Uma nova operação de ransomware chamada Prinz Eugen prioriza arquivos modificados recentemente para criptografia e não deixa nota de resgate no sistema.
Uma investigação da ThreatDown, divisão de cibersegurança corporativa da Malwarebytes, descobriu que os hackers por trás do Prinz Eugen atuam de forma manual, com interação direta no teclado, e preferem usar softwares legítimos de monitoramento e gerenciamento remoto, além de ferramentas do tipo living-off-the-land.
Segundo os pesquisadores, o acesso inicial provavelmente ocorre por meio de credenciais RDP roubadas, seguido do download manual e da execução do principal payload, o servertool.exe.
Em um incidente analisado, os pesquisadores observaram o uso da ferramenta RemotePC, de RMM, e de uma conta administrativa de backdoor que garantia persistência.
Diferentemente de muitas operações modernas de extorsão, o Prinz Eugen não opera no modelo ransomware-as-a-service (RaaS), e seus desenvolvedores, por enquanto, não estão recrutando afiliados.
Atualmente, o site de vazamento de dados do threat actor lista apenas três vítimas, e cada uma delas mostra que os hackers realizam criptografia de dados, exfiltração ou ambas as ações.
No entanto, a comunidade de cibersegurança já tem conhecimento de outras organizações afetadas pelo ransomware Prinz Eugen.
Uma análise de um ataque do Prinz Eugen revelou que o malware, desenvolvido em Go, prioriza a criptografia dos arquivos modificados mais recentemente.
Quando vários arquivos compartilham o mesmo carimbo de data e hora, eles são processados em ordem alfabética.
Os pesquisadores da ThreatDown acreditam que essa abordagem foi projetada para maximizar o impacto sobre as vítimas, atingindo arquivos com maior chance de serem críticos para o negócio e estarem em uso ativo, o que aumenta a pressão para o pagamento do resgate.
A amostra analisada verifica diretórios de forma recursiva, sem limite de profundidade e sem exclusões, e criptografa praticamente todos os arquivos, exceto aqueles com a extensão .prinzeugen, usada pelo Prinz Eugen para os arquivos já criptografados.
O ransomware emprega criptografia ChaCha20-Poly1305 com uma chave mestre de 32 bytes, um vetor de inicialização aleatório para cada arquivo e uma função de derivação de chaves baseada em Argon2id, SHA-256 e HKDF-SHA256.
O processo de criptografia é realizado em blocos de 1 MB, e a integridade dos arquivos é verificada com a função hash SHA-256.
Os pesquisadores observaram que, quando o malware usa a flag --delete para apagar o arquivo original após a criptografia, há uma checagem para confirmar se ele pode ser recuperado antes de ser removido do sistema.
Para impedir a recuperação da chave de criptografia, o ransomware Prinz Eugen a sobrescreve com zeros, força a coleta de lixo para eliminá-la da memória e, em seguida, se autodestrói no disco.
A análise do criptografador não encontrou nenhuma funcionalidade para criar uma nota de resgate em texto nem para alterar o papel de parede da área de trabalho.
Os pesquisadores da ThreatDown afirmam que a ausência de nota de resgate “é uma tática que vemos com mais frequência entre grupos organizados de ransomware”.
Isso normalmente é feito para reduzir a superfície forense e dificultar a detecção automática da fase de extorsão.
“Ao mover toda a comunicação do resgate para fora da rede principal, por e-mail direto, contato por telefone ou portais de vítimas na dark web, o ator reduz vestígios forenses e complica a detecção automatizada da fase de extorsão”, afirmaram os pesquisadores.
Os pesquisadores identificaram pelo menos cinco vítimas do Prinz Eugen e disseram que, no caso da violação ao Standard Bank, o atacante exigiu 1 BTC e teve o pedido recusado.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...