Prinz Eugen: новая Go-вымогательская угроза с скрытым шифрованием

Prinz Eugen — это новая выявленная family программ-вымогателей, созданная на языке Go, которая демонстрирует сложное поведение и выраженный акцент на targeted file encryption. По данным отчета, вредоносное ПО сочетает технически продуманную схему шифрования с инфраструктурной дисциплиной и использованием legitimate remote management tools, что делает кампанию особенно показательной для текущего ландшафта ransomware-угроз.

Как работает Prinz Eugen

С технической точки зрения Prinz Eugen использует ChaCha20-Poly1305 для шифрования файлов и применяет three-stage key derivation function. Дополнительно реализована piecemeal encryption strategy, обеспечивающая надежный механизм защиты зашифрованных файлов и усложняющая восстановление данных.

Особенностью семейства является приоритетная обработка recently modified files. При этом вредоносное ПО выполняет recursive directory traversal, управление которым может осуществляться с помощью command-line parameters. Такой подход указывает на стремление атакующих оптимизировать время воздействия и минимизировать шум, характерный для массового шифрования.

Антикриминалистика и отказ от ransom note

Одной из наиболее примечательных деталей является намеренный отказ Prinz Eugen от создания ransom note на диске. Вместо этого оператор использует каналы связи out-of-band для вымогательства у жертв. По оценке исследователей, это усиливает anti-forensic capability кампании и снижает вероятность быстрого обнаружения следов атаки.

В ходе шифрования программа создает temporary copy исходного файла, после чего приступает к его обработке. Целостность каждого файла проверяется с помощью SHA-256 hashing, а ключ шифрования, как сообщается, не остается в памяти после завершения работы. Это дополнительно осложняет forensic analysis и восстановление последовательности действий атакующего.

Вектор проникновения и lateral movement

Первоначальный вектор атаки, по-видимому, связан с compromised RDP credentials. Через них злоумышленник загрузил исполняемый файл ransomware в скомпрометированную среду. Далее, как отмечается в отчете, для распространения полезной нагрузки и перемещения внутри компании использовались легитимные инструменты удаленного управления, включая RemotePC.

Такой сценарий отражает устойчивую тенденцию: атакующие все чаще применяют trusted software, чтобы сливаться с нормальным corporate traffic и избегать detection. В отчете также подчеркивается, что actor активно нацеливался на environments, используя несколько векторов доступа к corporate applications для lateral movement.

C2-инфраструктура и следы оперативной дисциплины

Инфраструктура C2, использовавшаяся Prinz Eugen, демонстрирует признаки осторожной и структурированной operational methodology. После атаки отмечались быстрый cleanup hosting accounts и удаление DNS records, связанных с деятельностью злоумышленников.

Такое поведение указывает на стремление сократить цифровой след и затруднить последующую атрибуцию. Одновременно оно подтверждает высокий уровень операционной дисциплины, при которой инфраструктура рассматривается как расходный ресурс, подлежащий оперативному демонтажу после завершения этапа атаки.

Атрибуция и связь с ROOTBOY

Публичная атрибуция связывает Prinz Eugen с актором, известным как ROOTBOY. Исследователи отмечают, что данная связь выстраивает непрерывную линию между текущей ransomware-активностью и предыдущими инцидентами data exfiltration и extortion.

Исторический контекст указывает на последовательный pattern в naming conventions и operational methodology, что помогает отслеживать активность актора на разных форумах и платформах. Иными словами, речь идет не о разовой кампании, а о развитой и узнаваемой модели поведения.

Dwell time: около трех недель до эксфильтрации

Отдельно в отчете подчеркивается значительное dwell time — около трех недель до начала exfiltration of data. Это свидетельствует о методичном operational rhythm, при котором злоумышленник сначала закрепляется в сети, изучает среду и только затем переходит к активной фазе вымогательства.

Подобная задержка указывает на тщательную подготовку и нацеленность на максимальный эффект, а не на быстрый, но грубый удар. Для defenders это означает необходимость не только реагировать на encryption stage, но и выявлять ранние признаки compromise на стадии присутствия в сети.

Что делает Prinz Eugen заметной угрозой

Prinz Eugen выделяется сочетанием нескольких факторов:

• использование Go и современной схемы шифрования ChaCha20-Poly1305;
• three-stage key derivation и piecemeal encryption;
• приоритет на недавно измененных файлах;
• рекурсивный обход каталогов с управлением через command-line parameters;
• отказ от ransom note в пользу out-of-band давления;
• использование legitimate remote tools, включая RemotePC;
• оперативное уничтожение следов через cleanup инфраструктуры.

В совокупности эти элементы показывают эволюцию ransomware-операций, где ключевыми становятся speed и stealth. Именно такая комбинация делает Prinz Eugen показательной для современного этапа развития угроз: меньше шума, больше контроля, выше устойчивость к расследованию.

«Сложная архитектура Prinz Eugen проливает свет на эволюцию ландшафта ransomware, где как скорость, так и скрытность имеют первостепенное значение».

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.