Operasi Ransomware Baru “Prinz Eugen” Prioritaskan Enkripsi File Terbaru Tanpa Tinggalkan Pesan

Sebuah operasi kejahatan siber terorganisasi baru bersandi “Prinz Eugen” dilaporkan mulai menebar ancaman dengan menerapkan strategi enkripsi yang tidak biasa. Varian ransomware ini secara spesifik mengincar dan memprioritaskan file yang paling baru dimodifikasi untuk dikunci terlebih dahulu, serta secara sengaja tidak meninggalkan pesan pemerasan (ransom note) konvensional di dalam sistem komputer korban. +1

Berdasarkan investigasi mendalam dari Threatdown, divisi keamanan siber enterprise milik Malwarebytes, para operator di balik ransomware Prinz Eugen menerapkan metodologi serangan langsung (hands-on-keyboard style). Kelompok ini lebih memilih untuk memanipulasi software Remote Monitoring and Management (RMM) legal serta memanfaatkan perkakas internal bawaan sistem operasi (living-off-the-land tools) untuk mengelabui deteksi keamanan. +1

Para peneliti mengindikasikan bahwa akses awal ke jaringan target kemungkinan besar dicapai melalui eksploitasi kredensial RDP (Remote Desktop Protocol) yang telah dicuri sebelumnya. Setelah berhasil menembus perimeter pertahanan, pelaku secara manual mengunduh dan mengeksekusi payload utama yang dikemas dalam file bernama servertool.exe. Dalam salah satu kasus riil yang diinvestigasi, peretas terdeteksi menyalahgunakan alat RMM RemotePC serta membuat sebuah akun administrator backdoor guna mempertahankan posisi mereka (persistence) di dalam jaringan korporasi.

Berbeda dengan mayoritas sindikat pemerasan digital modern saat ini, operasi Prinz Eugen tidak berjalan di bawah model bisnis Ransomware-as-a-Service (RaaS). Pengembang malware ini tercatat bergerak secara mandiri dan saat ini tidak sedang membuka lowongan atau merekrut kelompok terafiliasi (affiliates) untuk menyebarkan program jahat mereka.

Meskipun situs kebocoran data (data leak site) milik kelompok ini di jaringan gelap saat ini baru memuat informasi dari tiga organisasi korban, komunitas keamanan siber global meyakini bahwa jumlah entitas yang telah lumpuh akibat serangan Prinz Eugen sebenarnya sudah jauh lebih banyak dari yang dipublikasikan.

Menelisik taktik enkripsinya, analisis kode menunjukkan bahwa malware yang dibangun menggunakan bahasa pemrograman Go ini sengaja diprogram untuk memburu file dengan catatan waktu modifikasi (timestamp) paling baru. Apabila terdapat beberapa file yang memiliki catatan waktu yang sama, sistem secara otomatis akan memprosesnya berdasarkan urutan alfabetis.

Para peneliti dari Threatdown menilai pendekatan ini sengaja diambil untuk memaksimalkan dampak kerusakan finansial dan operasional pada korban. Dengan mengunci file-file terbaru, ransomware ini secara langsung membidik data-data yang bersifat business-critical serta dokumen yang sedang aktif digunakan dalam operasional harian perusahaan. Hal tersebut secara otomatis mempersempit peluang backup data teranyar sekaligus meningkatkan tekanan psikologis pada manajemen korban agar bersedia membayar tebusan dengan cepat.

Sampel malware yang diuji menunjukkan kemampuan pemindaian direktori secara rekursif tanpa adanya batasan kedalaman folder maupun pengecualian sitem. Alhasil, praktis hampir seluruh file di dalam penyimpanan akan terenkripsi secara masif, kecuali file yang telah memiliki ekstensi .prinzeugen yang merupakan penanda resmi untuk file yang telah berhasil dikunci oleh ransomware ini.

Dari sisi kriptografi, ransomware ini mengadopsi sistem enkripsi kokoh berbasis ChaCha20-Poly1305 yang dikombinasikan dengan 32-byte master key, inisialisasi vektor acak (random IV) untuk setiap file, serta fungsi penurunan kunci (key derivation function) mutakhir berbasis Argon2id, SHA-256, dan HKDF-SHA256. Proses enkripsi dilakukan secara bertahap dalam ukuran fragmen sebesar 1 MB, di mana integritas file secara ketat diverifikasi menggunakan fungsi hash SHA-256.

Hal menarik lainnya diidentifikasi pada penggunaan perintah opsional atau flag --delete di dalam struktur kodenya. Ketika fitur ini diaktifkan untuk menghapus file asli pasca-enkripsi, sistem malware akan melakukan proses pengecekan internal terlebih dahulu guna memastikan bahwa file baru tersebut benar-benar dapat didekripsi kembali sebelum file originalnya dimusnahkan secara permanen dari penyimpanan. Guna menghindari deteksi forensik dan mempersulit proses ekstraksi kunci enkripsi dari memori, ransomware ini akan menimpa (overwrite) sisa kunci di memori menggunakan deretan angka nol, memaksa sistem melakukan pengosongan memori (garbage collection), lalu melakukan penghapusan mandiri (self-delete) dari hard disk.

Absennya file teks berisi pesan tebusan maupun modifikasi wallpaper desktop yang menjadi ciri khas serangan ransomware konvensional dinilai sebagai bagian dari taktik anti-forensik yang kian populer di kalangan kelompok peretas profesional. Langkah pembersihan jejak digital ini sengaja diadopsi untuk meminimalkan indikator anomali pada sistem sekaligus mempersulit alat proteksi Endpoint Detection and Response (EDR) dalam mendeteksi fase pemerasan secara otomatis. +1

Dengan memindahkan seluruh jalur komunikasi pemerasan ke luar sistem (out-of-band)—baik melalui surat elektronik langsung, kontak telepon, ataupun portal korban khusus di jaringan dark web—para aktor kejahatan ini berhasil menyembunyikan aktivitas ilegal mereka dari pelacakan otomatis, seperti yang sempat terdokumentasi pada kasus serangan terhadap Standard Bank Group di mana peretas sempat mengajukan tuntutan tebusan sebesar 1 BTC namun ditolak oleh pihak bank.