2026-06-20 00:00
← VoltarUma nova operação de ransomware chamada ‘Prinz Eugen’ prioriza arquivos modificados recentemente para criptografia e não deixa nota de resgate no sistema. Uma investigação da Threatdown, braço de segurança cibernética empresarial da Malwarebytes, descobriu que os hackers Prinz Eugen têm um estilo prático de teclado e preferem usar software legítimo de monitoramento e gerenciamento remoto (RMM) e ferramentas de vida fora da terra. De acordo com os pesquisadores, o acesso inicial é provavelmente obtido por meio de credenciais RDP roubadas, seguido pelo download manual e execução da carga útil principal, ‘servertool.exe’. Em um incidente investigado, os pesquisadores observaram o uso da ferramenta RemotePC RMM e uma conta de administrador backdoor que fornecia persistência. Ao contrário de muitas operações modernas de extorsão, o Prinz Eugen não opera sob o modelo ransomware como serviço (RaaS) e seus desenvolvedores não estão atualmente recrutando afiliados. Ao contrário da maioria das operações de extorsão, o Prinz Eugen não é um ransomware como serviço (RaaS), ou pelo menos os desenvolvedores não estão procurando afiliados no momento. Atualmente, o site de vazamento de dados do agente da ameaça lista apenas três vítimas, cada uma mostrando que os hackers estão envolvidos na criptografia de dados, exfiltração ou ambos. No entanto, a comunidade de segurança cibernética está ciente de mais organizações afetadas pelo ransomware Prinz Eugen.
Vítimas atualmente listadas no site...
Uma nova operação de ransomware chamada ‘Prinz Eugen’ prioriza arquivos modificados recentemente para criptografia e não deixa nota de resgate no sistema. Uma investigação da Threatdown, braço de segurança cibernética empresarial da Malwarebytes, descobriu que os hackers Prinz Eugen têm um estilo prático de teclado e preferem usar software legítimo de monitoramento e gerenciamento remoto (RMM) e ferramentas de vida fora da terra. De acordo com os pesquisadores, o acesso inicial é provavelmente obtido por meio de credenciais RDP roubadas, seguido pelo download manual e execução da carga útil principal, ‘servertool.exe’. Em um incidente investigado, os pesquisadores observaram o uso da ferramenta RemotePC RMM e uma conta de administrador backdoor que fornecia persistência. Ao contrário de muitas operações modernas de extorsão, o Prinz Eugen não opera sob o modelo ransomware como serviço (RaaS) e seus desenvolvedores não estão atualmente recrutando afiliados. Ao contrário da maioria das operações de extorsão, o Prinz Eugen não é um ransomware como serviço (RaaS), ou pelo menos os desenvolvedores não estão procurando afiliados no momento. Atualmente, o site de vazamento de dados do agente da ameaça lista apenas três vítimas, cada uma mostrando que os hackers estão envolvidos na criptografia de dados, exfiltração ou ambos. No entanto, a comunidade de segurança cibernética está ciente de mais organizações afetadas pelo ransomware Prinz Eugen.
Vítimas atualmente listadas no site Prinz Eugen Fonte: BleepingComputer Estratégia de criptografia Uma análise de um ataque Prinz Eugen revelou que o malware baseado em Go prioriza a criptografia dos arquivos modificados mais recentemente. Quando vários arquivos compartilham o mesmo carimbo de data/hora, eles são processados em ordem alfabética. Os pesquisadores de ameaças acreditam que esta abordagem visa maximizar o impacto sobre as vítimas, visando arquivos que são mais propensos a serem críticos para os negócios e em uso ativo, aumentando a pressão para pagar o resgate. A amostra analisada verifica diretórios recursivamente, sem limite de profundidade e sem exclusões, e criptografa praticamente todos os arquivos, exceto aqueles com a extensão .prinzeugen, que Prinz Eugen usa para arquivos criptografados. Função de verificação de arquivos Fonte: Malwarebytes O ransomware emprega criptografia ChaCha20-Poly1305 com uma chave mestra de 32 bytes, um vetor de inicialização aleatório para cada arquivo e uma função de derivação de chave baseada em Argon2id, SHA-256 e HKDF-SHA256. O processo de criptografia é realizado em blocos de 1 MB e a integridade do arquivo é verificada usando a função hash SHA-256. Rotina de criptografia de arquivos Fonte: Malwarebytes Os pesquisadores notaram que quando o malware usa o sinalizador --delete para excluir o arquivo original após criptografá-lo, ocorre uma verificação para garantir que o arquivo pode ser descriptografado antes de removê-lo do sistema. Para evitar que a chave de criptografia seja recuperada, o ransomware Prinz Eugen a sobrescreve com zeros, força a coleta de lixo para eliminá-la da memória e, em seguida, exclui-a automaticamente do disco.
A análise do criptografador não mostrou nenhuma funcionalidade para descartar uma nota de resgate de texto ou alterar o papel de parede da área de trabalho. Os pesquisadores de ameaças dizem que a ausência de uma nota de resgate “é uma tática que vemos com mais frequência entre grupos organizados de ransomware”. Isso normalmente é feito para reduzir a pegada forense e dificultar a detecção automática da etapa de extorsão. “Ao mover as comunicações de resgate totalmente fora de banda (através de e-mail direto, contato telefônico ou portais de vítimas na dark web), o ator reduz artefatos forenses e complica a detecção automatizada da fase de extorsão”, dizem os pesquisadores. Os pesquisadores identificaram pelo menos cinco vítimas do Prinz Eugen, dizendo que no caso da violação do Standard Bank, o invasor exigiu um resgate de 1 BTC e foi recusado. O relatório do ThreatDown fornece uma lista de indicadores de comprometimento para ajudar organizações e pesquisadores a analisar, detectar e se defender contra ataques de ransomware Prinz Eugen.