Prinz Eugenは、2026年4月頃に確認されはじめ、2026年6月に詳細な解析が報告された新しいランサムウェア(身代金要求型マルウェア)です。
Prinz Eugenという単語は元々は17〜18世紀に神聖ローマ帝国で活躍した名将の名前です。
このランサムウェアグループは攻撃の過程でドイツに関連する名称やコードを意図的に多数織り交ぜて使用しています。
このランサムウェアの特徴的な部分をいくつか見てみましょう。
- 「新しいファイル」を最優先で暗号化する
一般的なランサムウェアは対象のPATHのフォルダを名前順に列挙するなどして暗号化を進めますが、Prinz Eugenは直近で変更された最新のファイルを優先して暗号化します。
これにより、組織が「いま現在アクティブに使っている重要データ」を即座に人質に取り、業務に最大の打撃を与えます。 - 身代金要求のメモ(Ransom Note)を残さない
感染したPC内に「ファイルを復元したければ連絡しろ」というテキストファイルを残さない、非常に珍しい特徴を持っています。
攻撃者はメールや電話、ダークウェブのポータルなど、ランサムウェアのシステム外(アウト・オブ・バンド)の方法で被害組織に直接接触します。 - Go言語で開発され、痕跡を残さない設計
プログラムはGo言語で書かれていて、暗号化には強力な「ChaCha20-Poly1305」が使われています。
暗号化が完了すると、メモリ上から暗号化キーを完全に消去するなど、フォレンジック(原因調査)に使える手がかりを残さない高度なアンチ・フォレンジック設計が施されています。 - 暗号化後の拡張子
暗号化されたファイルには、「.prinzeugen」という拡張子が追加されます。
ランサムウェアの仕組みとしては、身代金要求のメモを現地には残しませんので、この部分が被害者に加害者を特定する数少ない情報となります。
攻撃者はゼロデイ脆弱性などを悪用するのではなく、盗まれたRDP(リモートデスクトップ)の資格情報を使って組織のネットワークに正規ユーザとして侵入します。
その後、RemotePCなどの一般的なリモート管理ツール(RMM)を悪用して管理者権限を奪取し、手動でランサムウェアを実行する手口(Living-off-the-Land)をとります。
すでに南アフリカの大手金融機関であるStandard Bankなどの被害が公表されています。
企業や組織における対策としては、外部公開されているRDPの制限やMFA(多要素認証)の徹底、許可のないリモート管理ソフトの動作を禁止するなどのPC動作の制限、アクティブな最新データのバックアップを頻繁に(かつネットワークから隔離して)取得しておくことが推奨されています。
セキュリティ対策の強化に向けて、まずは現在導入されているバックアップ体制の確認から始めてみるのがよいかもしれません。
Prinz Eugen ransomware: a deep dive into a new Go-based encryptor
https://www.threatdown.com/blog/prinz-eugen-ransomware-a-deep-dive-into-a-new-go-based-encryptor/
| この記事をシェア |
|
|---|
