Ransomware Prinz Eugen baru memprioritaskan file terbaru untuk enkripsi

Operasi ransomware baru bernama ‘Prinz Eugen’ memprioritaskan file yang baru dimodifikasi untuk enkripsi dan tidak meninggalkan catatan tebusan pada sistem.

Investigasi dari Threatdown, cabang keamanan siber perusahaan Malwarebytes, menemukan bahwa peretas Prinz Eugen memiliki gaya menggunakan keyboard dan lebih suka menggunakan perangkat lunak pemantauan dan manajemen jarak jauh (RMM) yang sah serta alat yang digunakan untuk hidup di luar bumi.

Menurut para peneliti, akses awal kemungkinan dicapai melalui kredensial RDP yang dicuri, diikuti dengan pengunduhan manual dan eksekusi payload utama, ‘servertool.exe.’

Dalam sebuah insiden yang diselidiki, para peneliti mengamati penggunaan alat RMM RemotePC dan akun administrator pintu belakang yang memberikan persistensi.

Tidak seperti banyak operasi pemerasan modern, Prinz Eugen tidak beroperasi dengan model ransomware-as-a-service (RaaS), dan pengembangnya saat ini tidak merekrut afiliasi.

Tidak seperti kebanyakan operasi pemerasan, Prinz Eugen bukanlah ransomware-as-a-service (RaaS), atau setidaknya pengembangnya saat ini tidak mencari afiliasi.

Saat ini, situs kebocoran data pelaku ancaman hanya mencantumkan tiga korban, masing-masing menunjukkan bahwa peretas terlibat dalam enkripsi data, eksfiltrasi, atau keduanya. Namun, komunitas keamanan siber menyadari semakin banyak organisasi yang terkena dampak ransomware Prinz Eugen.

Strategi enkripsi

Analisis terhadap serangan Prinz Eugen mengungkapkan bahwa malware berbasis Go memprioritaskan enkripsi file yang paling baru diubah. Jika beberapa file berbagi stempel waktu yang sama, file tersebut diproses sesuai urutan abjad.

Para peneliti ancaman percaya bahwa pendekatan ini dimaksudkan untuk memaksimalkan dampak terhadap korban dengan menargetkan file-file yang cenderung penting bagi bisnis dan digunakan secara aktif, sehingga meningkatkan tekanan untuk membayar uang tebusan.

Sampel yang dianalisis memeriksa direktori secara rekursif tanpa batas kedalaman dan tanpa pengecualian, dan mengenkripsi hampir semua file kecuali file dengan ekstensi .prinzeugen, yang digunakan Prinz Eugen untuk file terenkripsi.

Ransomware ini menggunakan enkripsi ChaCha20-Poly1305 dengan kunci master 32-byte, vektor inisialisasi acak untuk setiap file, dan fungsi derivasi kunci berdasarkan Argon2id, SHA-256, dan HKDF-SHA256.

Proses enkripsi dilakukan dalam potongan 1 MB, dan integritas file diperiksa menggunakan fungsi hash SHA-256.

Para peneliti memperhatikan bahwa ketika malware menggunakan tanda –delete untuk menghapus file asli setelah mengenkripsinya, pemeriksaan dilakukan untuk memastikan bahwa file tersebut dapat didekripsi sebelum menghapusnya dari sistem.

Untuk mencegah kunci enkripsi diambil, ransomware Prinz Eugen menimpanya dengan angka nol, memaksa pengumpulan sampah untuk menghilangkannya dari memori, dan kemudian menghapusnya sendiri dari disk.

Analisis enkripsi menunjukkan tidak ada fungsi untuk menjatuhkan catatan tebusan teks atau mengubah wallpaper desktop. Peneliti ancaman mengatakan bahwa tidak adanya catatan tebusan “adalah taktik yang lebih sering kita lihat di antara kelompok ransomware terorganisir.”

Hal ini biasanya dilakukan untuk mengurangi jejak forensik dan mempersulit langkah pemerasan untuk dideteksi secara otomatis.

“Dengan memindahkan komunikasi tebusan sepenuhnya keluar dari jalur (melalui email langsung, kontak telepon, atau portal korban di web gelap), pelaku mengurangi artefak forensik dan mempersulit deteksi otomatis pada fase pemerasan,” ujar peneliti. kata peneliti.

Para peneliti mengidentifikasi setidaknya lima korban Prinz Eugen, dan mengatakan bahwa dalam kasus tersebut Pelanggaran Bank Standar, penyerang meminta uang tebusan sebesar 1 BTC dan ditolak.

Laporan ThreatDown memberikan daftar indikator kompromi untuk membantu organisasi dan peneliti menganalisis, mendeteksi, dan mempertahankan diri dari serangan ransomware Prinz Eugen.