باجافزار جدید Prinz Eugen فایلهای تازهتغییریافته را برای رمزگذاری در اولویت قرار میدهد
یک عملیات باجافزاری جدید با نام Prinz Eugen، فایلهایی را که اخیراً تغییر کردهاند برای رمزگذاری در اولویت قرار میدهد و هیچ یادداشت باجخواهیای روی سیستم قربانی باقی نمیگذارد.
بررسی انجامشده توسط ThreatDown، بازوی امنیت سایبری سازمانی شرکت Malwarebytes، نشان میدهد که مهاجمان پشت باجافزار Prinz Eugen رویکردی از نوع hands-on-keyboard دارند؛ به این معنا که بخش قابلتوجهی از عملیات را بهصورت دستی انجام میدهند. این مهاجمان ترجیح میدهند از نرمافزارهای قانونی نظارت و مدیریت از راه دور یا RMM و همچنین ابزارهای موسوم به Living-off-the-Land استفاده کنند؛ ابزارهایی که بهطور پیشفرض یا قانونی در محیط سیستم وجود دارند و میتوانند برای اهداف مخرب مورد سوءاستفاده قرار گیرند.
به گفته پژوهشگران، دسترسی اولیه احتمالاً از طریق اطلاعات کاربری سرقتشده RDP بهدست میآید. پس از آن، مهاجم بهصورت دستی اقدام به دانلود و اجرای پیلود اصلی با نام servertool.exe میکند.
در یکی از رخدادهای بررسیشده، پژوهشگران استفاده از ابزار RMM به نام RemotePC و همچنین یک حساب کاربری مدیریتی پشتیبان یا Backdoor Administrator Account را مشاهده کردند که برای حفظ دسترسی پایدار به سیستم مورد استفاده قرار گرفته بود.
برخلاف بسیاری از عملیاتهای اخاذی مدرن، Prinz Eugen تحت مدل باجافزار بهعنوان سرویس یا Ransomware-as-a-Service / RaaS فعالیت نمیکند؛ یا دستکم، توسعهدهندگان آن در حال حاضر بهدنبال جذب همکاران وابسته یا Affiliates نیستند.
در حال حاضر، وبسایت افشای داده متعلق به این عامل تهدید تنها نام سه قربانی را فهرست کرده است. هر یک از این موارد نشان میدهد که مهاجمان در فعالیتهایی مانند رمزگذاری دادهها، سرقت دادهها / Exfiltration یا هر دو دخیل بودهاند. با این حال، جامعه امنیت سایبری از سازمانهای بیشتری که تحت تأثیر باجافزار Prinz Eugen قرار گرفتهاند، آگاه است.
راهبرد رمزگذاری
تحلیل یک حمله Prinz Eugen نشان داد که این بدافزار که با زبان Go توسعه یافته است، رمزگذاری فایلهایی را که اخیراً بیشترین تغییر را داشتهاند در اولویت قرار میدهد. زمانی که چند فایل دارای زمانثبت یا Timestamp یکسان باشند، پردازش آنها به ترتیب الفبایی انجام میشود.
پژوهشگران ThreatDown معتقدند این رویکرد با هدف افزایش اثرگذاری حمله بر قربانیان طراحی شده است؛ زیرا فایلهایی هدف قرار میگیرند که احتمالاً برای کسبوکار حیاتیتر هستند و بهطور فعال مورد استفاده قرار میگیرند. این مسئله فشار بر قربانی برای پرداخت باج را افزایش میدهد.
نمونه تحلیلشده، دایرکتوریها را بهصورت بازگشتی یا Recursive و بدون محدودیت در عمق بررسی میکند و هیچ موردی را از فرایند اسکن مستثنی نمیکند. این باجافزار عملاً تقریباً تمام فایلها را رمزگذاری میکند، بهجز فایلهایی که پسوند .prinzeugen دارند؛ پسوندی که Prinz Eugen برای فایلهای رمزگذاریشده خود استفاده میکند.
این باجافزار از الگوریتم رمزنگاری ChaCha20-Poly1305 با یک کلید اصلی ۳۲ بایتی، یک بردار مقداردهی اولیه تصادفی / Random Initialization Vector برای هر فایل، و یک تابع مشتقسازی کلید مبتنی بر Argon2id، SHA-256 و HKDF-SHA256 استفاده میکند.
فرایند رمزگذاری در قطعههای ۱ مگابایتی انجام میشود و یکپارچگی فایلها با استفاده از تابع هش SHA-256 بررسی میگردد.
پژوهشگران متوجه شدند که وقتی بدافزار از گزینه –delete برای حذف فایل اصلی پس از رمزگذاری استفاده میکند، ابتدا بررسیای انجام میدهد تا مطمئن شود فایل قابل رمزگشایی است و سپس آن را از سیستم حذف میکند.
برای جلوگیری از بازیابی کلید رمزگذاری، باجافزار Prinz Eugen کلید را با صفرها بازنویسی میکند، فرایند Garbage Collection را برای حذف آن از حافظه مجبور به اجرا میکند و سپس خود را از دیسک حذف میکند.
تحلیل رمزگذار نشان داد که این بدافزار هیچ قابلیتی برای ایجاد یک یادداشت باجخواهی متنی یا تغییر تصویر پسزمینه دسکتاپ ندارد. پژوهشگران ThreatDown میگویند نبود یادداشت باجخواهی «تاکتیکی است که آن را بیشتر در میان گروههای سازمانیافته باجافزاری مشاهده میکنیم.»
این کار معمولاً با هدف کاهش ردپای جرمشناسی دیجیتال یا Forensic Footprint و دشوارتر کردن شناسایی خودکار مرحله اخاذی انجام میشود.
پژوهشگران میگویند:
«با انتقال کامل ارتباطات مربوط به باجخواهی به کانالهای خارج از سیستم آلوده — از طریق ایمیل مستقیم، تماس تلفنی یا پورتالهای قربانیان در دارکوب — عامل تهدید، آثار قابل بررسی جرمشناسی دیجیتال را کاهش میدهد و شناسایی خودکار مرحله اخاذی را پیچیدهتر میکند.»
پژوهشگران دستکم پنج قربانی Prinz Eugen را شناسایی کردهاند و میگویند در مورد رخنه امنیتی Standard Bank، مهاجم درخواست باجی معادل ۱ بیتکوین داشته که با آن مخالفت شده است.
گزارش ThreatDown فهرستی از شاخصهای نفوذ / Indicators of Compromise / IOCs ارائه میدهد تا به سازمانها و پژوهشگران کمک کند حملات باجافزاری Prinz Eugen را تحلیل، شناسایی و در برابر آنها دفاع کنند.
