I ricercatori di Threatdown, divisione enterprise di Malwarebytes, hanno documentato il 20 giugno 2026 un nuovo ransomware denominato Prinz Eugen. Il malware introduce una logica di prioritizzazione algoritmica inedita: cifra i file nell'ordine del timestamp di ultima modifica, dal più recente al più vecchio, con tie-break alfabetico. Questa scelta trasforma il ransomware da strumento di distruzione indiscriminata in arma chirurgica contro la produttività operativa immediata, e l'assenza di ransom note sul sistema complica il rilevamento automatico dell'estorsione.
- Prinz Eugen prioritizza la crittografia dei file modificati più recentemente, applicando ordinamento alfabetico come criterio secondario
- Non lascia ransom note né modifica lo sfondo del desktop; la comunicazione per il riscatto avviene esclusivamente out-of-band
- Gli attaccanti operano hands-on-keyboard con strumenti RMM legittimi e living-off-the-land, non come modello RaaS
- Il payload in Go utilizza ChaCha20-Poly1305 con KDF Argon2id-SHA256-HKDF, chunk di 1 MB, e si auto-cancella sovrascrivendo la chiave con zeri
Il motore di prioritizzazione: perché i file recenti fanno la differenza
La sequenza di crittografia di Prinz Eugen segue una regola precisa: scansiona ricorsivamente tutte le directory senza limite di profondità ed esclusioni, ordina i file per timestamp di modifica decrescente, e in caso di parità applica l'ordinamento alfabetico. I ricercatori di Threatdown interpretano questa logica come una deliberata ottimizzazione dell'impatto: i file più recenti sono statisticamente quelli in uso attivo, dunque più critici per le operazioni quotidiane.
Il payload principale è un eseguibile Go denominato servertool.exe. La crittografia impiega ChaCha20-Poly1305 con chiave master di 32 byte, IV casuale per ogni file, e una derivazione chiave a tre stadi: Argon2id, SHA-256 e HKDF-SHA256. I file vengono processati in blocchi di 1 MB e l'integrità è verificata tramite SHA-256. Con il flag --delete, il malware verifica la decifrabilità prima di rimuovere il file originale, riducendo il rischio di perdita definitiva per errore crittografico.
La chiave di sessione subisce una sanificazione rigorosa: sovrascritta con zeri, eliminata dalla memoria tramite garbage collection forzata, e il binario si auto-rimuove dal disco. Questa tripla cancellazione rende impraticabile il recupero forense della chiave post-infezione.
L'assenza di ransom note come tattica anti-forense
"By moving ransom communications entirely out-of-band (through direct email, phone contact, or dark-web victim portals), the actor reduces forensic artifacts and complicates automated detection of the extortion phase" — Threatdown researchers via BleepingComputer
Prinz Eugen non implementa alcuna funzionalità per depositare note di riscatto sul sistema né per alterare lo sfondo del desktop. La comunicazione avviene attraverso canali esterni: email diretta, contatto telefonico o portale dark web dedicato alla vittima. Secondo i ricercatori di Threatdown, "the absence of a ransom note is a tactic we see more often among organized ransomware groups".
L'effetto pratico è duplice. Da un lato, diminuisce l'impronta forense locale; dall'altro, priva i sistemi di rilevamento automatico di un indicatore classico dell'estorsione. Molte soluzioni EDR e SIEM si affidano alla comparsa di file testuali con pattern noti come trigger di allarme. Senza questo artefatto, la scoperta dell'infezione può ritardare fino a quando gli utenti tentano di aprire file crittografati o quando la fase di data leak diventa pubblica.
Hands-on-keyboard, RMM e persistenza amministrativa
Il dossier documenta un modello operativo che esclude l'automazione pura. Gli attaccanti utilizzano tattiche hands-on-keyboard con strumenti di remote monitoring and management legittimi: RemotePC è stato osservato in almeno un incidente. La persistenza è garantita dalla creazione di un account amministratore backdoor. L'accesso iniziale avviene probabilmente tramite credenziali RDP compromesse, sebbene il brief non specifichi il meccanismo di furto delle credenziali.
L'uso di RMM commerciali e di binary di sistema (living-off-the-land) consente di eludere le regole di rilevamento signature-based. Questi strumenti sono firmati, legittimi nel loro contesto d'uso, e la loro presenza non attiva automaticamente allarmi nei sistemi di whitelisting tradizionali. Il brief non documenta ulteriori dettagli sulla durata della permanenza in rete precedente alla distribuzione del ransomware né su eventuali fasi di reconnaissance interna.
Perché è importante
Il dossier non specifica misure correttive o contromisure verificabili oltre alla constatazione del comportamento. Non emergono indicatori di compromissione aggiuntivi oltre quelli citati, né viene documentata la presenza di un decryptor.
Il brief non quantifica il volume totale di vittime oltre alle cinque identificate, non dettaglia i settori industriali colpiti, e non conferma se l'exfiltrazione dati preceda sistematicamente la crittuzione in tutti i casi. La geografia delle vittime rimane in gran parte non specificata, salvo il caso di Standard Bank. Il motivo della scelta del nome "Prinz Eugen" non è noto.
Quanto emerge con chiarezza è un orientamento del panorama ransomware verso operatori più silenziosi, strutturati e indipendenti dai marketplace RaaS. Prinz Eugen non recluta affiliati e non opera sotto franchising criminale. Questa verticalizzazione riduce la visibilità dell'attore ma aumenta presumibilmente la sua capacità di adattamento tattico.
La prioritizzazione dei file recenti rappresenta inoltre una sfida implicita alle strategie di backup tradizionali. Le copie più fresche sono quelle che gli utenti tendono a non proteggere ancora, o che risiedono in sincronizzazione attiva con repository vulnerabili alla crittografia.
Domande frequenti
- Che differenza c'è tra la prioritizzazione di Prinz Eugen e la crittografia sequenziale standard?
- I ransomware convenzionali attraversano le directory in ordine fisico o alfabetico. Prinz Eugen ordina esplicitamente per timestamp decrescente, colpendo per prime risorse presumibilmente in uso attivo e massimizzando l'interruzione operativa immediata.
- Come si spiega l'assenza di ransom note con la richiesta di riscatto?
- La comunicazione avviene esclusivamente fuori banda, tramite canali diretti. I ricercatori interpretano questa scelta come deliberata riduzione di artefatti forensi e ostacolo ai sistemi di rilevamento automatico.
- Prinz Eugen è disponibile come servizio per altri criminali?
- No. Il dossier documenta esplicitamente che il ransomware non opera come RaaS e che i suoi sviluppatori non stanno reclutando affiliati.
Le informazioni sono basate sull'advisory citato e aggiornate al momento della pubblicazione.
Fonti
- https://www.bleepingcomputer.com/news/security/new-prinz-eugen-ransomware-prioritizes-recent-files-for-encryption/
- https://purple-ops.io/blog/ransomware-tracker-2026
- https://nvd.nist.gov/vuln/detail/CVE-2026-41940
- https://nvd.nist.gov/vuln/detail/CVE-2025-53770
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://nvd.nist.gov/vuln
- https://nvd.nist.gov/vuln/search
- https://nvd.nist.gov/vuln/categories
- https://nvd.nist.gov/vuln/data-feeds
- https://nvd.nist.gov/vuln/vendor-comments
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.