Prinz Eugen Ransomware: Uma Análise Profunda de um Novo Criptografador Baseado em Go
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Prinz Eugen é uma nova família de ransomware baseado em Go que utiliza criptografia recursiva e prioriza arquivos modificados recentemente para aumentar a pressão sobre as vítimas. Ele recorre ao ChaCha20-Poly1305 para criptografia de arquivos e inclui recursos antiforense, como limpar as chaves de criptografia da memória e se deletar após a execução. A operação segue um modelo de extorsão fora de banda e não deixa uma nota de resgate no sistema local.
Investigação
A investigação sugere que a intrusão provavelmente começou com credenciais RDP comprometidas, seguida pela entrega do servertool.exe payload através do Chrome. Pesquisadores também observaram o uso da ferramenta RMM RemotePC para movimento lateral e preparação baseada em PowerShell. Atribuição foi vinculada ao ator ROOTBOY com base em identidades compartilhadas de extorsão e atividade de violação anteriormente observada.
Mitigação
As organizações devem reforçar o acesso RDP com autenticação multifator e monitorar o uso não autorizado de ferramentas de gerenciamento remoto. Proteção robusta de endpoints capaz de bloquear executáveis desconhecidos baseados em Go e detectar comportamentos suspeitos do PowerShell também é essencial. Manter backups regulares offline e proteger dados frequentemente modificados pode ajudar a reduzir o impacto dessa abordagem de criptografia de alta pressão.
Resposta
Se a atividade Prinz Eugen for detectada, isole imediatamente os sistemas afetados para interromper movimentações adicionais através de ferramentas RMM ou sessões RDP. Realize forense de memória antes de reiniciar o host ou permitir que o malware se auto-remova, pois isso pode oferecer a melhor chance de recuperar material de criptografia. A resposta a incidentes também deve se concentrar em rastrear possível exfiltração de dados e quaisquer canais de comunicação fora de banda usados pelo atacante.
"graph TB %% Class Definitions Section classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef persistence fill:#f66,stroke:#333,stroke-width:2px classDef lateral_movement fill:#6cf,stroke:#333,stroke-width:2px classDef collection fill:#9f9,stroke:#333,stroke-width:2px classDef impact fill:#f33,stroke:#333,stroke-width:2px classDef evasion fill:#ccc,stroke:#333,stroke-width:2px classDef tool fill:#eee,stroke:#333,stroke-width:2px %% Initial Access and Execution access_rdp["<b>Action</b> – <b id='T1133'>External Remote Services</b><br/><b>Description</b>: Access via compromised RDP credentials."] class access_rdp initial_access exec_chrome["<b id='T1204.002'>User Execution: Malicious File</b><br/><b>Action</b>: Downloaded via Chrome browser<br/><b>File</b>: servertool.exe<br/><b>Path</b>: User Music folder"] class exec_chrome initial_access %% Persistence and Privilege Escalation persist_user["<b id='T1136.001'>Create Account: Local Account</b><br/><b>Action</b>: Created new local administrator<br/><b>Command</b>: net user admin germania /add"] class persist_user persistence priv_esc_rmm["<b id='T1543'>Persistence: Create or Modify System Process</b><br/><b>Tool</b>: RemotePC RMM<br/><b>Action</b>: Launching PowerShell stagers to deploy payloads"] class priv_esc_rmm persistence %% Lateral Movement lat_move_rmm["<b id='T1021'>Remote Services</b><br/><b>Action</b>: Hands-on-keyboard activity<br/><b>Tool</b>: RemotePC RMM<br/><b>Description</b>: Facilitating lateral movement within the environment"] class lat_move_rmm lateral_movement %% Collection and Exfiltration coll_data["<b id='T1213'>Data from Information Repositories</b><br/><b>Action</b>: Large scale data collection<br/><b>Details</b>: Approximately 1.2 TB collected from Standard Bank"] class coll_data collection exfil_leak["<b id='T1041'>Exfiltration Over C2 Channel</b><br/><b>Action</b>: Double extortion via dedicated leak portal<br/><b>Description</b>: Moving stolen data to external portal"] class exfil_leak collection %% Impact impact_enc["<b id='T1486'>Data Encrypted for Impact</b><br/><b>Malware</b>: servertool.exe<br/><b>Type</b>: Go-based encryptor<br/><b>Method</b>: Recursive ChaCha20-Poly1305 encryption<br/><b>Extension</b>: .prinzeugen"] class impact_enc impact %% Defense Evasion evasion_mem["<b id='T1027'>Obfuscated Files or Information</b><br/><b>Action</b>: Anti-forensic memory wiping<br/><b>Description</b>: Zeroes out hardcoded encryption key and runs garbage collector"] class evasion_mem evasion evasion_del["<b id='T1070.004'>Indicator Removal: File Deletion</b><br/><b>Action</b>: Self-deletion via cmd.exe<br/><b>Technique</b>: Uses a ping-delay trick to ensure file removal from disk"] class evasion_del evasion %% Connections access_rdp –>|leads_to| exec_chrome exec_chrome –>|triggers| persist_user persist_user –>|enables| priv_esc_rmm priv_esc_rmm –>|facilitates| lat_move_rmm lat_move_rmm –>|leads_to| coll_data coll_data –>|leads_to| exfil_leak coll_data –>|leads_to| impact_enc impact_enc –>|triggers| evasion_mem impact_enc –>|triggers| evasion_del "
Fluxo de Ataque
Detecções
A Possibilidade de Execução Através de Linhas de Comando do PowerShell Ocultas (via cmdline)
Ver
Download ou Upload via PowerShell (via cmdline)
Ver
Possível Conta para Persistência [Windows] (via cmdline)
Ver
Possível Uso de PING para Execução com Atraso (via cmdline)
Ver
Chamada de Métodos .NET Suspeitos de PowerShell (via powershell)
Ver
Download de Arquivo Suspeito Direto por IP (via proxy)
Ver
Possível Stager do PowerShell Detectado via RemotePC [Windows Powershell]
Ver
Detecção de Comportamento de Criptografia e Auto-Remoção do Ransomware Prinz Eugen [Criação de Processo do Windows]
Ver
Execução de Simulação
Pré-requisito: O Check de Telemetria & Baseline Pre-flight deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.
-
Narrativa do Ataque & Comandos: O adversário implantou o ransomware Prinz Eugen. Para maximizar o impacto e minimizar a pegada forense, o malware é configurado para deletar os arquivos originais uma vez criptografados usando o
--deleteparâmetro. Para evitar que o arquivo esteja “em uso” durante sua própria deleção, o malware invoca um shell de comando para criar um breve atraso viapingantes de executar odelcomando em seu próprio binário. Esta sequência específica deservertool --deletecombinada comcmd.exe /C ping -n 2 > nul & del /F /Qé o principal indicador que estamos simulando. -
Script de Teste de Regressão:
# Simulação do Comportamento de Linha de Comando do Ransomware Prinz Eugen # Este script simula a sequência exata de comando esperada pela regra de detecção. # 1. Crie um 'servertool.exe' fictício para representar o malware $dummyExe = "$env:TEMPservertool.exe" New-Item -Path $dummyExe -ItemType File -Force # 2. Simule a execução do ransomware com os argumentos específicos de linha de comando # Nota: Em um ambiente real, esta seria a execução real do processo. # Usamos Start-Process para simular a criação de um novo processo com a linha de comando alvo. $ransomwareCommand = "servertool --delete" $selfDeleteCommand = "cmd.exe /C ping -n 2 > nul & del /F /Q `"$dummyExe`"" Write-Host "Simulando Criação de Processo de Ransomware..." # Acionar a detecção simulando o evento de criação do processo # Invocamos cmd para imitar o padrão exato de sequência exigida Start-Process "cmd.exe" -ArgumentList "/C `"$ransomwareCommand & $selfDeleteCommand`"" -
Comandos de Limpeza:
# Limpeza de artefatos de simulação Remove-Item -Path "$env:TEMPservertool.exe" -ErrorAction SilentlyContinue