Новая атака Prinz Eugen: как работает шифровальщик, угрожающий бизнесу

Что такое Prinz Eugen и почему он отличается от других шифровальщиков

Prinz Eugen — это новая группа киберпреступников, использующая одноимённый шифровальщик для атак на корпоративные сети. В отличие от большинства современных угроз, эта кампания не работает по модели Ransomware-as-a-Service (RaaS), где разработчики сдают инструмент в аренду партнёрам. Вместо этого группа действует самостоятельно, не набирая новых участников. Это означает, что мотивация атакующих может быть другой — возможно, они преследуют более конкретные цели, такие как финансовая выгода или кибершпионаж.

Исследователи из Malwarebytes Threatdown отмечают, что Prinz Eugen использует тактику «с рук на клавиатуре» (hands-on-keyboard), то есть атакующие вручную управляют процессом взлома, а не автоматизируют его. Это делает атаки более целенаправленными и сложными для обнаружения, так как преступники адаптируются к окружению жертвы в реальном времени.

Как происходит проникновение: от украденных RDP до легитимных инструментов

Первоначальный доступ к сети жертвы группа получает через украденные учётные данные удалённого рабочего стола (RDP). После этого атакующие вручную загружают и запускают основной payload — файл servertool.exe. В исследованном инциденте преступники использовали легитимное программное обеспечение для удалённого доступа RemotePC, а также создали бэкдор-учётную запись администратора для поддержания доступа к системе.

Использование легитимных инструментов — ключевая особенность Prinz Eugen. Вместо того чтобы полагаться на вредоносное ПО, которое может быть обнаружено антивирусами, преступники эксплуатируют уже установленные в компании программы. Это усложняет задачу для систем защиты, так как легитимные процессы не всегда вызывают подозрения.

Почему Prinz Eugen шифрует именно актуальные файлы

Одна из самых опасных особенностей Prinz Eugen — приоритетное шифрование недавно изменённых файлов. Если несколько файлов имеют одинаковую метку времени, они шифруются в алфавитном порядке. Исследователи считают, что такая тактика направлена на максимальный ущерб для бизнеса, так как жертвы теряют доступ к наиболее востребованным данным.

Шифровщик рекурсивно обходит директории без ограничения по глубине и шифрует практически все файлы, кроме тех, что уже имеют расширение .prinzeugen. Это означает, что даже резервные копии, если они не изолированы, могут быть заражены. Такой подход увеличивает давление на жертв, заставляя их быстрее принимать решение о выплате выкупа.

Технические детали шифрования: ChaCha20, Argon2id и 1 МБ-блоки

Prinz Eugen использует алгоритм ChaCha20-Poly1305 для шифрования файлов, что является современным и надёжным выбором. Для генерации ключа применяется мастер-ключ размером 32 байта, а каждый файл шифруется с уникальным вектором инициализации. Ключевая производная функция основана на комбинации Argon2id, SHA-256 и HKDF-SHA256, что делает процесс криптографически стойким.

Шифрование происходит блоками по 1 МБ, а целостность данных проверяется с помощью SHA-256. Если используется флаг --delete, оригинальные файлы удаляются после шифрования, что ещё больше усложняет восстановление данных без резервных копий. Такие технические детали указывают на профессионализм разработчиков, способных создавать сложные и эффективные угрозы.

Почему Prinz Eugen не оставляет записки с требованиями

В отличие от большинства шифровальщиков, Prinz Eugen не оставляет на заражённой системе текстового файла с инструкциями по выкупу. Это может быть частью тактики давления: жертвы не получают чётких указаний, что усложняет процесс переговоров и увеличивает неопределённость. Однако это также означает, что следы активности преступников могут быть менее заметны для систем мониторинга, которые часто нацелены на поиск характерных записок.

Отсутствие записки не означает, что данных не похищено. Исследователи отмечают, что в некоторых случаях Prinz Eugen не только шифрует файлы, но и похищает данные, что может быть использовано для двойного шантажа — угрозы публикации украденной информации.

Сколько жертв уже у Prinz Eugen и как развивается кампания

На момент анализа сайт утечки данных Prinz Eugen содержал информацию всего о трёх жертвах, но эксперты уверены, что реальное число пострадавших значительно выше. Это может означать, что группа либо ещё не успела масштабировать атаки, либо тщательно скрывает свои следы, не афишируя все инциденты.

Развитие кампании показывает, что Prinz Eugen не ограничивается шифрованием. В некоторых случаях атакующие комбинируют шифрование с похищением данных, что увеличивает риски для бизнеса. Такая тактика становится всё более распространённой среди современных групп вымогателей, так как она позволяет оказывать дополнительное давление на жертв.

Как защититься от Prinz Eugen: практические шаги для бизнеса

Первый шаг — обеспечить надёжную аутентификацию для удалённого доступа. Использование многофакторной аутентификации (MFA) для RDP и VPN может значительно снизить риск компрометации учётных данных. Также важно ограничить доступ к критически важным системам только необходимым сотрудникам.

Второй шаг — изолировать резервные копии. Prinz Eugen шифрует файлы рекурсивно, поэтому резервные копии должны храниться в отключённом состоянии или в облачных хранилищах с минимальными правами доступа. Это предотвратит их заражение в случае атаки.

Третий шаг — мониторинг легитимных инструментов. Поскольку Prinz Eugen использует RemotePC и другие легитимные программы, важно настроить системы обнаружения аномалий, которые будут фиксировать необычное использование таких инструментов. Например, запуск RemotePC в нерабочее время или под учётной записью, которая обычно не используется для удалённого доступа.

Что делать, если Prinz Eugen уже проник в сеть

Если атака уже началась, первым делом необходимо изолировать заражённые системы, чтобы предотвратить распространение шифровальщика. Это включает отключение сетевых подключений, отключение Wi-Fi и Ethernet на поражённых устройствах.

Далее следует оценить масштаб инцидента: какие файлы были зашифрованы, какие данные могли быть похищены. Если есть подозрения на утечку данных, необходимо уведомить соответствующие органы и заинтересованные стороны в соответствии с требованиями законодательства.

Наконец, следует обратиться к специалистам по кибербезопасности для расследования инцидента и восстановления данных. Попытки самостоятельно удалить шифровальщик или восстановить файлы могут привести к ещё большим повреждениям.

Будущее угрозы: чего ждать от Prinz Eugen и аналогичных групп

Prinz Eugen демонстрирует тренды, которые становятся всё более распространёнными в мире киберугроз: использование легитимных инструментов, ручное управление атаками и комбинирование шифрования с похищением данных. Такие методы делают атаки более сложными для обнаружения и более разрушительными для жертв.

Эксперты прогнозируют, что в будущем подобные кампании будут только набирать обороты, особенно если группы продолжат совершенствовать свои тактики. Для бизнеса это означает необходимость постоянного обновления мер безопасности, обучения сотрудников и инвестирования в современные решения для защиты от угроз.

Вывод: почему Prinz Eugen — угроза, которую нельзя игнорировать

Prinz Eugen — это не просто ещё один шифровальщик, а хорошо продуманная кампания, использующая современные тактики и инструменты. Её особенности — приоритетное шифрование актуальных файлов, отсутствие записок с требованиями и использование легитимных программ — делают её особенно опасной для бизнеса.

Защита от таких угроз требует комплексного подхода: от надёжной аутентификации до изолированных резервных копий и мониторинга легитимных инструментов. Те компании, которые игнорируют эти меры, рискуют столкнуться с серьёзными финансовыми и репутационными потерями.