Ένα νέο και επικίνδυνο ransomware, το “Prinz Eugen,” έχει κάνει την εμφάνισή του, προκαλώντας ανησυχία στον τομέα της κυβερνοασφάλειας. Αυτή η απειλή δίνει προτεραιότητα στα πρόσφατα τροποποιημένα αρχεία, κρυπτογραφώντας τα χωρίς να αφήνει σημειώσεις λύτρων, γεγονός που δυσκολεύει την ανίχνευσή της.
Μία έρευνα από την Threatdown, τμήμα κυβερνοασφάλειας της Malwarebytes, αποκάλυψε ότι οι δράστες του Prinz Eugen αξιοποιούν νόμιμα εργαλεία απομακρυσμένης παρακολούθησης και διαχείρισης (RMM). Οι αρχικές επιθέσεις συνήθως εκκινούν μέσω κλεμμένων διαπιστευτηρίων RDP, πριν από τη λήψη και εκτέλεση του κακόβουλου λογισμικού “servertool.exe”.
Στην πορεία, οι ερευνητές παρατήρησαν τη χρήση εργαλείων όπως το RemotePC RMM, που παρέχουν στους εγκληματίες τη δυνατότητα να διατηρούν πρόσβαση στο σύστημα στόχου.
Αξιοσημείωτο είναι ότι το Prinz Eugen δεν λειτουργεί με το υπόδειγμα ransomware-as-a-service (RaaS), αυξάνοντας την ανησυχία καθώς οι δημιουργοί του δεν αναζητούν συνεργάτες, αλλά προτιμούν άμεσες επιθέσεις.
Μέχρι στιγμής, ο ιστότοπος διαρροών του συγκεκριμένου ransomware αναφέρει τρία θύματα, προσδιορίζοντας ωστόσο ότι είναι πιθανό περισσότερες επιθέσεις να έχουν γίνει χωρίς να έχουν δημοσιοποιηθεί.
Πηγή: BleepingComputer
Η Στρατηγική Κρυπτογράφησης του Prinz Eugen
Η ανάλυση των επιθέσεων αποκάλυψε ότι το λογισμικό υπάρχει σε μορφή Go και εστιάζει στην κρυπτογράφηση των πιο πρόσφατα ενημερωμένων αρχείων, ενδέχεται μάλιστα να προκαλέσει μεγαλύτερη ζημιά στις επιχειρήσεις. Όταν πολλά αρχεία φέρουν την ίδια ημερομηνία τροποποίησης, ο κωδικός χειρίζεται τη διαδικασία με αλφαβητική σειρά.
Η στρατηγική αυτή είναι σχεδιασμένη να προκαλέσει κίνδυνο στις επιχειρήσεις, μεγιστοποιώντας την πίεση ώστε να πληρώσουν τα λύτρα.
Το ransomware ελέγχει τους φακέλους σε βάθος χωρίς περιορισμούς και κρυπτογραφεί σχεδόν όλα τα αρχεία, εκτός από εκείνα με την επέκταση .prinzeugen, που χρησιμοποιεί για τα κρυπτογραφημένα αρχεία του.
Πηγή: Malwarebytes
Το ransomware χρησιμοποιεί αλγόριθμους όπως ο ChaCha20-Poly1305, συνδυάζοντας ισχυρούς μηχανισμούς κρυπτογράφησης για την προστασία των κλειδιών του και την αποτροπή της αποκατάστασης των δεδομένων.
Αξιολογώντας τη διαδικασία, οι ερευνητές υπογραμμίζουν ότι το ransomware επιβεβαιώνει την επιτυχία της κρυπτογράφησης πριν διαγράψει το αρχείο. Με αυτό τον τρόπο, καταστρέφει τις πιθανότητες αποκατάστασης των κρυπτογραφημένων δεδομένων.
Η απουσία σημείωσης λύτρων είναι μια τακτική που βλέπουμε με οργανωμένες ομάδες επιθέσεων, επιδιώκοντας να μειώσουν το υλικό αποδεικτικών στοιχείων και να δυσκολέψουν την ανίχνευση.
«Με την εκτελέσιμη διαδικασία επικοινωνίας μέσω μηχανισμών εκτός ζώνης, οι δράστες ελαχιστοποιούν το ηλεκτρονικό αποτύπωμα και περιπλέκουν τη διαδικασία ανακάλυψης της φάσης εκβιασμού», δήλωσαν οι ερευνητές.
Η Threatdown ανέφερε τουλάχιστον πέντε διαπιστωμένα θύματα, με ένα από αυτά να είναι και η Standard Bank, όπου ο εγκληματίας απαιτούσε 1 BTC σε αντάλλαγμα για την αποκρυπτογράφηση.
Η ανάλυση των ερευνητών περιλαμβάνει και δείκτες συμβιβασμού, προκειμένου να βοηθήσουν οργανισμούς και ερευνητές να εντοπίσουν και να αμυνθούν απέναντι σε τέτοιες επιθέσεις.
Περισσότερο από το 54% των επιτυχημένων κυβερνοεπιθέσεων δεν αναφέρονται στα οργανωτικά τμήματα ασφαλείας, με συνέπεια οι περισσότερες να παραμένουν αόρατες. Η λευκή βίβλος Picus παρέχει πληροφορίες για τις τεχνικές προσομοίωσης επιθέσεων, βοηθώντας στην ανίχνευση των απειλών.
