Saturday, 25 October 2025

Prey Ransomware: Varian Agresif yang Turun Langsung dari MedusaLocker

 

Para peneliti keamanan siber baru-baru ini mengidentifikasi kemunculan ransomware baru bernama Prey — anggota terbaru dari keluarga MedusaLocker yang terkenal agresif dan sulit diberantas.
Ransomware ini menggunakan kombinasi algoritma RSA dan AES untuk mengenkripsi data korban, menambahkan ekstensi “.prey35” pada file yang terinfeksi, serta meninggalkan pesan tebusan dalam format HTML bernama HOW_TO_RECOVER_DATA.html.

Begitu dijalankan, Prey akan memodifikasi konfigurasi sistem, mengganti wallpaper desktop, dan menonaktifkan fitur pemulihan sistem. Malware ini juga menghapus Volume Shadow Copies, mencegah pengguna mengembalikan file mereka menggunakan restore point atau backup utility bawaan Windows.

Taktik dan Mekanisme Infeksi

Sama seperti varian MedusaLocker sebelumnya, Prey menyebar melalui beberapa jalur distribusi klasik:

  • Lampiran email berbahaya (phishing attachment),

  • Malicious downloads, dan

  • Exploit-based delivery methods.

Ransomware ini menargetkan sistem operasi Windows, terutama di lingkungan enterprise yang memiliki data bernilai tinggi. Selama proses eksekusi, Prey menjalankan perintah seperti:

vssadmin.exe Delete Shadows /all /quiet
wmic shadowcopy delete /nointeractive

Tujuannya jelas: menghapus shadow volume copies agar pengguna tidak dapat memulihkan data melalui backup lokal. Selain itu, Prey menanam mekanisme persistence dengan menulis entri pada:

  • Registry key seperti HKCU/HKLM\...\Run atau RunOnce,

  • Scheduled Tasks,

  • Windows Services,

  • Shortcut di folder Startup, atau

  • WMI/event subscriptions.

Dengan begitu, ransomware ini akan otomatis dijalankan kembali setelah reboot atau logon — memastikan bahwa sistem tetap terinfeksi bahkan setelah upaya pembersihan.

Pesan Tebusan: Ancaman Double Extortion

File HOW_TO_RECOVER_DATA.html yang ditinggalkan oleh Prey berisi penjelasan bahwa data korban telah dienkripsi dan dicuri (data exfiltration). Pesan tersebut menyatakan bahwa hanya pelaku yang dapat melakukan dekripsi, dan memperingatkan korban agar tidak mencoba menggunakan alat pihak ketiga yang dapat “merusak permanen” file.

Korban diberikan dua alamat email kontak dan tenggat waktu 72 jam sebelum jumlah tebusan meningkat. Jika tidak membayar, para pelaku mengancam akan memublikasikan data korban secara terbuka — mencerminkan strategi double extortion yang kini umum digunakan dalam ekosistem ransomware modern.

Analisis dan Relevansi

Dari hasil pengamatan, Prey menunjukkan pola yang semakin kompleks dan matang dalam operasionalnya. Ransomware ini:

  • Mengandalkan social engineering untuk mengelabui korban agar mengeksekusi payload (melalui email, installer trojanized, atau file unduhan palsu).

  • Menghapus artefak pemulihan lokal seperti shadow copies dan backups.

  • Membangun simple persistence agar tetap aktif meski sistem direboot.

  • Menggunakan narasi ancaman data disclosure untuk memaksa pembayaran.

Dalam jangka panjang, para peneliti memprediksi bahwa Prey bisa berevolusi menjadi ancaman modular dengan fitur-fitur lanjutan seperti:

  • Enkripsi dan manajemen kunci yang lebih kuat,

  • Redundansi C2 melalui Tor/IM proxy,

  • Mekanisme lateral movement menggunakan teknik seperti credential theft atau pass-the-hash,

  • Penggunaan Ransomware-as-a-Service (RaaS) untuk memperluas jaringan afiliasi,

  • Teknik fileless attack, sandbox evasion, dan anti-debugging untuk menghindari deteksi.

Jika arah ini terwujud, maka Prey akan menjadi ancaman yang lebih evasive, persistent, dan destructive — menyerang tidak hanya sistem lokal, tapi juga cloud backups dan snapshot cadangan.

Rekomendasi Strategis untuk Pertahanan

Untuk menghadapi ancaman seperti Prey ransomware, organisasi disarankan untuk:

  1. Menerapkan protokol keamanan yang kuat – termasuk konfigurasi enkripsi, autentikasi, dan kredensial akses pada sistem kritikal (baik di cloud maupun on-premise).

  2. Menjaga cadangan data (backup) secara berkala – pastikan backup disimpan di lokasi offline atau immutable storage agar tidak terpengaruh jika sistem utama terinfeksi.

  3. Memperkuat segmentasi jaringan dan hygiene kredensial – membatasi pergerakan lateral malware dalam jaringan internal.

  4. Meningkatkan deteksi berbasis telemetri dan perilaku – mendeteksi aktivitas abnormal seperti eksekusi alat admin Windows secara tidak wajar.

Kesimpulan

Kehadiran Prey ransomware menegaskan bahwa evolusi MedusaLocker masih jauh dari berakhir. Dengan taktik enkripsi ganda, penghapusan backup, serta ancaman kebocoran data, varian ini menjadi peringatan serius bagi semua sektor — terutama organisasi berbasis Windows dengan sistem cadangan yang belum terproteksi dengan baik.
Langkah terbaik bukan hanya mencegah infeksi, tetapi juga memastikan ketahanan data (data resilience) melalui backup aman, deteksi dini, dan segmentasi jaringan yang matang.

 



No comments:

Post a Comment

Subscribe to: Post Comments (Atom)