🔍 Contexte
Source : BleepingComputer, publié le 20 juin 2026. L’analyse technique est issue de Threatdown (branche entreprise de Malwarebytes). L’article décrit une nouvelle opération ransomware nommée Prinz Eugen, identifiée lors d’investigations sur des incidents réels.
🎯 Accès initial et persistance
- L’accès initial est vraisemblablement obtenu via des identifiants RDP volés
- Le payload principal,
servertool.exe, est téléchargé et exécuté manuellement (style hands-on-keyboard) - L’outil RMM légitime RemotePC est utilisé pour maintenir l’accès
- Un compte administrateur backdoor assure la persistance
- Les attaquants privilégient les outils légitimes (RMM, living-off-the-land)
🔐 Stratégie de chiffrement
- Malware développé en Go
- Priorise les fichiers les plus récemment modifiés ; en cas d’horodatage identique, traitement par ordre alphabétique
- Parcours récursif des répertoires sans limite de profondeur ni exclusion
- Extension utilisée pour les fichiers chiffrés :
.prinzeugen - Algorithme de chiffrement : ChaCha20-Poly1305 avec clé maître de 32 octets
- Dérivation de clé via Argon2id, SHA-256 et HKDF-SHA256
- Vecteur d’initialisation aléatoire par fichier
- Traitement par blocs de 1 Mo, intégrité vérifiée via SHA-256
- Avec le flag
--delete: vérification de déchiffrabilité avant suppression du fichier original - La clé de chiffrement est écrasée avec des zéros, le garbage collector est forcé, puis le binaire s’auto-supprime
🚫 Absence de note de rançon
- Aucune note de rançon déposée sur le système, aucun changement de fond d’écran
- Les communications de rançon se font hors-bande (email direct, contact téléphonique, portail dark web)
- Cette tactique réduit les artefacts forensiques et complique la détection automatisée de la phase d’extorsion
👥 Victimes et modèle opérationnel
- Pas de modèle RaaS, pas de recrutement d’affiliés identifié
- Au moins 5 victimes identifiées par Threatdown
- Le site de fuite liste actuellement 3 victimes
- Les attaques combinent chiffrement et/ou exfiltration de données
- Dans le cas de Standard Bank, une rançon de 1 BTC a été demandée et refusée
📄 Type d’article
Analyse technique publiée par BleepingComputer sur la base d’un rapport Threatdown, visant à documenter les TTPs, la mécanique de chiffrement et les IoCs d’une nouvelle opération ransomware.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Prinz Eugen (cybercriminal) —
TTP
- T1078 — Valid Accounts (Initial Access)
- T1021.001 — Remote Services: Remote Desktop Protocol (Lateral Movement)
- T1219 — Remote Access Software (Command and Control)
- T1486 — Data Encrypted for Impact (Impact)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
- T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
- T1136 — Create Account (Persistence)
- T1562 — Impair Defenses (Defense Evasion)
IOC
- Fichiers :
servertool.exe
Malware / Outils
- Prinz Eugen ransomware (ransomware)
- RemotePC (tool)
🟡 Indice de vérification factuelle : 61/100 (moyenne)
- ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
- ✅ 4157 chars — texte complet (15pts)
- ✅ 1 IOC(s) (6pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 8 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ✅ acteur(s) identifié(s) : Prinz Eugen (5pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://www.bleepingcomputer.com/news/security/new-prinz-eugen-ransomware-prioritizes-recent-files-for-encryption/