Prinz Eugen ransomware
A ThreatDown kutatói egy új, Go nyelven írt zsarolóvírust, a Prinz Eugen-t elemezték, amely több technikai megoldásában is eltér a jelenlegi RaaS-családoktól. A támadás feltételezhetően ellopott RDP-hitelesítő adatokkal indul, majd a támadók legitim távoli menedzsmenteszközöket és PowerShell-parancsokat használnak a payload telepítésére, miközben egy admin helyi fiókkal biztosítják a perzisztenciát.
A ransomware nem RaaS-modellben működik, hanem közvetlenül a fejlesztői üzemeltetik. Az encryptor Go nyelven készült, rekurzívan titkosítja a fájlokat, de tudatosan a legutóbb módosított állományokat részesíti előnyben, ezzel maximalizálva az üzleti működésre gyakorolt hatást. A titkosításhoz ChaCha20-Poly1305 algoritmust alkalmaz, amely egyszerre biztosít titkosítást és integritás-ellenőrzést. A malware kifejezetten anti-forenzikus viselkedést mutat, a titkosítás után biztonságosan törli az eredeti fájlokat, felülírja és nullázza a memóriában tárolt kulcsokat, önmagát is eltávolítja, valamint nem hagy váltságdíj-üzenetet a lemezen. Ehelyett az áldozatokat kiszivárogtató oldalán és külső kommunikációs csatornákon keresztül zsarolja, ami megnehezíti a hagyományos IOC-alapú észlelést.
A ThreatDown a műveletet a ROOTBOY-hoz (avtokz) köti a kiszivárogtató infrastruktúra, a GERMANIA zsarolási alias, valamint a német történelmi elnevezések (Prinz Eugen) alapján. A csoport ismert áldozatai között szerepel a dél-afrikai Standard Bank Group, ami arra utal, hogy a művelet elsősorban célzott, kézi vállalati támadásokra épül, nem pedig tömeges fertőzésekre.
