SOC Prime Bias: Crítico

22 Jun 2026 19:43 UTC
newspaper icon ThreatDown por Malwarebytes

Prinz Eugen Ransomware: Uma Análise Profunda de um Novo Criptografador Baseado em Go

Author Photo
SOC Prime Team linkedin icon Seguir
Prinz Eugen Ransomware: Uma Análise Profunda de um Novo Criptografador Baseado em Go
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Prinz Eugen é uma nova família de ransomware baseado em Go que utiliza criptografia recursiva e prioriza arquivos modificados recentemente para aumentar a pressão sobre as vítimas. Ele recorre ao ChaCha20-Poly1305 para criptografia de arquivos e inclui recursos antiforense, como limpar as chaves de criptografia da memória e se deletar após a execução. A operação segue um modelo de extorsão fora de banda e não deixa uma nota de resgate no sistema local.

Investigação

A investigação sugere que a intrusão provavelmente começou com credenciais RDP comprometidas, seguida pela entrega do servertool.exe payload através do Chrome. Pesquisadores também observaram o uso da ferramenta RMM RemotePC para movimento lateral e preparação baseada em PowerShell. Atribuição foi vinculada ao ator ROOTBOY com base em identidades compartilhadas de extorsão e atividade de violação anteriormente observada.

Mitigação

As organizações devem reforçar o acesso RDP com autenticação multifator e monitorar o uso não autorizado de ferramentas de gerenciamento remoto. Proteção robusta de endpoints capaz de bloquear executáveis desconhecidos baseados em Go e detectar comportamentos suspeitos do PowerShell também é essencial. Manter backups regulares offline e proteger dados frequentemente modificados pode ajudar a reduzir o impacto dessa abordagem de criptografia de alta pressão.

Resposta

Se a atividade Prinz Eugen for detectada, isole imediatamente os sistemas afetados para interromper movimentações adicionais através de ferramentas RMM ou sessões RDP. Realize forense de memória antes de reiniciar o host ou permitir que o malware se auto-remova, pois isso pode oferecer a melhor chance de recuperar material de criptografia. A resposta a incidentes também deve se concentrar em rastrear possível exfiltração de dados e quaisquer canais de comunicação fora de banda usados pelo atacante.

"graph TB %% Class Definitions Section classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef persistence fill:#f66,stroke:#333,stroke-width:2px classDef lateral_movement fill:#6cf,stroke:#333,stroke-width:2px classDef collection fill:#9f9,stroke:#333,stroke-width:2px classDef impact fill:#f33,stroke:#333,stroke-width:2px classDef evasion fill:#ccc,stroke:#333,stroke-width:2px classDef tool fill:#eee,stroke:#333,stroke-width:2px %% Initial Access and Execution access_rdp["<b>Action</b> – <b id='T1133'>External Remote Services</b><br/><b>Description</b>: Access via compromised RDP credentials."] class access_rdp initial_access exec_chrome["<b id='T1204.002'>User Execution: Malicious File</b><br/><b>Action</b>: Downloaded via Chrome browser<br/><b>File</b>: servertool.exe<br/><b>Path</b>: User Music folder"] class exec_chrome initial_access %% Persistence and Privilege Escalation persist_user["<b id='T1136.001'>Create Account: Local Account</b><br/><b>Action</b>: Created new local administrator<br/><b>Command</b>: net user admin germania /add"] class persist_user persistence priv_esc_rmm["<b id='T1543'>Persistence: Create or Modify System Process</b><br/><b>Tool</b>: RemotePC RMM<br/><b>Action</b>: Launching PowerShell stagers to deploy payloads"] class priv_esc_rmm persistence %% Lateral Movement lat_move_rmm["<b id='T1021'>Remote Services</b><br/><b>Action</b>: Hands-on-keyboard activity<br/><b>Tool</b>: RemotePC RMM<br/><b>Description</b>: Facilitating lateral movement within the environment"] class lat_move_rmm lateral_movement %% Collection and Exfiltration coll_data["<b id='T1213'>Data from Information Repositories</b><br/><b>Action</b>: Large scale data collection<br/><b>Details</b>: Approximately 1.2 TB collected from Standard Bank"] class coll_data collection exfil_leak["<b id='T1041'>Exfiltration Over C2 Channel</b><br/><b>Action</b>: Double extortion via dedicated leak portal<br/><b>Description</b>: Moving stolen data to external portal"] class exfil_leak collection %% Impact impact_enc["<b id='T1486'>Data Encrypted for Impact</b><br/><b>Malware</b>: servertool.exe<br/><b>Type</b>: Go-based encryptor<br/><b>Method</b>: Recursive ChaCha20-Poly1305 encryption<br/><b>Extension</b>: .prinzeugen"] class impact_enc impact %% Defense Evasion evasion_mem["<b id='T1027'>Obfuscated Files or Information</b><br/><b>Action</b>: Anti-forensic memory wiping<br/><b>Description</b>: Zeroes out hardcoded encryption key and runs garbage collector"] class evasion_mem evasion evasion_del["<b id='T1070.004'>Indicator Removal: File Deletion</b><br/><b>Action</b>: Self-deletion via cmd.exe<br/><b>Technique</b>: Uses a ping-delay trick to ensure file removal from disk"] class evasion_del evasion %% Connections access_rdp –>|leads_to| exec_chrome exec_chrome –>|triggers| persist_user persist_user –>|enables| priv_esc_rmm priv_esc_rmm –>|facilitates| lat_move_rmm lat_move_rmm –>|leads_to| coll_data coll_data –>|leads_to| exfil_leak coll_data –>|leads_to| impact_enc impact_enc –>|triggers| evasion_mem impact_enc –>|triggers| evasion_del "

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Telemetria & Baseline Pre-flight deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.

  • Narrativa do Ataque & Comandos: O adversário implantou o ransomware Prinz Eugen. Para maximizar o impacto e minimizar a pegada forense, o malware é configurado para deletar os arquivos originais uma vez criptografados usando o --delete parâmetro. Para evitar que o arquivo esteja “em uso” durante sua própria deleção, o malware invoca um shell de comando para criar um breve atraso via ping antes de executar o del comando em seu próprio binário. Esta sequência específica de servertool --delete combinada com cmd.exe /C ping -n 2 > nul & del /F /Q é o principal indicador que estamos simulando.

  • Script de Teste de Regressão:

    # Simulação do Comportamento de Linha de Comando do Ransomware Prinz Eugen
# Este script simula a sequência exata de comando esperada pela regra de detecção.

# 1. Crie um 'servertool.exe' fictício para representar o malware
$dummyExe = "$env:TEMPservertool.exe"
New-Item -Path $dummyExe -ItemType File -Force

# 2. Simule a execução do ransomware com os argumentos específicos de linha de comando
# Nota: Em um ambiente real, esta seria a execução real do processo.
# Usamos Start-Process para simular a criação de um novo processo com a linha de comando alvo.

$ransomwareCommand = "servertool --delete"
$selfDeleteCommand = "cmd.exe /C ping -n 2 > nul & del /F /Q `"$dummyExe`""

Write-Host "Simulando Criação de Processo de Ransomware..."

# Acionar a detecção simulando o evento de criação do processo
# Invocamos cmd para imitar o padrão exato de sequência exigida
Start-Process "cmd.exe" -ArgumentList "/C `"$ransomwareCommand & $selfDeleteCommand`""

  • Comandos de Limpeza:

    # Limpeza de artefatos de simulação
Remove-Item -Path "$env:TEMPservertool.exe" -ErrorAction SilentlyContinue

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente