensial yang dicuri digunakan untuk mengakses sistem.

Selain itu, batasi penggunaan alat RMM hanya kepada personel yang berwenang dan pantau aktivitasnya secara ketat. Pastikan bahwa akun administrator backdoor tidak dibuat tanpa izin, dan terapkan prinsip least privilege untuk meminimalkan dampak jika akun tersebut disusupi. Selain itu, lakukan pencadangan data secara rutin dan pastikan bahwa cadangan tersebut disimpan di lokasi yang terpisah dan tidak terhubung ke jaringan utama. Dengan cara ini, korban dapat memulihkan data mereka tanpa harus membayar tebusan.

Organisasi juga perlu meningkatkan kesadaran karyawan tentang ancaman ransomware dan teknik yang digunakan oleh pelaku. Pelatihan keamanan siber yang berkala dapat membantu karyawan mengenali upaya phishing atau teknik rekayasa sosial lainnya yang digunakan untuk mencuri kredensial. Selain itu, implementasikan solusi keamanan yang dapat mendeteksi aktivitas mencurigakan di jaringan, seperti perilaku anomali atau penggunaan alat RMM yang tidak sah.

Masa Depan Ancaman Ransomware dan Apa yang Perlu Diwaspadai

Prinz Eugen menunjukkan bahwa ancaman ransomware terus berkembang dengan taktik yang semakin canggih. Kelompok ini tidak hanya mengandalkan enkripsi file, tetapi juga memanfaatkan alat sah dan teknik living-off-the-land untuk menghindari deteksi. Hal ini mencerminkan tren yang lebih luas dalam dunia ransomware, di mana pelaku semakin mengandalkan pendekatan yang lebih terarah dan berdampak tinggi.

Para ahli keamanan perlu terus memantau perkembangan kelompok-kelompok ransomware baru dan taktik yang mereka gunakan. Selain itu, organisasi perlu mengadopsi pendekatan keamanan yang holistik, yang mencakup tidak hanya teknologi tetapi juga proses dan kesadaran karyawan. Dengan demikian, mereka dapat lebih siap menghadapi ancaman yang terus berkembang ini.

Bagi korban potensial, penting untuk memahami bahwa serangan ransomware tidak lagi sekadar tentang enkripsi file. Pelaku semakin agresif dalam menggunakan berbagai taktik untuk memaksimalkan dampak dan tekanan terhadap korban. Oleh karena itu, kesiapsiagaan dan respons yang cepat menjadi kunci untuk meminimalkan kerugian dan memulihkan operasional dengan segera.