新たなランサムウェア「Prinz Eugen」を Bleeping Computer が 6 月 21 日に報じました。Go 言語で書かれた暗号化ツールは最近更新されたファイルから順に処理し、被害者のシステムに身代金要求文書を残さない設計です。検知や自動応答を遅らせる狙いとみられ、研究者は少なくとも 5 件の被害を確認しています。
主なポイント
- 攻撃者は盗み出した RDP 認証情報で侵入後、ペイロード
servertool.exeを手動で実行する hands-on-keyboard 型の運用 - ChaCha20-Poly1305 暗号と Argon2id / HKDF-SHA256 ベースの鍵導出で、ファイルごとに個別の鍵と IV を生成
- 直近に更新されたファイルから処理することで、業務上重要なデータを先に人質に取る挙動
- ランサムノートを残さない手口は自動検知やフォレンジック追跡を回避するため、組織化したグループに多い特徴
- 確認された被害事例の 1 件 (Standard Bank) では 1 BTC を要求されたが支払いを拒否
出典: New Prinz Eugen ransomware prioritizes recent files for encryption