Prinz Eugen-ransomware versleutelt nieuwste bestanden

In dit artikel:

De nieuwe ransomwarefamilie Prinz Eugen laat zien dat afpersingsaanvallen slimmer en gerichter worden. Volgens onderzoekers van ThreatDown, die de malware analyseerden na een aanval op een klant in mei, kiest de ransomware niet willekeurig bestanden, maar versleutelt ze eerst de meest recent gewijzigde data. Daardoor komen juist actuele documenten, projectbestanden en andere belangrijke informatie als eerste in gevaar. De malware is geschreven in Go en scant mappen zonder noemenswaardige beperkingen; alleen bestanden met de extensie .prinzeugen worden overgeslagen.

De aanvalsmethode wijkt ook af van veel andere ransomware. Prinz Eugen laat geen standaard losgeldbrief achter op het besmette systeem, maar communiceert buiten het netwerk om, bijvoorbeeld via e-mail, telefoon of een apart slachtofferportaal. Dat maakt forensisch onderzoek en snelle detectie lastiger. In veel gevallen krijgen aanvallers toegang met gestolen RDP-inloggegevens en rollen ze de malware daarna handmatig uit met een bestand dat servertool.exe heet. Ze gebruiken daarbij legitieme beheer- en monitoringsoftware, waaronder RemotePC, en verborgen beheerdersaccounts om onopgemerkt in het netwerk te blijven.

Onderzoekers denken dat Prinz Eugen nog geen klassieke ransomware-as-a-service-operatie is. Op de publieke leksite staan drie slachtoffers, maar er zijn minstens vijf getroffen organisaties gevonden, wat suggereert dat niet alle aanvallen openbaar worden gemaakt. Een bekend slachtoffer is Standard Bank Group, waar de eis uitkwam op slechts 1 bitcoin, ongeveer 107.000 dollar, veel lager dan de miljoenenbedragen die grote ransomwaregroepen vaak vragen. De malware wist zichzelf na encryptie en verwijdert sleutelmateriaal uit het geheugen, maar controleert eerst of versleutelde bestanden ook weer terug te zetten zijn voordat het origineel wordt gewist.