SOC Prime Bias: Critico

22 Jun 2026 19:43 UTC
newspaper icon ThreatDown di Malwarebytes

Prinz Eugen Ransomware: Un’analisi dettagliata di un nuovo encryptor basato su Go

Author Photo
SOC Prime Team linkedin icon Segui
Prinz Eugen Ransomware: Un’analisi dettagliata di un nuovo encryptor basato su Go
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Riassunto

Prinz Eugen è una nuova famiglia di ransomware scritto in Go che utilizza la crittografia ricorsiva e dà priorità ai file modificati di recente per aumentare la pressione sulle vittime. Si basa su ChaCha20-Poly1305 per la crittografia dei file e include funzionalità antiforensi come l’eliminazione delle chiavi di crittografia dalla memoria e l’autocancellazione dopo l’esecuzione. L’operazione segue un modello di estorsione out-of-band e non lascia alcuna nota di riscatto sul sistema locale.

Indagine

L’indagine suggerisce che l’intrusione probabilmente sia iniziata con credenziali RDP compromesse, seguite dalla consegna del servertool.exe payload attraverso Chrome. I ricercatori hanno anche osservato l’uso dello strumento RMM RemotePC per il movimento laterale e il posizionamento basato su PowerShell. L’attribuzione è stata collegata all’actor ROOTBOY sulla base di identità condivise per l’estorsione e attività di violazione precedentemente osservate.

Mitigazione

Le organizzazioni dovrebbero rafforzare l’accesso RDP con l’autenticazione a più fattori e monitorare l’uso non autorizzato degli strumenti di gestione remota. È inoltre essenziale una protezione endpoint robusta in grado di bloccare eseguibili sconosciuti basati su Go e rilevare comportamenti sospetti di PowerShell. Mantenere backup offline regolari e proteggere i dati modificati frequentemente può aiutare a ridurre l’impatto di questo approccio ad alta pressione alla crittografia.

Risposta

Se viene rilevata attività di Prinz Eugen, isolare immediatamente i sistemi colpiti per fermare ulteriori movimenti tramite strumenti RMM o sessioni RDP. Eseguire analisi forensi della memoria prima di riavviare l’host o consentire al malware di rimuoversi, poiché ciò potrebbe offrire la migliore possibilità di recuperare il materiale di crittografia. La risposta agli incidenti dovrebbe anche concentrarsi sul tracciamento della possibile esfiltrazione di dati e di eventuali canali di comunicazione out-of-band utilizzati dall’attaccante.

"graph TB %% Class Definitions Section classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef persistence fill:#f66,stroke:#333,stroke-width:2px classDef lateral_movement fill:#6cf,stroke:#333,stroke-width:2px classDef collection fill:#9f9,stroke:#333,stroke-width:2px classDef impact fill:#f33,stroke:#333,stroke-width:2px classDef evasion fill:#ccc,stroke:#333,stroke-width:2px classDef tool fill:#eee,stroke:#333,stroke-width:2px %% Initial Access and Execution access_rdp["<b>Azione</b> – <b id='T1133'>Servizi Remoti Esterni</b><br/><b>Descrizione</b>: Accesso tramite credenziali RDP compromesse."] class access_rdp initial_access exec_chrome["<b id='T1204.002'>Esecuzione Utente: File Maligno</b><br/><b>Azione</b>: Scaricato tramite browser Chrome<br/><b>File</b>: servertool.exe<br/><b>Percorso</b>: Cartella Musica Utente"] class exec_chrome initial_access %% Persistence and Privilege Escalation persist_user["<b id='T1136.001'>Crea Account: Account Locale</b><br/><b>Azione</b>: Creato nuovo amministratore locale<br/><b>Comando</b>: net user admin germania /add"] class persist_user persistence priv_esc_rmm["<b id='T1543'>Persistenza: Crea o Modifica Processo di Sistema</b><br/><b>Strumento</b>: RemotePC RMM<br/><b>Azione</b>: Lancio di stager PowerShell per distribuire payload"] class priv_esc_rmm persistence %% Lateral Movement lat_move_rmm["<b id='T1021'>Servizi Remoti</b><br/><b>Azione</b>: Attività diretta da tastiera<br/><b>Strumento</b>: RemotePC RMM<br/><b>Descrizione</b>: Facilitando il movimento laterale all’interno dell’ambiente"] class lat_move_rmm lateral_movement %% Collection and Exfiltration coll_data["<b id='T1213'>Dati da Repositori di Informazioni</b><br/><b>Azione</b>: Raccolta dati su larga scala<br/><b>Dettagli</b>: Circa 1,2 TB raccolti da Standard Bank"] class coll_data collection exfil_leak["<b id='T1041'>Esfiltrazione Tramite Canale C2</b><br/><b>Azione</b>: Doppia estorsione tramite portale dedicato di fuga<br/><b>Descrizione</b>: Trasferimento di dati rubati al portale esterno"] class exfil_leak collection %% Impact impact_enc["<b id='T1486'>Dati Criptati per Impatto</b><br/><b>Malware</b>: servertool.exe<br/><b>Tipo</b>: Cifratura basata su Go<br/><b>Metodo</b>: Cifratura ricorsiva ChaCha20-Poly1305<br/><b>Estensione</b>: .prinzeugen"] class impact_enc impact %% Defense Evasion evasion_mem["<b id='T1027'>File o Informazioni Offuscati</b><br/><b>Azione</b>: Eliminazione della memoria antiforense<br/><b>Descrizione</b>: Azzeramento della chiave di criptazione codificata e avvio del garbage collector"] class evasion_mem evasion evasion_del["<b id='T1070.004'>Rimozione Indicatore: Cancellazione File</b><br/><b>Azione</b>: Autocancellazione tramite cmd.exe<br/><b>Tecnica</b>: Utilizza un trucco di ritardo ping per garantire la rimozione del file dal disco"] class evasion_del evasion %% Connections access_rdp –>|leads_to| exec_chrome exec_chrome –>|triggers| persist_user persist_user –>|enables| priv_esc_rmm priv_esc_rmm –>|facilitates| lat_move_rmm lat_move_rmm –>|leads_to| coll_data coll_data –>|leads_to| exfil_leak coll_data –>|leads_to| impact_enc impact_enc –>|triggers| evasion_mem impact_enc –>|triggers| evasion_del "

Flusso di attacco

Esecuzione Simulazione

Prerequisito: Il Controllo di Telemetria e Baseline Pre-flight deve essere passato.

Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrazione & Comandi di Attacco: L’avversario ha distribuito il ransomware Prinz Eugen. Per massimizzare l’impatto e minimizzare l’impronta forense, il malware è configurato per eliminare i file originali una volta crittografati usando l’opzione --delete per evitare che il file sia “in uso” durante la sua cancellazione, il malware invoca una shell di comando per creare un breve ritardo tramite ping prima di eseguire il del comando sul proprio binario. Questa sequenza specifica di servertool --delete combinata con cmd.exe /C ping -n 2 > nul & del /F /Q è l’indicatore principale che stiamo simulando.

  • Script per Test di Regressione:

    # Simulazione del Comportamento della Riga di Comando del Ransomware Prinz Eugen
# Questo script simula la stringa di comando esatta prevista dalla regola di rilevamento.

# 1. Creare un 'servertool.exe' fasullo per rappresentare il malware
$dummyExe = "$env:TEMPservertool.exe"
New-Item -Path $dummyExe -ItemType File -Force

# 2. Simulare l'esecuzione del ransomware con gli argomenti della riga di comando specifici
# Nota: In un ambiente reale, questa sarebbe l'esecuzione effettiva del processo.
# Utilizziamo Start-Process per simulare la creazione di un nuovo processo con la riga di comando target.

$ransomwareCommand = "servertool --delete"
$selfDeleteCommand = "cmd.exe /C ping -n 2 > nul & del /F /Q `"$dummyExe`""

Write-Host "Simulazione Creazione Processo Ransomware..."

# Attivazione del rilevamento simulando l'evento di creazione del processo
# Invociamo cmd per imitare il modello di stringa esatto richiesto
Start-Process "cmd.exe" -ArgumentList "/C `"$ransomwareCommand & $selfDeleteCommand`""

  • Comandi di Pulizia:

    # Pulizia degli artefatti di simulazione
Remove-Item -Path "$env:TEMPservertool.exe" -ErrorAction SilentlyContinue

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis