کمیته رکن چهارم – پژوهشگران امنیتی از شناسایی یک عملیات باجافزاری جدید با نام Prinz Eugen خبر دادهاند؛ بدافزاری که برخلاف بسیاری از باجافزارهای رایج، فایلهای اخیراً ویرایششده را در اولویت رمزگذاری قرار میدهد و هیچ یادداشت باجی روی سیستم قربانی باقی نمیگذارد.
به گزارش کمیته رکن چهارم، محققان ThreatDown اعلام کردهاند عاملان این باجافزار از روشهای «Hands-on-Keyboard» استفاده میکنند و پس از نفوذ اولیه، بخش قابل توجهی از فعالیتها را بهصورت دستی انجام میدهند. بررسیها نشان میدهد مهاجمان احتمالاً از طریق اعتبارنامههای سرقتشده RDP، ابزارهای دسترسی از راه دور و اجرای فایل مخرب servertool.exe به شبکه قربانیان نفوذ میکنند.
Prinz Eugen که با زبان Go توسعه یافته است، تمامی پوشهها را بهصورت بازگشتی پیمایش کرده و ابتدا فایلهایی را رمزگذاری میکند که اخیراً تغییر یافتهاند. پژوهشگران معتقدند این رویکرد با هدف افزایش فشار بر قربانیان اتخاذ شده، زیرا فایلهای جدید معمولاً برای فعالیتهای روزانه سازمان اهمیت بیشتری دارند.
این باجافزار از الگوریتم ChaCha20-Poly1305 برای رمزگذاری استفاده میکند و در برخی موارد پس از اطمینان از موفقیت عملیات، فایلهای اصلی را نیز حذف میکند. همچنین برای دشوار کردن تحلیلهای امنیتی، کلیدهای رمزگذاری را از حافظه پاک کرده و فایل اجرایی خود را پس از پایان عملیات حذف میکند.
یکی از ویژگیهای قابل توجه Prinz Eugen عدم استفاده از یادداشت باج یا تغییر تصویر پسزمینه سیستم است. به گفته محققان، ارتباط با قربانیان از طریق کانالهایی مانند ایمیل، تماس مستقیم یا پورتالهای اختصاصی انجام میشود که شناسایی مرحله اخاذی را دشوارتر میکند.
ThreatDown از سازمانها خواسته است فعالیتهای مشکوک مرتبط با RDP، ایجاد حسابهای مدیریتی ناشناس، استفاده غیرمنتظره از RemotePC و وجود فایلهایی با پسوند .prinzeugen را بهدقت بررسی کنند.
بر اساس اطلاعات منتشرشده، تاکنون چندین قربانی به این گروه نسبت داده شدهاند و این باجافزار نمونه دیگری از روند رو به رشد حملاتی است که با استفاده از دسترسیهای سرقتشده و ابزارهای قانونی سیستم، تلاش میکنند احتمال شناسایی خود را کاهش دهند.
منبع: BleepingComputer
