Threatdown zufolge ist die Gruppe hinter Prinz Eugen bislang vergleichsweise klein sichtbar. Die Leak-Seite des Akteurs führt derzeit nur drei Opfer auf. Bei allen wird angezeigt, dass die Angreifer Daten verschlüsseln, exfiltrieren oder beides tun. Zugleich ist der Cybersicherheits-Community laut Bericht bekannt, dass noch weitere Organisationen von der Prinz-Eugen-Ransomware betroffen sind.

Die technische Analyse eines Angriffs zeigt, dass die in Go geschriebene Schadsoftware Dateien mit dem jüngsten Änderungszeitpunkt bevorzugt verschlüsselt. Haben mehrere Dateien denselben Zeitstempel, verarbeitet die Malware sie in alphabetischer Reihenfolge. Threatdown hält diesen Ansatz für eine Methode, um den Druck auf Opfer zu erhöhen, indem eher geschäftskritische und aktiv genutzte Dateien zuerst getroffen werden.

Der untersuchte Schädling durchläuft Verzeichnisse rekursiv ohne Tiefenbegrenzung und ohne Ausschlusslisten. Verschlüsselt wird praktisch jede Datei, ausgenommen nur solche mit der Endung „.prinzeugen“, die Prinz Eugen für bereits verschlüsselte Dateien verwendet. Für die Verschlüsselung setzt die Ransomware ChaCha20-Poly1305 mit einem 32-Byte-Masterschlüssel ein, kombiniert mit einem zufälligen Initialisierungsvektor pro Datei sowie einer Schlüsselableitungsfunktion auf Basis von Argon2id, SHA-256 und HKDF-SHA256.

Der Verschlüsselungsvorgang erfolgt in Blöcken von 1 MB. Die Dateiintegrität wird mit der Hash-Funktion SHA-256 geprüft. Die Forscher stellten außerdem fest, dass beim Einsatz des Schalters „–delete“ die Originaldatei nach der Verschlüsselung nur dann gelöscht wird, wenn zuvor geprüft wurde, dass sie sich wieder entschlüsseln lässt.

Um eine Wiederherstellung des Schlüssels zu erschweren, überschreibt Prinz Eugen den Schlüssel nach der Nutzung mit Nullen, erzwingt eine Speicherbereinigung, um ihn aus dem Arbeitsspeicher zu entfernen, und löscht sich anschließend selbst von der Festplatte. Im analysierten Verschlüsseler fanden die Forscher zudem keine Funktion, die eine textbasierte Lösegeldforderung ablegt oder den Desktop-Hintergrund verändert.

Die fehlende Lösegeldnotiz sei, so Threatdown, „eine Taktik, die wir bei organisierten Ransomware-Gruppen häufiger sehen“. Das diene typischerweise dazu, weniger forensische Spuren zu hinterlassen und die Erpressungsphase schwerer automatisch erkennbar zu machen. „Indem die Lösegeld-Kommunikation vollständig außerhalb des kompromittierten Systems verlagert wird – etwa per direkter E-Mail, Telefonkontakt oder über Opferportale im Dark Web –, reduziert der Akteur forensische Artefakte und erschwert die automatisierte Erkennung der Erpressungsphase“, erklären die Forscher.

Threatdown hat nach eigenen Angaben mindestens fünf Opfer von Prinz Eugen identifiziert. Im Fall der Sicherheitsverletzung bei Standard Bank verlangte der Angreifer demnach 1 BTC Lösegeld; die Forderung wurde abgelehnt. Der Bericht von Threatdown enthält außerdem eine Liste von Kompromittierungsindikatoren, die Organisationen und Forschern bei Analyse, Erkennung und Abwehr von Angriffen mit Prinz Eugen helfen soll.