Prinz Eugen : nouveau ransomware Go ciblant les fichiers récents sans note de rançon
đ Contexte Source : BleepingComputer, publiĂ© le 20 juin 2026. Lâanalyse technique est issue de Threatdown (branche entreprise de Malwarebytes). Lâarticle dĂ©crit une nouvelle opĂ©ration ransomware nommĂ©e Prinz Eugen, identifiĂ©e lors dâinvestigations sur des incidents rĂ©els. đŻ AccĂšs initial et persistance LâaccĂšs initial est vraisemblablement obtenu via des identifiants RDP volĂ©s Le payload principal, servertool.exe, est tĂ©lĂ©chargĂ© et exĂ©cutĂ© manuellement (style hands-on-keyboard) Lâoutil RMM lĂ©gitime RemotePC est utilisĂ© pour maintenir lâaccĂšs Un compte administrateur backdoor assure la persistance Les attaquants privilĂ©gient les outils lĂ©gitimes (RMM, living-off-the-land) đ StratĂ©gie de chiffrement Malware dĂ©veloppĂ© en Go Priorise les fichiers les plus rĂ©cemment modifiĂ©s ; en cas dâhorodatage identique, traitement par ordre alphabĂ©tique Parcours rĂ©cursif des rĂ©pertoires sans limite de profondeur ni exclusion Extension utilisĂ©e pour les fichiers chiffrĂ©s : .prinzeugen Algorithme de chiffrement : ChaCha20-Poly1305 avec clĂ© maĂźtre de 32 octets DĂ©rivation de clĂ© via Argon2id, SHA-256 et HKDF-SHA256 Vecteur dâinitialisation alĂ©atoire par fichier Traitement par blocs de 1 Mo, intĂ©gritĂ© vĂ©rifiĂ©e via SHA-256 Avec le flag --delete : vĂ©rification de dĂ©chiffrabilitĂ© avant suppression du fichier original La clĂ© de chiffrement est Ă©crasĂ©e avec des zĂ©ros, le garbage collector est forcĂ©, puis le binaire sâauto-supprime đ« Absence de note de rançon Aucune note de rançon dĂ©posĂ©e sur le systĂšme, aucun changement de fond dâĂ©cran Les communications de rançon se font hors-bande (email direct, contact tĂ©lĂ©phonique, portail dark web) Cette tactique rĂ©duit les artefacts forensiques et complique la dĂ©tection automatisĂ©e de la phase dâextorsion đ„ Victimes et modĂšle opĂ©rationnel Pas de modĂšle RaaS, pas de recrutement dâaffiliĂ©s identifiĂ© Au moins 5 victimes identifiĂ©es par Threatdown Le site de fuite liste actuellement 3 victimes Les attaques combinent chiffrement et/ou exfiltration de donnĂ©es Dans le cas de Standard Bank, une rançon de 1 BTC a Ă©tĂ© demandĂ©e et refusĂ©e đ Type dâarticle Analyse technique publiĂ©e par BleepingComputer sur la base dâun rapport Threatdown, visant Ă documenter les TTPs, la mĂ©canique de chiffrement et les IoCs dâune nouvelle opĂ©ration ransomware. ...