Prinz Eugen, il ransomware che colpisce i file più recenti senza lasciare tracce

Attacco mirato ai file recenti: la strategia di Prinz Eugen

Un nuovo attore delle minacce sta emergendo nel panorama del ransomware con una strategia che punta a massimizzare il danno in tempi rapidi. Prinz Eugen non è un ransomware-as-a-service, ma un’operazione gestita direttamente dai suoi sviluppatori, che sembra preferire un approccio manuale e personalizzato per ogni vittima. Secondo le analisi di Threatdown, l’operazione si distingue per due caratteristiche principali: la priorità data ai file modificati di recente e l’assenza di note di riscatto lasciate sul sistema compromesso.

La scelta di criptare prima i file più recenti non è casuale. Questi documenti, infatti, sono spesso quelli in uso attivo nei processi aziendali, come fogli di calcolo finanziari, contratti in revisione o database aggiornati. La loro perdita o inaccessibilità può paralizzare le operazioni quotidiane molto più di file obsoleti o archiviati da tempo. Questo metodo aumenta la pressione psicologica sulle vittime, spingendole a considerare il pagamento del riscatto come unica via per riprendere il controllo delle proprie attività. Inoltre, l’assenza di una nota di riscatto rende l’attacco ancora più subdolo: le organizzazioni potrebbero accorgersi della compromissione solo quando cercano di aprire un file e ricevono un errore di decrittazione, perdendo tempo prezioso nella risposta all’incidente.

La mancanza di una richiesta di pagamento strutturata suggerisce che gli attaccanti puntino su un approccio più diretto, probabilmente negoziando con le vittime in modo individuale. Questo potrebbe indicare una fase iniziale dell’operazione, in cui gli attaccanti stanno ancora testando l’efficacia della loro strategia e valutando la risposta del mercato. Tuttavia, il fatto che siano già state identificate tre vittime pubblicamente e che la comunità cybersecurity sospetti la presenza di altri casi non ancora resi noti, fa pensare che Prinz Eugen stia guadagnando terreno rapidamente.

Accesso iniziale e movimento laterale: l’uso di strumenti legittimi

Prinz Eugen non si affida a vulnerabilità zero-day o a exploit sofisticati per penetrare nelle reti aziendali. Secondo le indagini, l’accesso iniziale avviene spesso tramite credenziali RDP (Remote Desktop Protocol) rubate, un metodo che permette agli attaccanti di muoversi all’interno della rete con credenziali apparentemente valide. Una volta dentro, gli attaccanti utilizzano strumenti di monitoraggio e gestione remota (RMM) legittimi, come RemotePC, per mantenere l’accesso alla macchina compromessa e spostarsi lateralmente verso altri sistemi.

L’uso di strumenti RMM è una tecnica sempre più diffusa tra i gruppi di ransomware. Questi software, normalmente utilizzati dai reparti IT per la manutenzione dei sistemi, vengono sfruttati dagli attaccanti per evitare di dover installare strumenti malevoli che potrebbero essere rilevati dai sistemi di sicurezza. Inoltre, la creazione di un account amministratore backdoor garantisce la persistenza dell’accesso anche dopo eventuali riavvii o cambiamenti di password. Questo approccio “low and slow” permette agli attaccanti di operare indisturbati per periodi prolungati, raccogliendo informazioni e preparando l’attacco finale.

La scelta di non operare come RaaS (Ransomware-as-a-Service) è un altro elemento distintivo di Prinz Eugen. Mentre la maggior parte dei gruppi di ransomware affida la distribuzione del malware a affiliati in cambio di una percentuale sui profitti, Prinz Eugen sembra essere gestito direttamente dai suoi sviluppatori. Questo potrebbe indicare un livello di sofisticazione superiore, ma anche una maggiore esposizione, poiché eventuali errori operativi non possono essere attribuiti a terze parti. Tuttavia, la mancanza di un’infrastruttura affiliata potrebbe limitare la capacità di attacco su larga scala, spingendo gli attaccanti a concentrarsi su vittime di alto valore.

Meccanismo di criptazione: efficienza e resilienza

Il payload principale di Prinz Eugen, denominato servertool.exe, è scritto in Go, un linguaggio di programmazione noto per la sua efficienza e portabilità. Una volta eseguito, il malware inizia una scansione ricorsiva di tutte le directory del sistema, senza limiti di profondità e senza escludere alcun tipo di file. L’unica eccezione è rappresentata dai file già criptati, riconoscibili dall’estensione .prinzeugen. Questo approccio aggressivo garantisce che nessun documento, immagine o database venga trascurato, massimizzando il danno.

Il processo di criptazione utilizza l’algoritmo ChaCha20-Poly1305, una coppia crittografica moderna e sicura, combinata con una chiave master di 32 byte. Ogni file viene criptato con una chiave di inizializzazione (IV) univoca, generata casualmente, e una funzione di derivazione della chiave basata su Argon2id, SHA-256 e HKDF-SHA256. Questo livello di complessità rende estremamente difficile, se non impossibile, la decrittazione senza il pagamento del riscatto. Inoltre, il malware suddivide i file in chunk di 1 MB durante la criptazione, una scelta che bilancia efficienza e resilienza: i chunk più piccoli permettono di gestire meglio la memoria, mentre la dimensione relativamente grande riduce la frammentazione e velocizza il processo.

Un altro elemento critico è l’uso di SHA-256 per verificare l’integrità dei file durante e dopo la criptazione. Questo garantisce che il malware non lasci file corrotti o parzialmente criptati, aumentando la probabilità che le vittime si accorgano dell’attacco solo quando è troppo tardi. La possibilità di utilizzare il flag --delete per eliminare i file originali dopo la criptazione aggiunge un ulteriore livello di distruzione, rendendo il recupero dei dati ancora più complicato, anche per chi dispone di backup recenti.

Motivazioni e obiettivi: un attacco su misura per le aziende

A differenza di molti gruppi di ransomware che colpiscono indiscriminatamente, Prinz Eugen sembra avere una strategia mirata. La priorità data ai file recenti suggerisce che gli attaccanti siano interessati a colpire organizzazioni in cui la disponibilità immediata dei dati è cruciale. Questo potrebbe includere settori come finanza, sanità, giuridico o logistica, dove anche poche ore di downtime possono tradursi in perdite finanziarie significative o danni reputazionali.

La mancanza di una data leak site strutturata, con solo tre vittime attualmente elencate, potrebbe indicare che Prinz Eugen è ancora in una fase sperimentale. Tuttavia, la presenza di vittime in settori sensibili suggerisce che gli attaccanti stiano già ottenendo risultati concreti. È probabile che, man mano che l’operazione cresce, il numero di vittime aumenti e la data leak site diventi più attiva, soprattutto se gli attaccanti decidono di passare a un modello più aggressivo, magari includendo la doppia estorsione (criptazione + furto dati).

Un altro aspetto da considerare è l’assenza di richieste di riscatto esplicite. Questo potrebbe essere un segno di fiducia degli attaccanti nella loro capacità di negoziare direttamente con le vittime, oppure un’indicazione che stiano ancora perfezionando la loro strategia di monetizzazione. In ogni caso, le organizzazioni colpite si trovano in una posizione svantaggiata: senza una nota di riscatto, non sanno come contattare gli attaccanti, né quali siano le loro richieste. Questo aumenta il rischio di pagamenti spontanei da parte delle vittime, spinte dalla disperazione di recuperare i dati.

Difese e risposta: come proteggersi da Prinz Eugen

Data la natura sofisticata e mirata di Prinz Eugen, le organizzazioni devono adottare un approccio multilivello alla sicurezza. Innanzitutto, è fondamentale proteggere le credenziali RDP. L’uso di password complesse, l’autenticazione a più fattori (MFA) e il monitoraggio delle connessioni RDP sospette possono ridurre significativamente il rischio di accessi non autorizzati. Inoltre, limitare l’uso di strumenti RMM a personale autorizzato e monitorare le attività anomale può aiutare a rilevare tempestivamente un’intrusione.

Un altro punto critico è la segmentazione della rete. Prinz Eugen si muove lateralmente alla ricerca di file da criptare, quindi isolare i sistemi critici e limitare l’accesso tra le diverse aree della rete può contenere la diffusione del malware. L’implementazione di politiche di least privilege, che concedono agli utenti solo i permessi necessari per svolgere il proprio lavoro, riduce ulteriormente la superficie di attacco. Inoltre, disabilitare l’esecuzione di script non autorizzati e monitorare l’uso di strumenti come PowerShell o cmd.exe può aiutare a rilevare attività sospette.

La protezione dei backup è altrettanto cruciale. Prinz Eugen non solo cripta i file, ma può anche eliminarli se viene utilizzato il flag --delete. Per mitigare questo rischio, è necessario seguire la regola 3-2-1: almeno tre copie dei dati, su due supporti diversi, con una copia offsite o in cloud. Inoltre, i backup devono essere testati regolarmente per garantire che possano essere ripristinati correttamente in caso di emergenza. Infine, l’uso di soluzioni di rilevamento e risposta (EDR/XDR) può aiutare a identificare comportamenti anomali, come l’esecuzione di servertool.exe o la criptazione massiccia di file, prima che l’attacco si completi.

Analisi tecnica: dettagli del payload e comportamento

Un’analisi più approfondita del payload di Prinz Eugen rivela diversi dettagli tecnici che lo distinguono da altri ransomware. Il malware, scritto in Go, è progettato per essere il più portatile possibile, il che significa che può essere eseguito su una varietà di sistemi senza richiedere dipendenze complesse. Questo lo rende adatto a essere distribuito rapidamente all’interno di una rete compromessa.

Durante la fase di ricognizione, Prinz Eugen raccoglie informazioni sul sistema, inclusi i percorsi delle directory, i nomi dei file e i timestamp di modifica. I file vengono poi ordinati in base alla data di modifica più recente, e in caso di timestamp identici, vengono processati in ordine alfabetico. Questo garantisce che i file più critici per le operazioni aziendali vengano criptati per primi. Una volta iniziata la criptazione, il malware utilizza ChaCha20-Poly1305 per garantire che i file siano inaccessibili senza la chiave di decrittazione.

Un altro dettaglio interessante è l’uso di Argon2id come funzione di derivazione della chiave. Argon2id è un algoritmo di hashing progettato per essere resistente agli attacchi di forza bruta, il che rende ancora più difficile per le vittime tentare di recuperare i dati senza pagare il riscatto. Inoltre, l’uso di una chiave master di 32 byte e di un IV unico per ogni file aumenta la sicurezza del processo di criptazione. Questi elementi tecnici suggeriscono che gli sviluppatori di Prinz Eugen hanno una conoscenza avanzata della crittografia e stanno cercando di rendere il loro malware il più resistente possibile alla decrittazione.

Impatto e tendenze: cosa significa Prinz Eugen per il futuro del ransomware

L’emergere di Prinz Eugen rappresenta una tendenza preoccupante nel panorama delle minacce informatiche. Mentre molti gruppi di ransomware si affidano a modelli RaaS per scalare le loro operazioni, Prinz Eugen dimostra che un approccio manuale e mirato può essere altrettanto efficace, se non più dannoso. La mancanza di una data leak site strutturata e la gestione diretta dell’operazione suggeriscono che gli attaccanti stiano cercando di evitare l’attenzione delle forze dell’ordine e delle società di cybersecurity, operando in modo più silenzioso e selettivo.

Questa tendenza potrebbe portare a un aumento degli attacchi su misura, in cui i gruppi di ransomware prendono di mira specifiche organizzazioni con strategie ad hoc. Questo renderebbe ancora più difficile per le vittime prevedere e difendersi da questi attacchi, poiché le tattiche, le tecniche e le procedure (TTP) utilizzate possono variare notevolmente da un caso all’altro. Inoltre, l’uso di strumenti legittimi e la mancanza di note di riscatto rendono questi attacchi particolarmente subdoli, poiché possono passare inosservati fino a quando è troppo tardi.

Per le organizzazioni, questo significa che la difesa non può più basarsi esclusivamente su soluzioni automatizzate o su modelli di sicurezza standardizzati. È necessario adottare un approccio proattivo, che includa il monitoraggio continuo delle attività di rete, l’analisi del comportamento degli utenti e la preparazione a rispondere a incidenti sofisticati. Inoltre, la collaborazione con la comunità cybersecurity e la condivisione di informazioni su nuove minacce come Prinz Eugen può aiutare a identificare e mitigare gli attacchi in modo più efficace.

Cosa fare ora: azioni immediate per le organizzazioni

Per le organizzazioni che vogliono proteggersi da Prinz Eugen e da minacce simili, ci sono alcune azioni immediate che possono essere intraprese. Innanzitutto, è essenziale condurre un audit delle credenziali RDP e delle politiche di accesso remoto. L’uso di password deboli o riutilizzate è una delle principali vie di ingresso per gli attaccanti, quindi è fondamentale implementare politiche di password robuste e l’autenticazione a più fattori.

In secondo luogo, le organizzazioni dovrebbero rivedere le politiche di utilizzo degli strumenti RMM. Questi strumenti devono essere limitati a personale autorizzato e il loro utilizzo deve essere monitorato attentamente. Inoltre, è consigliabile disabilitare l’esecuzione di script non autorizzati e limitare l’uso di strumenti come PowerShell e cmd.exe a scenari strettamente necessari.

Infine, le organizzazioni devono assicurarsi che i loro backup siano sicuri, aggiornati e testati regolarmente. Questo include la verifica che i backup siano immutabili, cioè che non possano essere modificati o eliminati da malware come Prinz Eugen. Inoltre, è utile implementare soluzioni di rilevamento e risposta che possano identificare comportamenti anomali, come la criptazione massiccia di file o l’uso di strumenti RMM in orari insoliti.

Conclusioni: un promemoria sulla sicurezza proattiva

Prinz Eugen è solo l’ultimo esempio di come il panorama delle minacce informatiche stia evolvendo verso tattiche sempre più sofisticate e mirate. L’assenza di note di riscatto, l’uso di strumenti legittimi e la priorità data ai file recenti sono tutti elementi che rendono questo ransomware particolarmente insidioso. Per le organizzazioni, la lezione da imparare è chiara: la sicurezza informatica non può più essere considerata un costo, ma un investimento necessario per proteggere la continuità operativa e la reputazione.

In un mondo in cui gli attaccanti sono sempre più abili nell’evitare i controlli automatici e nel muoversi lateralmente all’interno delle reti, la difesa deve essere altrettanto sofisticata. Questo significa adottare un approccio multilivello, che includa la protezione delle credenziali, la segmentazione della rete, la gestione attenta degli strumenti di amministrazione remota e la protezione dei backup. Inoltre, è fondamentale rimanere aggiornati sulle nuove minacce e collaborare con la comunità cybersecurity per condividere informazioni e best practice.

Prinz Eugen potrebbe essere solo l’inizio di una nuova ondata di attacchi mirati, ma con le giuste difese e una cultura della sicurezza proattiva, le organizzazioni possono ridurre significativamente il rischio di diventare vittime. La chiave è agire ora, prima che sia troppo tardi.