Pesquisadores da ThreatDown revelaram em 17 de junho de 2026 detalhes técnicos do Prinz Eugen, novo ransomware escrito em Go que criptografa arquivos recentes primeiro, aplica ChaCha20-Poly1305 e emprega táticas anti-forenses para dificultar investigações. O grupo já publicou dados roubados de instituições financeiras sul-africanas, incluindo o Standard Bank Group.
Como o invasor entra
O grupo Prinz Eugen provavelmente obtém acesso inicial através de credenciais RDP comprometidas. Em seguida, baixa um executável chamado servertool.exe via Google Chrome e o move para a pasta Music do usuário. O encryptor recebe o diretório-alvo como parâmetro de linha de comando, com flag opcional --delete para apagar o arquivo original após a criptografia. A ênfase em credenciais expostas como vetor inicial é consistente com vazamentos recentes de bilhões de senhas que ampliam o risco de invasões via RDP.
No ambiente investigado pela ThreatDown, o invasor lançou o encryptor contra pastas específicas de usuário, incluindo Downloads, OneDrive, Documents, unidade C inteira e Google Drive compartilhado, revelando intenção de impacto máximo.
O encryptor escrito em Go
O binário é escrito em Go, com funções de criptografia agrupadas em um pacote chamado scorched-earth-ausfc. Para cada diretório recebido, executa caminhada recursiva sem limite de profundidade. O sample analisado não define exclusões, então criptografa todos os arquivos que não tenham extensão .prinzeugen nem sejam arquivos temporários .tmp.
A criptografia usa ChaCha20-Poly1305 com checagem de integridade. Múltiplos workers goroutine operam em paralelo, um por núcleo de CPU. Para um arquivo document.docx, o processo ocorre em três estágios: cria e criptografa uma cópia temporária .document.docx.prinzeugen.tmp, depois renomeia para a forma final document.docx.prinzeugen.
Por que foca arquivos recentes
O encryptor prioriza os arquivos modificados mais recentemente, com desempate alfabético para timestamps idênticos. Esta ordem é o que torna o ataque especialmente destrutivo. Arquivos recentes são os mais prováveis de estarem em uso ativo — documentos abertos, bancos de dados atuais, projetos recém-salvos, e-mails frescos — e os menos prováveis de terem backup atualizado.
Acertá-los primeiro coloca máxima pressão sobre a vítima para pagar rápido. Diferente da maioria dos ransomwares, o Prinz Eugen não deixa nota de resgate no disco. A extorsão acontece fora de banda, dificultando a análise forense e a identificação de indicações claras de comprometimento. A tática reforça a importância de operações de desmantelamento de infraestrutura criminosa e de defender ativamente ambientes críticos, como mostrado em falhas ativas em sandboxes de segurança.
| Data | Evento |
|---|---|
| 16 abr 2026 | Site de vazamento do Prinz Eugen aparece publicando dados do Standard Bank Group |
| 11 maio 2026 | Time da ThreatDown investiga infecção real em cliente |
| 17 jun 2026 | ThreatDown publica análise técnica completa do encryptor |
Como se defender
- Desative RDP exposto à internet ou restrinja via VPN e MFA obrigatória;
- Monitore execuções de binários não assinados a partir de pastas de usuário (Downloads, Music, Temp);
- Configure alertas para arquivos
.prinzeugenou renomeações em massa; - Implemente backups offline seguindo o modelo 3-2-1 e teste restauração periodicamente;
- Use EDR com detecção comportamental para atividade criptográfica em rajada e múltiplas goroutines;
- Aplique princípio do menor privilégio em contas de serviço usadas em integrações RDP.