RansomHouse Tingkatkan Enkripsi dengan Pemrosesan Data Berlapis

Kelompok ransomware-as-a-service (RaaS) RansomHouse dilaporkan melakukan peningkatan signifikan pada mekanisme enkripsinya. Perubahan ini menandai peralihan dari teknik enkripsi linear satu tahap yang relatif sederhana ke metode baru yang lebih kompleks dengan pemrosesan data berlapis. Langkah tersebut dinilai memperkuat posisi pelaku ancaman dalam setiap tahap negosiasi pasca-serangan.

Peningkatan ini tidak hanya menghasilkan enkripsi yang lebih kuat, tetapi juga menawarkan kecepatan pemrosesan yang lebih tinggi serta stabilitas yang lebih baik pada lingkungan target modern. Dengan kemampuan tersebut, RansomHouse berpotensi meningkatkan tekanan terhadap korban, terutama dalam skenario pemerasan data dan pemulihan sistem.

RansomHouse pertama kali muncul pada Desember 2021 sebagai operasi kejahatan siber yang berfokus pada pemerasan data. Seiring waktu, kelompok ini mulai mengadopsi ransomware dalam serangannya dan mengembangkan alat otomatis bernama MrAgent, yang dirancang untuk mengunci beberapa hypervisor VMware ESXi secara bersamaan. Dalam beberapa laporan terbaru, aktor ancaman ini juga dikaitkan dengan penggunaan berbagai keluarga ransomware dalam serangan terhadap perusahaan e-commerce besar di Jepang.

Varian Enkriptor Baru “Mario”

Peneliti dari Palo Alto Networks Unit 42 mengungkap detail lebih lanjut mengenai perangkat RansomHouse, termasuk varian enkriptor terbarunya yang diberi nama “Mario.” Enkriptor ini mengubah pendekatan enkripsi dari satu kali transformasi data menjadi proses dua tahap yang memanfaatkan dua kunci berbeda, yakni kunci utama berukuran 32 byte dan kunci sekunder 8 byte. Pendekatan ini meningkatkan tingkat entropi enkripsi dan secara signifikan mempersulit upaya pemulihan data secara parsial.

Selain itu, “Mario” memperkenalkan strategi pemrosesan file baru dengan ukuran potongan data yang dinamis, khususnya untuk file berukuran di atas 8 GB, serta menerapkan enkripsi secara berselang. Menurut Unit 42, metode ini menyulitkan analisis statis karena sifatnya yang tidak linear, penggunaan perhitungan matematis kompleks untuk menentukan urutan pemrosesan, serta pendekatan yang berbeda untuk setiap file berdasarkan ukurannya.

Peningkatan lain yang menonjol adalah pengelolaan memori dan buffer yang lebih terstruktur. Enkriptor versi terbaru ini menggunakan beberapa buffer khusus untuk setiap tahap atau fungsi enkripsi, sehingga meningkatkan kompleksitas keseluruhan proses. Selain itu, enkriptor kini menampilkan informasi pemrosesan file yang lebih rinci, berbeda dengan versi lama yang hanya menandai penyelesaian tugas.

Varian terbaru RansomHouse tetap menargetkan file mesin virtual dan mengganti nama file terenkripsi dengan ekstensi “.emario.” Di setiap direktori yang terdampak, pelaku juga menyertakan catatan tebusan dengan judul “How To Restore Your Files.txt.”

Unit 42 menilai peningkatan enkripsi ini sebagai sinyal yang mengkhawatirkan, karena menunjukkan arah perkembangan ransomware yang semakin canggih. Kompleksitas yang lebih tinggi membuat proses dekripsi, analisis statis, dan rekayasa balik menjadi jauh lebih sulit. Meski RansomHouse masih tergolong operasi RaaS tingkat menengah dari sisi volume serangan, pengembangan alat yang berkelanjutan menunjukkan strategi yang terukur, dengan fokus pada efisiensi dan penghindaran deteksi dibandingkan ekspansi skala serangan.