Une nouvelle opération de rançongiciel, appelée Prinz Eugen, privilégie le chiffrement des fichiers modifiés le plus récemment et ne laisse aucune note de rançon sur le système compromis.
Les enquêteurs de Threatdown, la branche cybersécurité entreprise de Malwarebytes, ont constaté que ses opérateurs agissent manuellement et utilisent des logiciels légitimes de gestion à distance ainsi que des outils déjà présents sur les systèmes ciblés.
L’accès initial serait obtenu via des identifiants RDP volés, suivis par le téléchargement et l’exécution manuels de la charge utile principale, nommée ‘servertool.exe’.
Au cours d’un incident analysé, les chercheurs ont observé l’utilisation de l’outil RemotePC et la création d’un compte administrateur malveillant pour assurer la persistance.
Contrairement à beaucoup d’opérations d’extorsion modernes, Prinz Eugen ne suit pas un modèle de rançongiciel en tant que service. Ses développeurs ne recrutent pas actuellement d’affiliés.
Le site de divulgation de données du groupe ne répertorie pour le moment que trois victimes. Les informations montrent que les pirates pratiquent le chiffrement, l’exfiltration de données, ou les deux. La communauté de la cybersécurité connaît cependant d’autres organisations touchées.
Source : BleepingComputer
Stratégie de chiffrement
L’analyse d’une attaque a révélé que ce rançongiciel, développé en langage Go, choisit en priorité de chiffrer les fichiers modifiés le plus récemment. Quand plusieurs fichiers partagent le même horodatage, ils sont traités par ordre alphabétique.
Les chercheurs de Threatdown pensent que cette approche cherche à maximiser l’impact sur les victimes en ciblant les fichiers les plus susceptibles d’être critiques pour l’activité et en cours d’utilisation, ce qui augmente la pression pour payer la rançon.
L’échantillon analysé parcourt les répertoires de manière récursive, sans limite de profondeur ni exclusions, et chiffre presque tous les fichiers à l’exception de ceux qui portent l’extension .prinzeugen, utilisée pour les fichiers déjà chiffrés.
Source : Malwarebytes
Le rançongiciel utilise l’algorithme ChaCha20-Poly1305 avec une clé maîtresse de 32 octets, un vecteur d’initialisation aléatoire par fichier, et une fonction de dérivation de clé basée sur Argon2id, SHA-256, et HKDF-SHA256.
Le chiffrement est effectué par blocs de 1 mégaoctet et l’intégrité des fichiers est vérifiée via la fonction de hachage SHA-256.
Source : Malwarebytes
Les chercheurs ont remarqué que lorsque le logiciel malveillant utilise le drapeau –delete pour supprimer le fichier original après l’avoir chiffré, il vérifie d’abord que le fichier peut être déchiffré avant de le retirer du système.
Pour empêcher la récupération de la clé de chiffrement, le rançongiciel Prinz Eugen la remplace par des zéros, force le nettoyage de la mémoire pour l’éliminer, puis s’auto-supprime du disque.
L’analyse du chiffreur n’a montré aucune fonctionnalité pour déposer un fichier texte de demande de rançon ou changer le fond d’écran du bureau. Les chercheurs de Threatdown indiquent que l’absence de note de rançon « est une tactique que nous voyons plus souvent chez les groupes de rançongiciels organisés ».
Cette méthode réduit généralement les traces forensiques et complique la détection automatique de la phase d’extorsion.
« En déplaçant toute la communication pour la rançon hors du système compromis (par email direct, contact téléphonique, ou portails victimes sur le dark web), l’acteur réduit les artefacts forensiques et rend plus difficile la détection automatisée de la phase d’extorsion », expliquent les chercheurs.
Ils ont identifié au moins cinq victimes de Prinz Eugen. Dans le cas de la violation de la Standard Bank, l’attaquant a exigé une rançon d’un bitcoin et s’est vu refuser.
Le rapport de Threatdown fournit une liste d’indicateurs de compromission pour aider les organisations et les chercheurs à analyser, détecter et se défendre contre les attaques du rançongiciel Prinz Eugen.