🔍 Contexte

Le 18 juin 2026, ThreatDown publie une analyse approfondie d’une nouvelle famille de ransomware baptisée Prinz Eugen, découverte lors d’une investigation client le 11 mai 2026. La première mention publique de ce groupe remonte au 16 avril 2026, via un post sur les réseaux sociaux signalant l’apparition d’un portail de fuite visant Standard Bank Group, une institution financière majeure en Afrique du Sud.

🦠 Caractéristiques techniques du malware

L’encrypteur présente plusieurs caractéristiques techniques notables :

  • Langage : écrit en Go
  • Algorithme de chiffrement : ChaCha20-Poly1305 avec vérifications d’intégrité
  • Comportement : chiffrement récursif, priorisation des fichiers récemment modifiés
  • Extension ajoutée : .prinzeugen aux fichiers chiffrés
  • Absence de note de rançon sur le disque
  • Considéré comme techniquement plus élaboré que de nombreux premiers échantillons de ransomware

🎯 Attribution et victimologie

L’activité est attribuée au groupe Prinz Eugen sur la base de l’extension .prinzeugen ajoutée aux fichiers chiffrés. La victime identifiée publiquement est Standard Bank Group (secteur financier, Afrique du Sud). Le nom « Prinz Eugen » fait référence à un croiseur lourd allemand de la Seconde Guerre mondiale, première d’une série de références germaniques présentes dans cette campagne.

📋 Type d’article

Il s’agit d’une analyse technique et de threat intelligence publiée par ThreatDown, dont le but principal est de documenter les caractéristiques d’une nouvelle famille de ransomware et d’en établir l’attribution.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Prinz Eugen (cybercriminal) —

TTP

  • T1486 — Data Encrypted for Impact (Impact)
  • T1083 — File and Directory Discovery (Discovery)
  • T1657 — Financial Theft (Impact)

Malware / Outils

  • Prinz Eugen (ransomware)

🔴 Indice de vérification factuelle : 25/100 (basse)

  • ⬜ threatdown.com — source non référencée (0pts)
  • ✅ 925 chars — extrait court (5pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : Prinz Eugen (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.threatdown.com/blog/prinz-eugen-ransomware-a-deep-dive-into-a-new-go-based-encryptor/

🖴 Archive : https://web.archive.org/web/20260622070412/https://www.threatdown.com/blog/prinz-eugen-ransomware-a-deep-dive-into-a-new-go-based-encryptor/