- 27,738
- 46
- 8 Ноя 2022
Сценарий атаки рассчитан не на хаос, а на точный удар по самой болезненной цели.
Свежие рабочие документы обычно бьют по бизнесу сильнее архивов, и новая вымогательская операция Prinz Eugen строит шифрование именно вокруг таких файлов. По данным Threatdown, корпоративного подразделения Malwarebytes, вредонос первым делом обрабатывает недавно изменённые файлы и даже не оставляет на заражённой системе записку с требованием выкупа.
Специалисты связывают первичный доступ с украденными учётными данными RDP . После входа злоумышленники вручную загружают и запускают основной файл servertool.exe, а для закрепления используют легальные средства удалённого администрирования и штатные инструменты Windows. В одном из изученных инцидентов фигурировали RemotePC и скрытая учётная запись администратора.
Prinz Eugen отличается от многих современных групп вымогателей . Операция не работает по модели «вымогатель как услуга» и пока не ищет партнёров для атак. На сайте утечек указаны три жертвы, но специалисты знают о большем числе пострадавших организаций. Всего Threatdown выявила как минимум пять жертв, а в случае со Standard Bank злоумышленник потребовал 1 BTC и получил отказ.
Главная особенность вредоноса связана с порядком шифрования. Prinz Eugen рекурсивно проходит по каталогам без ограничения глубины и почти без исключений, пропуская только уже зашифрованные файлы. Если несколько файлов имеют одинаковую дату изменения, вредонос шифрует их по алфавиту. Такой подход повышает давление на компанию, потому что под удар первыми попадают активные документы, с которыми сотрудники работали буквально только что.
Шифрование идёт блоками по 1 МБ, для защиты данных используется ChaCha20-Poly1305, а целостность проверяется через SHA-256. При запуске с параметром удаления вредонос сначала убеждается, что файл можно расшифровать, и только потом стирает оригинал. Затем Prinz Eugen затирает ключ нулями, принудительно очищает память и удаляет собственный файл с диска.
Отсутствие записки с выкупом — не ошибка. По оценке Threatdown, такой приём сокращает следы в системе и мешает автоматическому обнаружению на этапе вымогательства. Переговоры могут уходить во внешние каналы, включая почту, телефон или портал для жертв в даркнете.
Для снижения риска Threatdown опубликовала индикаторы компрометации, которые помогают анализировать инциденты, искать следы Prinz Eugen и настраивать защиту от похожих атак. Организациям также стоит отдельно проверять подозрительные входы по RDP, появление новых администраторских учётных записей и использование легальных инструментов удалённого доступа вне штатных сценариев.
Свежие рабочие документы обычно бьют по бизнесу сильнее архивов, и новая вымогательская операция Prinz Eugen строит шифрование именно вокруг таких файлов. По данным Threatdown, корпоративного подразделения Malwarebytes, вредонос первым делом обрабатывает недавно изменённые файлы и даже не оставляет на заражённой системе записку с требованием выкупа.
Специалисты связывают первичный доступ с украденными учётными данными RDP . После входа злоумышленники вручную загружают и запускают основной файл servertool.exe, а для закрепления используют легальные средства удалённого администрирования и штатные инструменты Windows. В одном из изученных инцидентов фигурировали RemotePC и скрытая учётная запись администратора.
Prinz Eugen отличается от многих современных групп вымогателей . Операция не работает по модели «вымогатель как услуга» и пока не ищет партнёров для атак. На сайте утечек указаны три жертвы, но специалисты знают о большем числе пострадавших организаций. Всего Threatdown выявила как минимум пять жертв, а в случае со Standard Bank злоумышленник потребовал 1 BTC и получил отказ.
Главная особенность вредоноса связана с порядком шифрования. Prinz Eugen рекурсивно проходит по каталогам без ограничения глубины и почти без исключений, пропуская только уже зашифрованные файлы. Если несколько файлов имеют одинаковую дату изменения, вредонос шифрует их по алфавиту. Такой подход повышает давление на компанию, потому что под удар первыми попадают активные документы, с которыми сотрудники работали буквально только что.
Шифрование идёт блоками по 1 МБ, для защиты данных используется ChaCha20-Poly1305, а целостность проверяется через SHA-256. При запуске с параметром удаления вредонос сначала убеждается, что файл можно расшифровать, и только потом стирает оригинал. Затем Prinz Eugen затирает ключ нулями, принудительно очищает память и удаляет собственный файл с диска.
Отсутствие записки с выкупом — не ошибка. По оценке Threatdown, такой приём сокращает следы в системе и мешает автоматическому обнаружению на этапе вымогательства. Переговоры могут уходить во внешние каналы, включая почту, телефон или портал для жертв в даркнете.
Для снижения риска Threatdown опубликовала индикаторы компрометации, которые помогают анализировать инциденты, искать следы Prinz Eugen и настраивать защиту от похожих атак. Организациям также стоит отдельно проверять подозрительные входы по RDP, появление новых администраторских учётных записей и использование легальных инструментов удалённого доступа вне штатных сценариев.
- Источник новости
- www.securitylab.ru
