https://cyberveille.ch/tags/prinz-eugen-ransomware/ Recent content in Prinz Eugen Ransomware on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Mon, 22 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-22-prinz-eugen-nouveau-ransomware-go-ciblant-les-fichiers-recents-sans-note-de-rancon/ Mon, 22 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-22-prinz-eugen-nouveau-ransomware-go-ciblant-les-fichiers-recents-sans-note-de-rancon/ <h2 id="-contexte">🔍 Contexte</h2> <p>Source : BleepingComputer, publié le 20 juin 2026. L&rsquo;analyse technique est issue de Threatdown (branche entreprise de Malwarebytes). L&rsquo;article décrit une nouvelle opération ransomware nommée <strong>Prinz Eugen</strong>, identifiée lors d&rsquo;investigations sur des incidents réels.</p> <h2 id="-accès-initial-et-persistance">🎯 Accès initial et persistance</h2> <ul> <li>L&rsquo;accès initial est vraisemblablement obtenu via des <strong>identifiants RDP volés</strong></li> <li>Le payload principal, <strong><code>servertool.exe</code></strong>, est téléchargé et exécuté manuellement (style <em>hands-on-keyboard</em>)</li> <li>L&rsquo;outil RMM légitime <strong>RemotePC</strong> est utilisé pour maintenir l&rsquo;accès</li> <li>Un <strong>compte administrateur backdoor</strong> assure la persistance</li> <li>Les attaquants privilégient les outils légitimes (RMM, living-off-the-land)</li> </ul> <h2 id="-stratégie-de-chiffrement">🔐 Stratégie de chiffrement</h2> <ul> <li>Malware développé en <strong>Go</strong></li> <li>Priorise les fichiers <strong>les plus récemment modifiés</strong> ; en cas d&rsquo;horodatage identique, traitement par ordre alphabétique</li> <li>Parcours récursif des répertoires <strong>sans limite de profondeur ni exclusion</strong></li> <li>Extension utilisée pour les fichiers chiffrés : <strong><code>.prinzeugen</code></strong></li> <li>Algorithme de chiffrement : <strong>ChaCha20-Poly1305</strong> avec clé maître de 32 octets</li> <li>Dérivation de clé via <strong>Argon2id</strong>, <strong>SHA-256</strong> et <strong>HKDF-SHA256</strong></li> <li>Vecteur d&rsquo;initialisation aléatoire par fichier</li> <li>Traitement par blocs de <strong>1 Mo</strong>, intégrité vérifiée via <strong>SHA-256</strong></li> <li>Avec le flag <code>--delete</code> : vérification de déchiffrabilité avant suppression du fichier original</li> <li>La clé de chiffrement est <strong>écrasée avec des zéros</strong>, le garbage collector est forcé, puis le binaire <strong>s&rsquo;auto-supprime</strong></li> </ul> <h2 id="-absence-de-note-de-rançon">🚫 Absence de note de rançon</h2> <ul> <li>Aucune note de rançon déposée sur le système, aucun changement de fond d&rsquo;écran</li> <li>Les communications de rançon se font <strong>hors-bande</strong> (email direct, contact téléphonique, portail dark web)</li> <li>Cette tactique réduit les artefacts forensiques et complique la détection automatisée de la phase d&rsquo;extorsion</li> </ul> <h2 id="-victimes-et-modèle-opérationnel">👥 Victimes et modèle opérationnel</h2> <ul> <li><strong>Pas de modèle RaaS</strong>, pas de recrutement d&rsquo;affiliés identifié</li> <li>Au moins <strong>5 victimes</strong> identifiées par Threatdown</li> <li>Le site de fuite liste actuellement <strong>3 victimes</strong></li> <li>Les attaques combinent <strong>chiffrement et/ou exfiltration de données</strong></li> <li>Dans le cas de <strong>Standard Bank</strong>, une rançon de <strong>1 BTC</strong> a été demandée et refusée</li> </ul> <h2 id="-type-darticle">📄 Type d&rsquo;article</h2> <p>Analyse technique publiée par BleepingComputer sur la base d&rsquo;un rapport Threatdown, visant à documenter les TTPs, la mécanique de chiffrement et les IoCs d&rsquo;une nouvelle opération ransomware.</p>