RansomHouse adalah sebuah operasi kejahatan siber berbasis Ransomware-as-a-Service (RaaS) yang pertama kali muncul pada Desember 2021 sebagai kelompok pemerasan data. Singkatnya, RansomHouse adalah model bisnis di mana pengembang menyediakan infrastruktur dan alat enkripsi untuk digunakan oleh afiliasi dalam mengunci data korban dan memeras tebusan dengan pembagian keuntungan tertentu.
Kayaknya kelompok ini nggak mau main-main lagi soal teknis serangan mereka. Sepertinya mereka baru saja melakukan pembaruan besar pada alat enkripsi miliknya, beralih dari teknik linear fase tunggal yang tergolong simpel ke metode multi-layer yang jauh lebih rumit. Varian baru ini dijuluki sebagai ‘Mario’. Berikut adalah rincian teknis mengenai apa saja yang berubah dari alat enkripsi mereka:
- Transformasi Data Dua Tahap:
Kalau versi sebelumnya cuma pakai satu tahap, Mario ini beralih ke transformasi dua tahap yang menggunakan dua kunci sekaligus. Kunci primernya sebesar 32-byte dan kunci sekundernya 8-byte. Begitunya, tingkat entropi atau kerumitan enkripsinya jadi makin tinggi. Hal ini bikin proses pemulihan data sebagian jadi makin susah buat dilakukan oleh tim forensik. - Strategi Pemrosesan Berkas Dinamis:
Mereka menerapkan dynamic chunk sizing dengan ambang batas sekitar 8GB dan teknik intermittent encryption (enkripsi yang dilakukan secara berselang-seling). Kira-kiranya, metode ini bikin analisis statis jadi nggak berdaya karena alur kerjanya nggak linear. Mereka pakai perhitungan matematika yang rumit buat menentukan urutan pemrosesan file, tergantung dari ukuran masing-masing file tersebut. - Optimasi Layout Memori dan Buffer:
Ada peningkatan signifikan pada cara Mario mengatur memori. Sekarang mereka menggunakan beberapa buffer khusus untuk setiap tahap enkripsi atau peran tertentu. Sebegitu rapinya organisasi memori ini, rasanya Mario jadi jauh lebih stabil dan efisien saat dijalankan di lingkungan target yang modern dibandingkan versi pendahulunya. - Log File yang Lebih Informatif:
Varian baru ini sekarang mencetak informasi yang jauh lebih detail saat memproses file. Kalau dulu cuma sekadar bilang “tugas selesai”, sekarang teknisnya lebih transparan di sisi mereka, sehingga para pelaku bisa memantau mana saja file yang berhasil dikunci dengan lebih presisi. - Target Spesifik pada File VM:
Mario masih fokus menyasar file-file pada mesin virtual (VM). Setelah file berhasil dienkripsi, ekstensinya bakal berubah jadi .emario. Mereka juga otomatis naruh catatan tebusan berjudul How To Restore Your Files.txt di setiap folder yang terdampak.
Melihat perkembangan RansomHouse lewat varian Mario ini, sepertinya strategi mereka makin fokus ke arah efisiensi dan penghindaran deteksi daripada sekadar mencari jumlah korban yang banyak. Mereka mungkin bukan yang paling aktif di pasaran, tapi alat-alat yang dikembangkan kayak MrAgent buat mengunci banyak VMware ESXi sekaligus itu sudah menunjukkan kalau mereka sangat berbahaya. Rekomendasinya, kalian harus lebih memperketat keamanan di sektor virtualisasi dan jangan pernah mengabaikan pembaruan sistem keamanan rutin. Segitunya niat para peretas buat berkembang, kita nggak boleh kalah sigap dalam memitigasi risiko enkripsi yang makin canggih ini.
Terima kasih sudah menyimak pembahasan mendalam mengenai cara kerja varian ransomware terbaru ini. Kuranglebihnya mohon dimaklumi jika ada penjelasan yang terlalu teknis, semoga informasi ini bisa jadi pengingat buat kita semua untuk tetap waspada, rekan-rekanita.