ظهور باج‌افزار Prinz Eugen با تاکتیکی جدید

محققان واحد ThreatDown، بازوی امنیت سازمانی شرکت Malwarebytes، یک عملیات باج‌افزاری جدید با نام Prinz Eugen را شناسایی کرده‌اند. بررسی‌های آن‌ها نشان می‌دهد این گروه از رویکرد Hands-on-Keyboard استفاده می‌کند؛ به این معنا که مهاجمان به‌صورت مستقیم و دستی در محیط قربانی فعالیت می‌کنند و برای پیشبرد حملات خود به ابزارهای قانونی مدیریت از راه دور (RMM) و تکنیک‌های Living-off-the-Land متکی هستند.

نفوذ اولیه از طریق RDP و ابزارهای مدیریت از راه دور

پژوهشگران معتقدند مهاجمان در بسیاری از موارد از طریق سرقت اطلاعات ورود سرویس RDP به شبکه سازمان‌ها نفوذ می‌کنند. آن‌ها پس از دسترسی اولیه، بدافزار اصلی با نام servertool.exe را به‌صورت دستی دانلود و اجرا می‌کنند.

در یکی از حملات بررسی‌شده، مهاجمان از ابزار مدیریت از راه دور RemotePC استفاده کردند و یک حساب کاربری مدیریتی پشتیبان نیز ایجاد کردند تا دسترسی خود را در شبکه حفظ کنند.

Prinz Eugen؛ باج‌افزاری خارج از مدل RaaS

برخلاف بسیاری از گروه‌های باج‌افزاری امروزی، Prinz Eugen بر پایه مدل “باج‌افزار به‌عنوان سرویس” (Ransomware-as-a-Service یا RaaS) فعالیت نمی‌کند. همچنین توسعه‌دهندگان این بدافزار تاکنون هیچ نشانه‌ای از جذب همکار یا Affiliate نشان نداده‌اند.

در حال حاضر، سایت افشای اطلاعات این گروه تنها نام سه قربانی را منتشر کرده است. با این حال، کارشناسان امنیت سایبری از تعداد بیشتری سازمان آسیب‌دیده اطلاع دارند که نام آن‌ها هنوز در این وب‌سایت درج نشده است.

استراتژی جدید رمزگذاری؛ تمرکز بر فایل‌های حیاتی کسب‌وکار

تحلیل نمونه‌های Prinz Eugen نشان می‌دهد این بدافزار که با زبان Go توسعه یافته، ابتدا فایل‌هایی را هدف قرار می‌دهد که کاربران اخیراً آن‌ها را ویرایش کرده‌اند. اگر چند فایل زمان ویرایش یکسانی داشته باشند، بدافزار آن‌ها را بر اساس ترتیب حروف الفبا پردازش می‌کند.

کارشناسان ThreatDown معتقدند مهاجمان با این روش تلاش می‌کنند بیشترین فشار ممکن را به قربانی وارد کنند؛ زیرا فایل‌های جدیدتر معمولاً اطلاعات مهم‌تر و حیاتی‌تری برای کسب‌وکارها در خود دارند و از دسترس خارج شدن آن‌ها می‌تواند روند فعالیت سازمان را مختل کند.

رمزگذاری گسترده بدون محدودیت پوشه

Prinz Eugen تمام پوشه‌ها را به‌صورت بازگشتی و بدون محدودیت عمق اسکن می‌کند. این بدافزار تقریباً همه فایل‌ها را رمزگذاری می‌کند و تنها فایل‌هایی را نادیده می‌گیرد که از قبل پسوند prinzeugen. داشته باشند.

بدافزار پس از رمزگذاری، فایل‌ها را با همین پسوند ذخیره می‌کند تا بتواند آن‌ها را از فایل‌های عادی متمایز کند.

استفاده از الگوریتم‌های پیشرفته رمزنگاری

بررسی فنی این باج‌افزار نشان می‌دهد توسعه‌دهندگان آن از مجموعه‌ای از فناوری‌های مدرن رمزنگاری استفاده کرده‌اند که شامل موارد زیر است:

  • الگوریتم ChaCha20-Poly1305

  • کلید اصلی ۳۲ بایتی

  • بردار مقداردهی اولیه (IV) تصادفی برای هر فایل

  • مکانیزم مشتق‌سازی کلید مبتنی بر Argon2id

  • توابع SHA-256 و HKDF-SHA256

Prinz Eugen فرآیند رمزگذاری را در بلوک‌های یک مگابایتی انجام می‌دهد و برای بررسی صحت فایل‌ها از تابع هش SHA-256 بهره می‌گیرد.

حذف امن فایل‌ها و پاک‌سازی ردپا

این باج‌افزار از گزینه‌ای با نام delete– پشتیبانی می‌کند. زمانی که مهاجمان این گزینه را فعال کنند، بدافزار ابتدا بررسی می‌کند که امکان رمزگشایی فایل وجود دارد و سپس نسخه اصلی فایل را حذف می‌کند.

Prinz Eugen برای جلوگیری از بازیابی کلیدهای رمزگذاری، ابتدا کلیدها را با مقادیر صفر بازنویسی می‌کند، سپس حافظه را پاک‌سازی کرده و در نهایت خود را از روی دیسک حذف می‌کند.

بدون یادداشت باج؛ رویکردی برای فرار از شناسایی

تحلیل نمونه‌های بررسی‌شده نشان می‌دهد Prinz Eugen هیچ فایل متنی حاوی درخواست باج ایجاد نمی‌کند و تصویر پس‌زمینه سیستم را نیز تغییر نمی‌دهد.

محققان ThreatDown می‌گویند بسیاری از گروه‌های باج‌افزاری سازمان‌یافته به سمت چنین رویکردی حرکت کرده‌اند؛ زیرا نبود یادداشت باج ردپای جرم‌شناسی را کاهش می‌دهد و سامانه‌های امنیتی سخت‌تر می‌توانند مرحله اخاذی را شناسایی کنند.

در این مدل، مهاجمان از طریق ایمیل، تماس تلفنی یا پورتال‌های اختصاصی در دارک‌وب با قربانیان ارتباط برقرار می‌کنند و تمام مذاکرات را خارج از سیستم آلوده پیش می‌برند.

درخواست یک بیت‌کوین باج از قربانیان

پژوهشگران تاکنون دست‌کم پنج قربانی مرتبط با این گروه را شناسایی کرده‌اند. در یکی از موارد منتسب به نفوذ در Standard Bank، مهاجمان درخواست پرداخت یک بیت‌کوین (BTC) را مطرح کردند، اما قربانی از پرداخت باج خودداری کرد.

توصیه‌های امنیتی برای مقابله با Prinz Eugen

برای کاهش خطر آلودگی به این باج‌افزار، انجام اقدامات زیر توصیه شده است:

  • دسترسی‌های RDP را محدود و ایمن‌سازی کنند.

  • احراز هویت چندمرحله‌ای (MFA) را فعال کنند.

  • فعالیت ابزارهای RMM را به‌طور مستمر پایش کنند.

  • ایجاد حساب‌های مدیریتی غیرمجاز را بررسی کنند.

  • نسخه‌های پشتیبان آفلاین و منظم تهیه کنند.

  • از راهکارهای تشخیص و پاسخ تهدید (EDR/XDR) استفاده کنند.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

16 − پنج =