📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova operação de ransomware chamada ‘Prinz Eugen’ prioriza arquivos modificados recentemente para criptografia e não deixa nota de resgate no sistema.
Uma investigação da Threatdown, braço de segurança cibernética empresarial da Malwarebytes, descobriu que os hackers Prinz Eugen têm um estilo prático de teclado e preferem usar software legítimo de monitoramento e gerenciamento remoto (RMM) e ferramentas de vida fora da terra.
De acordo com os pesquisadores, o acesso inicial é provavelmente obtido por meio de credenciais RDP roubadas, seguido pelo download manual e execução da carga principal, ‘servertool.exe’.
Em um incidente investigado, os pesquisadores observaram o uso da ferramenta RemotePC RMM e uma conta de administrador backdoor que fornecia persistência.
Ao contrário de muitas operações modernas de extorsão, o Prinz Eugen não opera sob o modelo ransomware como serviço (RaaS) e seus desenvolvedores não estão atualmente recrutando afiliados.
Ao contrário da maioria das operações de extorsão, o Prinz Eugen não é um ransomware como serviço (RaaS), ou pelo menos os desenvolvedores não estão procurando afiliados no momento.
Atualmente, o site de vazamento de dados do agente da ameaça lista apenas três vítimas, cada uma mostrando que os hackers estão envolvidos na criptografia de dados, exfiltração ou ambos. No entanto, a comunidade de segurança cibernética está ciente de mais organizações afetadas pelo ransomware Prinz Eugen.
Vítimas atualmente listadas no site Prinz EugenFonte: BleepingComputer
Estratégia de criptografia
Uma análise de um ataque do Prinz Eugen revelou que o malware baseado em Go prioriza a criptografia dos arquivos modificados mais recentemente. Quando vários arquivos compartilham o mesmo carimbo de data/hora, eles são processados em ordem alfabética.
Os pesquisadores de ameaças acreditam que esta abordagem visa maximizar o impacto sobre as vítimas, visando arquivos que são mais propensos a serem críticos para os negócios e em uso ativo, aumentando a pressão para pagar o resgate.
A amostra analisada verifica diretórios recursivamente, sem limite de profundidade e sem exclusões, e criptografa praticamente todos os arquivos, exceto aqueles com a extensão .prinzeugen, que Prinz Eugen usa para arquivos criptografados.
Função de verificação de arquivosFonte: Malwarebytes
O ransomware emprega criptografia ChaCha20-Poly1305 com uma chave mestra de 32 bytes, um vetor de inicialização aleatório para cada arquivo e uma função de derivação de chave baseada em Argon2id, SHA-256 e HKDF-SHA256.
O processo de criptografia é realizado em blocos de 1 MB e a integridade do arquivo é verificada usando a função hash SHA-256.
Rotina de criptografia de arquivosFonte: Malwarebytes
Os pesquisadores notaram que quando o malware usa o sinalizador --delete para excluir o arquivo original após criptografá-lo, ocorre uma verificação para garantir que o arquivo possa ser descriptografado antes de removê-lo do sistema.
Para evitar que a chave de criptografia seja recuperada, o ransomware Prinz Eugen a sobrescreve com zeros, força a coleta de lixo para eliminá-la da memória e, em seguida, exclui-a automaticamente do disco.
A análise do criptografador não mostrou nenhuma funcionalidade para descartar uma nota de resgate de texto ou alterar o papel de parede da área de trabalho. Os pesquisadores de ameaças dizem que a ausência de uma nota de resgate “é uma tática que vemos com mais frequência entre grupos organizados de ransomware”.
Isso normalmente é feito para reduzir a pegada forense e dificultar a detecção automática da etapa de extorsão.
“Ao mover as comunicações de resgate totalmente fora de banda (através de e-mail direto, contato telefônico ou portais de vítimas na dark web), o ator reduz artefatos forenses e complica a detecção automatizada da fase de extorsão”, dizem os pesquisadores.
Os pesquisadores identificaram pelo menos cinco vítimas do Prinz Eugen, dizendo que no caso da violação do Standard Bank, o invasor exigiu um resgate de 1 BTC e foi recusado.
O relatório do ThreatDown fornece uma lista de indicadores de comprometimento para ajudar organizações e pesquisadores a analisar, detectar e se defender contra ataques de ransomware Prinz Eugen.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
Uma investigação da Threatdown, braço de segurança cibernética empresarial da Malwarebytes, descobriu que os hackers Prinz Eugen têm um estilo prático de teclado e preferem usar software legítimo de monitoramento e gerenciamento remoto (RMM) e ferramentas de vida fora da terra.
De acordo com os pesquisadores, o acesso inicial é provavelmente obtido por meio de credenciais RDP roubadas, seguido pelo download manual e execução da carga principal, ‘servertool.exe’.
Em um incidente investigado, os pesquisadores observaram o uso da ferramenta RemotePC RMM e uma conta de administrador backdoor que fornecia persistência.
Ao contrário de muitas operações modernas de extorsão, o Prinz Eugen não opera sob o modelo ransomware como serviço (RaaS) e seus desenvolvedores não estão atualmente recrutando afiliados.
Ao contrário da maioria das operações de extorsão, o Prinz Eugen não é um ransomware como serviço (RaaS), ou pelo menos os desenvolvedores não estão procurando afiliados no momento.
Atualmente, o site de vazamento de dados do agente da ameaça lista apenas três vítimas, cada uma mostrando que os hackers estão envolvidos na criptografia de dados, exfiltração ou ambos. No entanto, a comunidade de segurança cibernética está ciente de mais organizações afetadas pelo ransomware Prinz Eugen.
Vítimas atualmente listadas no site Prinz EugenFonte: BleepingComputer
Estratégia de criptografia
Uma análise de um ataque do Prinz Eugen revelou que o malware baseado em Go prioriza a criptografia dos arquivos modificados mais recentemente. Quando vários arquivos compartilham o mesmo carimbo de data/hora, eles são processados em ordem alfabética.
Os pesquisadores de ameaças acreditam que esta abordagem visa maximizar o impacto sobre as vítimas, visando arquivos que são mais propensos a serem críticos para os negócios e em uso ativo, aumentando a pressão para pagar o resgate.
A amostra analisada verifica diretórios recursivamente, sem limite de profundidade e sem exclusões, e criptografa praticamente todos os arquivos, exceto aqueles com a extensão .prinzeugen, que Prinz Eugen usa para arquivos criptografados.
Função de verificação de arquivosFonte: Malwarebytes
O ransomware emprega criptografia ChaCha20-Poly1305 com uma chave mestra de 32 bytes, um vetor de inicialização aleatório para cada arquivo e uma função de derivação de chave baseada em Argon2id, SHA-256 e HKDF-SHA256.
O processo de criptografia é realizado em blocos de 1 MB e a integridade do arquivo é verificada usando a função hash SHA-256.
Rotina de criptografia de arquivosFonte: Malwarebytes
Os pesquisadores notaram que quando o malware usa o sinalizador --delete para excluir o arquivo original após criptografá-lo, ocorre uma verificação para garantir que o arquivo possa ser descriptografado antes de removê-lo do sistema.
Para evitar que a chave de criptografia seja recuperada, o ransomware Prinz Eugen a sobrescreve com zeros, força a coleta de lixo para eliminá-la da memória e, em seguida, exclui-a automaticamente do disco.
A análise do criptografador não mostrou nenhuma funcionalidade para descartar uma nota de resgate de texto ou alterar o papel de parede da área de trabalho. Os pesquisadores de ameaças dizem que a ausência de uma nota de resgate “é uma tática que vemos com mais frequência entre grupos organizados de ransomware”.
Isso normalmente é feito para reduzir a pegada forense e dificultar a detecção automática da etapa de extorsão.
“Ao mover as comunicações de resgate totalmente fora de banda (através de e-mail direto, contato telefônico ou portais de vítimas na dark web), o ator reduz artefatos forenses e complica a detecção automatizada da fase de extorsão”, dizem os pesquisadores.
Os pesquisadores identificaram pelo menos cinco vítimas do Prinz Eugen, dizendo que no caso da violação do Standard Bank, o invasor exigiu um resgate de 1 BTC e foi recusado.
O relatório do ThreatDown fornece uma lista de indicadores de comprometimento para ajudar organizações e pesquisadores a analisar, detectar e se defender contra ataques de ransomware Prinz Eugen.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
#samirnews #samir #news #boletimtec #o #novo #ransomware #prinz #eugen #prioriza #arquivos #recentes #para #criptografia
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário