Novo Ransomware Prinz Eugen Prioriza Arquivos Modificados
Ransomware Prinz Eugen prioriza arquivos modificados em sua ameaça de criptografia
Prinz Eugen: O Novo Ransomware Que Prioriza Arquivos Modificados
O mundo da cibersegurança está sempre em constante mudança, e o recente surgimento do ransomware Prinz Eugen é apenas um exemplo disso. Ao contrário de outros ransomwares que se concentram em arquivos aleatórios, o Prinz Eugen prioriza arquivos modificados e não deixa nenhum bilhete de extorsão no sistema.
A investigação realizada pela Threatdown, braço de cibersegurança da Malwarebytes, mostrou que os ataques do Prinz Eugen são executados com um estilo manual do teclado e preferem usar software de monitoramento remoto e gerenciamento legítimos (RMM) e ferramentas de vida no campo (LOTL).
Segundo os pesquisadores, a entrada inicial é provavelmente alcançada através de credenciais de RDP roubadas, seguida do download e execução manual do payload principal, 'servertool.exe'.
No incidente investigado, os pesquisadores observaram o uso da ferramenta RMM RemotePC e uma conta de administrador de backdoor que proporcionava persistência.
Contra a maioria das operações de extorsão modernas, o Prinz Eugen não opera sob o modelo de serviço de ransomware como um serviço (RaaS) e seus desenvolvedores não estão atualmente procurando por parceiros.
A página de vazamento de dados da ameaça lista apenas três vítimas, mostrando que os hackers realizam a criptografia de arquivos, exfiltração ou ambas. No entanto, comunidade de cibersegurança está ciente de mais organizações impactadas pelo ransomware Prinz Eugen.
A análise de um ataque do Prinz Eugen revelou que o malware baseado em Go prioriza a criptografia de arquivos modificados e, em caso de vários arquivos com o mesmo horário, é processado em ordem alfabética.
Os pesquisadores da Threatdown acreditam que essa abordagem é intencionalmente direcionada para maximizar o impacto nas vítimas ao alvos de documentos críticos de negócios e em uso ativo, aumentando a pressão para pagar o resgate.
A amostra analisada verifica diretórios de forma recursiva com limite de profundidade sem restrição e exclui arquivos com a extensão .prinzeugen, usada pelos hackers para arquivos criptografados.
O ransomware usa a criptografia ChaCha20-Poly1305 com uma chave de 32 bytes, uma inicialização aleatória para cada arquivo e uma função de derivação de chave baseada em Argon2id, SHA-256 e HKDF-SHA256.
O processo de criptografia é realizado em parcelas de 1 MB, e a integridade de arquivos é verificada usando a função de hash SHA-256.
A análise revelou que, ao usar a flag --delete para apagar o arquivo original após criptografia, ocorre uma verificação de possibilidade de descriptografia antes da exclusão.
O ransomware Prinz Eugen também sobre escreve chave de criptografia com zeros para prevenir a recuperação, realiza a coleta de lixo para eliminar a chave da memória e se auto excluir do disco rígido.
A análise também mostrou a não inclusão de funcionalidade para criar um bilhete de extorsão na área de trabalho ou texto no desktop da vítima, algo comum a outras formas de ransomware moderno, indicando uma abordagem mais cautelosa da ameaça.
