Een nieuwe ransomwarefamilie met de naam Prinz Eugen laat zien hoe afpersingsaanvallen steeds gerichter worden. De malware versleutelt niet simpelweg alle bestanden die zij tegenkomt, maar geeft voorrang aan recent gewijzigde data. Daarmee richten aanvallers zich direct op informatie die voor organisaties vaak het meest bedrijfskritisch is.
Onderzoekers van de beveiligingsdivisie ThreatDown analyseerden de ransomware nadat een klant in mei slachtoffer werd van een aanval. De malware is geschreven in Go, een programmeertaal die onder cybercriminelen steeds populairder wordt vanwege de flexibiliteit en platformonafhankelijkheid.
Wat Prinz Eugen onderscheidt, is de manier waarop bestanden worden geselecteerd. De malware verwerkt eerst de meest recent aangepaste bestanden. Wanneer meerdere bestanden dezelfde tijdstempel hebben, gebeurt dat in alfabetische volgorde. Volgens de onderzoekers is dat bedoeld om de druk op slachtoffers te vergroten door juist actuele documenten, projectbestanden en andere veelgebruikte gegevens als eerste te versleutelen.
De malware doorzoekt alle mappen zonder dieptebeperking en kent vrijwel geen uitzonderingen. Alleen bestanden met de extensie .prinzeugen worden overgeslagen.
Geen losgeldbrief
Ook de afpersingsmethode wijkt af van wat gebruikelijk is. Waar ransomwaregroepen doorgaans een losgeldbrief achterlaten, doet Prinz Eugen dat niet. De communicatie verloopt buiten het geïnfecteerde systeem om.
Het ontbreken van een losgeldbrief maakt forensisch onderzoek lastiger en kan de detectie van de aanval vertragen. Door communicatie via e-mail, telefoon of een slachtofferportaal te laten verlopen, blijven bovendien minder digitale sporen achter.
Volgens de analyse verkrijgen aanvallers vaak toegang via gestolen RDP-inloggegevens. Vervolgens wordt de ransomware handmatig uitgerold via een bestand met de naam servertool.exe. Daarbij maken de daders gebruik van legitieme beheer- en monitoringsoftware en van zogenoemde living-off-the-land-technieken.
In een onderzochte aanval werd onder meer RemotePC ingezet. Daarnaast gebruikten de aanvallers een verborgen beheerdersaccount om toegang tot het netwerk te behouden. Die werkwijze maakt detectie moeilijker, omdat veel activiteiten lijken op regulier systeembeheer.
Prinz Eugen lijkt vooralsnog geen ransomware-as-a-service-operatie te zijn. Anders dan veel bekende ransomwaregroepen zijn er geen aanwijzingen dat de ontwikkelaars affiliates inzetten of werven.
Op de publieke leksite van de groep staan momenteel drie slachtoffers. Onderzoekers hebben echter minstens vijf getroffen organisaties geïdentificeerd, wat erop wijst dat niet alle aanvallen openbaar worden gemaakt. De onderzoekers zien daarnaast aanwijzingen voor een relatie met een actor die bekendstaat als ROOTBOY, ook actief onder de naam avtokz. Definitief bewijs daarvoor ontbreekt nog.
Lage losgeldeis
Een van de bekende slachtoffers is Standard Bank Group. De aanvaller vroeg daar 1 bitcoin losgeld, maar de bank weigerde te betalen. Dat bedrag komt neer op ongeveer 107.000 dollar en ligt fors onder de miljoenenclaims die grote ransomwaregroepen tegenwoordig regelmatig neerleggen, meldt BleepingComputer.
De malware bevat verschillende technieken om onderzoek te bemoeilijken. Zo verwijdert Prinz Eugen zichzelf na afloop van de encryptie en wist het gebruikte sleutelmateriaal uit het geheugen.
Opvallend is dat de ransomware eerst controleert of een versleuteld bestand daadwerkelijk kan worden ontsleuteld voordat het origineel wordt verwijderd. Daarmee verkleinen de aanvallers de kans dat bestanden onherstelbaar beschadigd raken.