Новиот ransomware Prinz Eugen им дава приоритет на неодамна изменетите датотеки при енкрипција

Нова ransomware-операција наречена Prinz Eugen им дава приоритет на неодамна изменетите датотеки при нивното енкриптирање и не остава порака за откуп (ransom note) на компромитираниот систем.

Истрага на ThreatDown, корпоративниот оддел за сајбер-безбедност на Malwarebytes, откри дека операторите на Prinz Eugen користат пристап од типот „hands-on-keyboard“, при што рачно ги извршуваат нападите и претпочитаат да користат легитимен софтвер за далечинско следење и управување (RMM – Remote Monitoring and Management), како и таканаречени „living-off-the-land“ алатки, односно легитимни системски алатки што веќе постојат на нападнатите уреди.

Според истражувачите, почетниот пристап најверојатно се добива преку украдени RDP (Remote Desktop Protocol) акредитиви, по што следува рачно преземање и извршување на главниот малициозен товар (payload) наречен servertool.exe.

Во еден од анализираните инциденти, истражувачите забележале употреба на алатката RemotePC за далечинско управување, како и дополнителна администраторска сметка со задна врата (backdoor), која им овозможувала на напаѓачите долгорочно присуство и пристап до системот.

За разлика од многу современи групи за дигитална изнуда, Prinz Eugen не функционира според моделот Ransomware-as-a-Service (RaaS), односно не нуди ransomware како услуга на други криминални групи. Исто така, неговите развивачи во моментов не регрутираат партнери или афилијати за спроведување напади.

Во моментов, страницата на заканувачката група за објавување украдени податоци содржи само три наведени жртви. Достапните информации покажуваат дека напаѓачите вршат:

• енкриптирање на податоци,
• ексфилтрација (нелегално извлекување) на податоци,
• или комбинација од двете техники.

Сепак, сајбер-безбедносната заедница е запознаена со поголем број организации кои биле погодени од ransomware-от Prinz Eugen отколку што е прикажано на нивната јавна страница за протекување податоци.

Стратегија за енкрипција

Анализата на напад со Prinz Eugen открила дека малициозниот софтвер, напишан на програмскиот јазик Go, им дава приоритет на најскоро изменетите датотеки при процесот на енкрипција.

Кога повеќе датотеки имаат ист временски печат (timestamp), тие се обработуваат по азбучен редослед.

Истражувачите од ThreatDown сметаат дека оваа стратегија е осмислена за да се максимизира влијанието врз жртвите, бидејќи најново изменетите датотеки најчесто се:

• критични за деловното работење,
• активно користени од вработените,
• и од суштинско значење за секојдневните операции.

Со нивното прво енкриптирање, напаѓачите создаваат поголем притисок врз жртвите да го платат бараниот откуп.

Анализираниот примерок на малициозниот софтвер рекурзивно ги проверува директориумите без ограничување на длабочината и без исклучоци. Тој практично ги енкриптира сите датотеки што ќе ги пронајде, освен оние што веќе ја имаат наставката .prinzeugen, која Prinz Eugen ја додава на веќе енкриптираните датотеки.

Со други зборови, штом датотеката ќе биде енкриптирана, нејзиното оригинално име се менува со додавање на екстензијата .prinzeugen, што служи како ознака дека датотеката е веќе обработена од ransomware-от.

Ransomware-от користи ChaCha20-Poly1305 алгоритам за енкрипција, со:

• главен клуч (master key) од 32 бајти,
• случајно генериран иницијализациски вектор (IV) за секоја датотека,
• функција за изведување клучеви (Key Derivation Function – KDF) базирана на Argon2id, SHA-256 и HKDF-SHA256.

Процесот на енкрипција се извршува во блокови (chunks) од 1 MB, што овозможува ефикасна обработка и на многу големи датотеки.

За проверка на интегритетот на податоците се користи хеш-функцијата SHA-256, која овозможува потврда дека датотеките не биле изменети или оштетени за време на процесот на енкрипција.

Оваа комбинација на криптографски механизми укажува дека Prinz Eugen користи современи и силни техники за заштита на енкриптираните податоци, што значително го отежнува нивното враќање без соодветниот клуч за дешифрирање.

Истражувачите забележале дека кога малициозниот софтвер ја користи опцијата –delete за бришење на оригиналната датотека по нејзиното енкриптирање, претходно се извршува проверка за да се потврди дека датотеката може успешно да се дешифрира. Доколку проверката е успешна, оригиналната датотека се отстранува од системот.

За да спречи обновување на клучот за енкрипција, ransomware-от Prinz Eugen презема дополнителни мерки:

• клучот го препишува со нули (zeroization),
• принудно активира процес на чистење на меморијата (garbage collection) за да се отстранат неговите траги од RAM меморијата,
• потоа самиот се брише од дискот (self-delete).

Анализата на модулот за енкрипција покажала дека не постои функционалност за оставање текстуална порака за откуп (ransom note), ниту за промена на позадината на работната површина (desktop wallpaper).

Според истражувачите од ThreatDown, отсуството на порака за откуп е тактика што сè почесто ја користат организирани ransomware групи.

Ова најчесто се прави за:

• намалување на форензичките траги по нападот,
• отежнување на автоматското откривање на фазата на изнуда,
• минимизирање на индикаторите што можат да ги забележат безбедносните системи.

„Со целосно преместување на комуникацијата за откуп надвор од компромитираниот систем (преку директна е-пошта, телефонски контакт или портали за жртви на dark web), напаѓачите ги намалуваат форензичките артефакти и го отежнуваат автоматското откривање на фазата на изнуда“, наведуваат истражувачите.

Истражувачите идентификувале најмалку пет жртви на Prinz Eugen. Во случајот со пробивот во Standard Bank, напаѓачот побарал откуп од 1 BTC (биткоин), но барањето било одбиено.

Извештајот на ThreatDown содржи листа на индикатори за компромитација (Indicators of Compromise – IoCs) кои можат да им помогнат на организациите и безбедносните истражувачи во:

• анализа на нападите,
• откривање на присуството на Prinz Eugen,
• заштита и одбрана од идни ransomware-инциденти поврзани со оваа закана.

Извори:

• Bleeping Computer – New Prinz Eugen ransomware prioritizes recent files for encryption Bleeping Computer