Prinz Eugen: Neue Ransomware zielt gezielt auf kürzlich geänderte Dateien ab
Von Mag-Info Tech editorial · 2026-06-21
Was ist die Prinz Eugen Ransomware und warum ist sie besonders?
Die Ransomware namens Prinz Eugen stellt eine neue Bedrohung für Unternehmen dar, die sich durch eine gezielte Verschlüsselungsstrategie auszeichnet. Im Gegensatz zu vielen anderen Ransomware-Familien, die Dateien nach zufälligen Kriterien verschlüsseln, priorisiert Prinz Eugen Dateien, die kürzlich verändert oder genutzt wurden. Diese Methode erhöht den Schaden für betroffene Organisationen, da gerade aktive und geschäftskritische Daten im Fokus stehen. Besonders auffällig ist, dass Prinz Eugen keine klassischen Lösegeldforderungen auf dem System hinterlässt, was die Erkennung und Reaktion auf den Angriff erschweren kann.
Die Malware wird manuell von Angreifern mit direkter Tastatursteuerung eingesetzt, was auf eine gezielte und professionelle Vorgehensweise hindeutet. Die Täter nutzen legitime Fernwartungstools und sogenannte „Living-off-the-land“-Techniken, um sich im Netzwerk zu bewegen und ihre Ziele zu erreichen. Diese Vorgehensweise macht die Erkennung durch herkömmliche Sicherheitslösungen schwieriger, da die Angreifer sich innerhalb der erlaubten Systemtools bewegen.
Wie gelangen Angreifer an den Zugriff auf das System?
Laut Untersuchungen erfolgt der initiale Zugriff auf das System häufig über gestohlene RDP-Zugangsdaten. Dabei handelt es sich um Remote-Desktop-Protokolle, die oft durch Phishing oder andere Angriffe auf Nutzerkonten kompromittiert wurden. Nach dem ersten Zugriff laden die Angreifer die Hauptkomponente der Malware, eine ausführbare Datei namens „servertool.exe“, manuell auf das System und führen sie aus. Dies deutet darauf hin, dass die Angreifer bereits über detaillierte Kenntnisse des Zielsystems verfügen und gezielt vorgehen.
In einem analysierten Vorfall wurde das RemotePC-Tool genutzt, um die Kontrolle über das System zu übernehmen. Zusätzlich legten die Angreifer ein Backdoor-Administratorkonto an, um die Persistenz zu sichern. Dies ermöglicht es ihnen, auch nach einem Neustart des Systems weiterhin Zugriff auf das Netzwerk zu haben. Solche Techniken sind typisch für Angriffe, die auf langfristige Präsenz und maximale Schadenswirkung abzielen.
Welche Techniken nutzt Prinz Eugen für die Verschlüsselung?
Prinz Eugen basiert auf der Programmiersprache Go und verschlüsselt Dateien mit dem Algorithmus ChaCha20-Poly1305. Dieser moderne Verschlüsselungsstandard gilt als sicher und effizient und wird häufig in aktuellen Malware-Familien eingesetzt. Die Malware verwendet einen 32-Byte-Masterkey, der für jeden Angriff neu generiert wird. Für jede verschlüsselte Datei wird ein zufälliger Initialisierungsvektor (IV) erzeugt, um die Sicherheit zu erhöhen.
Die Verschlüsselung erfolgt in Blöcken von jeweils 1 MB, was die Performance des Angriffs optimiert und gleichzeitig die Wahrscheinlichkeit erhöht, dass die Verschlüsselung erfolgreich abgeschlossen wird. Die Integrität der Dateien wird durch SHA-256-Hashwerte überprüft, um sicherzustellen, dass die Verschlüsselung korrekt durchgeführt wurde. Besonders bemerkenswert ist, dass Prinz Eugen keine Dateien mit der Endung „.prinzeugen“ verschlüsselt, da diese als bereits verschlüsselt markiert werden.
Warum priorisiert Prinz Eugen kürzlich geänderte Dateien?
Die gezielte Verschlüsselung kürzlich geänderter Dateien ist eine bewusste Strategie der Angreifer, um den Schaden für das Opfer zu maximieren. Dateien, die kürzlich verändert wurden, sind oft geschäftskritisch und werden aktiv genutzt. Durch deren Verschlüsselung wird der Geschäftsbetrieb direkt beeinträchtigt, was den Druck auf die Opfer erhöht, das Lösegeld zu zahlen. Diese Methode ist besonders effektiv in Umgebungen, in denen schnelle Entscheidungen erforderlich sind, wie etwa in Produktionsumgebungen oder bei der Verarbeitung von Kundendaten.
Falls mehrere Dateien denselben Zeitstempel aufweisen, werden diese alphabetisch sortiert verarbeitet. Dies stellt sicher, dass die Verschlüsselung in einer vorhersehbaren Reihenfolge erfolgt, was die Effizienz des Angriffs erhöht. Die Malware durchsucht dabei rekursiv alle Verzeichnisse ohne Begrenzung der Tiefe und ohne Ausnahmen, was bedeutet, dass nahezu alle Dateien auf dem System verschlüsselt werden können.
Welche Rolle spielen Living-off-the-land-Tools und RMM-Software?
Die Angreifer hinter Prinz Eugen nutzen eine Kombination aus legitimen Fernwartungstools und sogenannten „Living-off-the-land“-Techniken. Dabei handelt es sich um den Einsatz von im System bereits vorhandenen Tools und Skriptsprachen, um Angriffe durchzuführen. Diese Techniken sind schwer zu erkennen, da sie keine neuen oder verdächtigen Programme erfordern. Stattdessen nutzen die Angreifer Tools wie PowerShell, Windows Management Instrumentation (WMI) oder andere Systembefehle, um ihre Ziele zu erreichen.
Im analysierten Vorfall wurde das RemotePC-Tool genutzt, um die Kontrolle über das System zu übernehmen. Dies zeigt, dass die Angreifer gezielt nach Tools suchen, die ihnen die Fernwartung und Kontrolle ermöglichen, ohne dass sie zusätzliche Malware installieren müssen. Solche Tools sind in vielen Unternehmen bereits vorhanden, was die Angreifer ausnutzen, um sich unauffällig im Netzwerk zu bewegen.
Echte Ergebnisse von MEFAIs KI. Erhalten Sie $50 Rabatt auf den Pro-Plan.
Gesponsert · Vergangene Leistung ist kein Indikator für zukünftige Ergebnisse. Keine Finanzberatung.
Wie unterscheidet sich Prinz Eugen von anderen Ransomware-Familien?
Prinz Eugen hebt sich von anderen Ransomware-Familien durch mehrere Merkmale ab. Zum einen verzichtet die Malware auf das Hinterlassen einer klassischen Lösegeldforderung auf dem System. Dies erschwert die Erkennung und Reaktion auf den Angriff, da herkömmliche Sicherheitslösungen oft nach solchen Hinweisen suchen. Stattdessen kommunizieren die Angreifer möglicherweise auf anderen Wegen mit dem Opfer, etwa über eine dedizierte Datenleak-Seite im Darknet.
Ein weiteres Unterscheidungsmerkmal ist, dass Prinz Eugen nicht im Ransomware-as-a-Service-Modell (RaaS) betrieben wird. Dies bedeutet, dass die Entwickler der Malware keine Partner oder Affiliates suchen, um die Verbreitung zu beschleunigen. Stattdessen handelt es sich um einen gezielten Angriff, der möglicherweise von einer kleineren, aber hochspezialisierten Gruppe durchgeführt wird. Bisher sind nur drei Opfer auf der Datenleak-Seite der Angreifer gelistet, was darauf hindeutet, dass die Gruppe noch in einer frühen Phase ihrer Aktivitäten steckt.
Welche Schutzmaßnahmen können Unternehmen ergreifen?
Angesichts der gezielten und professionellen Vorgehensweise der Angreifer hinter Prinz Eugen müssen Unternehmen ihre Sicherheitsmaßnahmen überprüfen und anpassen. Ein zentraler Punkt ist die Absicherung von Remote-Zugriffen, insbesondere von RDP-Verbindungen. Unternehmen sollten sicherstellen, dass alle RDP-Zugänge durch starke Passwörter und Multi-Faktor-Authentifizierung geschützt sind. Zudem empfiehlt es sich, RDP-Ports nicht öffentlich im Internet zugänglich zu machen, sondern über VPN-Verbindungen zu schützen.
Ein weiterer wichtiger Schritt ist die Überwachung und Einschränkung der Nutzung von Fernwartungstools. Da Angreifer solche Tools gezielt ausnutzen, sollten Unternehmen sicherstellen, dass nur autorisierte Personen Zugriff auf diese Tools haben. Zudem sollten alle Aktivitäten mit Fernwartungstools protokolliert und regelmäßig überprüft werden. Living-off-the-land-Techniken können durch die Implementierung von Application Whitelisting und die Einschränkung von Skriptsprachen wie PowerShell reduziert werden.
Wie sollten Unternehmen auf einen Angriff reagieren?
Sollte ein Unternehmen trotz aller Vorsichtsmaßnahmen Opfer eines Prinz Eugen-Angriffs werden, ist eine schnelle und koordinierte Reaktion entscheidend. Zunächst muss der Angriff isoliert werden, um eine weitere Ausbreitung der Malware zu verhindern. Dies umfasst die Trennung der betroffenen Systeme vom Netzwerk und die Deaktivierung von Fernwartungstools, die möglicherweise kompromittiert wurden.
Anschließend sollte das Unternehmen eine forensische Analyse durchführen, um die Ursache des Angriffs zu ermitteln und die Schwachstellen zu identifizieren, die ausgenutzt wurden. Dies hilft, ähnliche Angriffe in der Zukunft zu verhindern. Gleichzeitig sollte das Unternehmen die Strafverfolgungsbehörden und gegebenenfalls eine spezialisierte Incident-Response-Firma kontaktieren, um Unterstützung bei der Bewältigung des Angriffs zu erhalten.
Was bedeutet Prinz Eugen für die Zukunft der Ransomware-Bedrohung?
Die Entwicklung von Prinz Eugen zeigt, dass Ransomware-Angriffe zunehmend gezielter und professioneller werden. Die Nutzung von legitimen Tools und die manuelle Steuerung der Angriffe deuten darauf hin, dass die Täter über ein hohes Maß an technischem Know-how verfügen. Dies macht es für Unternehmen noch schwieriger, sich gegen solche Angriffe zu schützen.
Die Tatsache, dass Prinz Eugen auf die Verschlüsselung kürzlich geänderter Dateien setzt, unterstreicht die Notwendigkeit, regelmäßige Backups zu erstellen und diese sicher aufzubewahren. Nur so können Unternehmen im Falle eines Angriffs die Daten wiederherstellen und den Geschäftsbetrieb schnell wieder aufnehmen. Gleichzeitig müssen Unternehmen ihre Sicherheitsstrategien kontinuierlich anpassen, um mit den sich ständig weiterentwickelnden Angriffsmethoden Schritt zu halten.
Fazit: Proaktive Maßnahmen sind entscheidend
Die Prinz Eugen Ransomware ist ein weiteres Beispiel dafür, wie sich die Bedrohungslandschaft im Bereich Cybersecurity ständig weiterentwickelt. Die gezielte Vorgehensweise der Angreifer und die Nutzung legitimer Tools machen diese Bedrohung besonders gefährlich. Unternehmen müssen daher proaktiv handeln, um sich zu schützen. Dazu gehören die Absicherung von Remote-Zugriffen, die Überwachung von Fernwartungstools und die regelmäßige Überprüfung der Sicherheitsmaßnahmen.
Zudem ist es wichtig, dass Unternehmen im Falle eines Angriffs schnell und koordiniert reagieren können. Dies erfordert klare Prozesse und die Zusammenarbeit mit Experten, um den Schaden zu minimieren. Die Bedrohung durch Ransomware wird auch in Zukunft bestehen, und nur durch kontinuierliche Anpassung und Verbesserung der Sicherheitsmaßnahmen können Unternehmen sich wirksam schützen.
Mehr in Cybersicherheit & Datenschutz
Taiko-Bridge-Exploit: Warum Nutzer jetzt handeln müssen
Taiko warnt vor manipulierten Auszahlungen über seine Brücken – Nutzer sollen sofort ihre Gelder abziehen. Ein Fehler in der Zustandsprüfung ermöglichte Angreifern gefälschte Beweise und Diebstahl von
Secret Network Bridge-Exploit: Wie ein „unendlicher Druck“-Fehler 4,7 Millionen Dollar kostete
Ein Smart-Contract-Fehler im Secret Network ermöglichte das „unendliche Drucken“ nicht gedeckter Tokens im Wert von 4,7 Millionen Dollar. Der Angriff blieb eine Woche unbemerkt.
Neue Bedrohung durch AryStinger-Botnetz: Tausende D-Link-Router weltweit als Proxy missbraucht
Ein bisher unbekanntes Botnetz namens AryStinger hat über 4.000 veraltete D-Link-Router infiziert und zu Proxy-Servern für Cyberangriffe umfunktioniert. Betroffen sind vor allem Modelle in Südkorea, C