Prinz Eugen

🔍 Contexte Le 18 juin 2026, ThreatDown publie une analyse approfondie d’une nouvelle famille de ransomware baptisée Prinz Eugen, découverte lors d’une investigation client le 11 mai 2026. La première mention publique de ce groupe remonte au 16 avril 2026, via un post sur les réseaux sociaux signalant l’apparition d’un portail de fuite visant Standard Bank Group, une institution financière majeure en Afrique du Sud. 🦠 Caractéristiques techniques du malware L’encrypteur présente plusieurs caractéristiques techniques notables : ...

🔍 Contexte Source : BleepingComputer, publié le 20 juin 2026. L’analyse technique est issue de Threatdown (branche entreprise de Malwarebytes). L’article décrit une nouvelle opération ransomware nommée Prinz Eugen, identifiée lors d’investigations sur des incidents réels. 🎯 Accès initial et persistance L’accès initial est vraisemblablement obtenu via des identifiants RDP volés Le payload principal, servertool.exe, est téléchargé et exécuté manuellement (style hands-on-keyboard) L’outil RMM légitime RemotePC est utilisé pour maintenir l’accès Un compte administrateur backdoor assure la persistance Les attaquants privilégient les outils légitimes (RMM, living-off-the-land) 🔐 Stratégie de chiffrement Malware développé en Go Priorise les fichiers les plus récemment modifiés ; en cas d’horodatage identique, traitement par ordre alphabétique Parcours récursif des répertoires sans limite de profondeur ni exclusion Extension utilisée pour les fichiers chiffrés : .prinzeugen Algorithme de chiffrement : ChaCha20-Poly1305 avec clé maître de 32 octets Dérivation de clé via Argon2id, SHA-256 et HKDF-SHA256 Vecteur d’initialisation aléatoire par fichier Traitement par blocs de 1 Mo, intégrité vérifiée via SHA-256 Avec le flag --delete : vérification de déchiffrabilité avant suppression du fichier original La clé de chiffrement est écrasée avec des zéros, le garbage collector est forcé, puis le binaire s’auto-supprime 🚫 Absence de note de rançon Aucune note de rançon déposée sur le système, aucun changement de fond d’écran Les communications de rançon se font hors-bande (email direct, contact téléphonique, portail dark web) Cette tactique réduit les artefacts forensiques et complique la détection automatisée de la phase d’extorsion 👥 Victimes et modèle opérationnel Pas de modèle RaaS, pas de recrutement d’affiliés identifié Au moins 5 victimes identifiées par Threatdown Le site de fuite liste actuellement 3 victimes Les attaques combinent chiffrement et/ou exfiltration de données Dans le cas de Standard Bank, une rançon de 1 BTC a été demandée et refusée 📄 Type d’article Analyse technique publiée par BleepingComputer sur la base d’un rapport Threatdown, visant à documenter les TTPs, la mécanique de chiffrement et les IoCs d’une nouvelle opération ransomware. ...