Prinz Eugen: il ransomware senza nota di riscatto che cifra prima i file più recenti

Quasi tutti i ransomware vogliono farsi notare. Cambiano lo sfondo del desktop, lasciano un README_DECRYPT.txt in ogni cartella, rinominano i file con qualcosa di vistoso. Quel rumore, paradossalmente, è un regalo per chi difende: ogni strumento endpoint sul mercato ha una regola che scatta sul cambio di massa delle estensioni e sulla creazione della nota di riscatto. Un nuovo ceppo scritto in Go chiamato Prinz Eugen, analizzato dal team ThreatDown di Malwarebytes e riportato da BleepingComputer il 20 giugno 2026, toglie il regalo. Cifra i dati, non lascia alcuna nota, cancella la propria chiave dalla memoria e si autodistrugge. La prima volta che qualcuno se ne accorge è quando un file non si apre più — e a quel punto l'operatore sta già trattando fuori banda.

Non è una scelta stilistica. È un attacco diretto al modo in cui l'industria della difesa rileva il ransomware, e vale la pena capirlo nel dettaglio prima di parlare di cosa lo intercetta.

Come funziona davvero il ransomware Prinz Eugen

Il deep dive tecnico di ThreatDown descrive un campione più curato della media degli encryptor di prima ondata. La crittografia non è improvvisata: ChaCha20-Poly1305 in modalità AEAD con master key da 32 byte, un IV casuale per ogni file e una catena di derivazione della chiave a tre stadi — Argon2id, poi SHA-256, poi HKDF-SHA256. I file sono elaborati in blocchi da 1 MB, ciascuno con un hash di integrità SHA-256, e scritti dietro un header personalizzato marcato con i magic byte CHV1. Ai file cifrati viene aggiunta l'estensione .prinzeugen. Percorre le directory ricorsivamente senza limite di profondità e, nel campione analizzato, senza alcuna lista di esclusione.

Il dettaglio che dà il nome al ceppo nei titoli è l'ordinamento. Prinz Eugen ordina i bersagli dal modificato più di recente, e spareggia in ordine alfabetico. La logica è spietata e corretta dal punto di vista dell'attaccante: i file toccati nell'ultima ora — il preventivo aperto, l'export del database in produzione, il progetto salvato prima di pranzo — sono quelli la cui perdita fa più male e i cui backup hanno meno probabilità di essere aggiornati. Quando scatta una detection lenta, i dati di maggior valore sono già andati, anche se il 90% del disco è intatto.

Poi pulisce dietro di sé. Prima di uscire, il binario azzera la chiave hardcoded in memoria, forza un passaggio del garbage collector perché la chiave non resti in un heap dump, e cancella il proprio eseguibile con un cmd.exe /C ping 127.0.0.1 -n 2 > nul & del /F /Q usa-e-getta. Non esiste alcun ramo di codice che scriva una nota di riscatto, una pagina HTML o un cambio di sfondo. ThreatDown attribuisce l'operazione a un attore tracciato come ROOTBOY (handle precedenti avtokz e l'alias GERMANIA), gestita come operazione hands-on-keyboard e non come business ransomware-as-a-service — niente reclutamento di affiliati, niente pannello RaaS pubblico.

Perché "nessuna nota" è un problema di detection, non una cortesia

Tolta la crittografia, la parte interessante di Prinz Eugen è ciò che non fa. La maggior parte della detection automatica del ransomware — sull'endpoint e nel SIEM — si aggancia ad artefatti di secondo ordine:

• La creazione di massa di note di riscatto con lo stesso nome in tutte le directory.
• Il cambio di sfondo/registro che annuncia l'estorsione.
• Un picco di file che acquisiscono un'unica estensione nuova e sconosciuta.
• Il contenuto della nota di riscatto confrontato con le firme di threat intel.

Prinz Eugen non produce in modo affidabile nessuno dei primi tre come segnale precoce, e il quarto per niente. L'estensione .prinzeugen esiste, ma il cambio di estensione è la cifratura — non è un preavviso, è il danno. E il quadro forense post-incidente è volutamente scarno: la chiave è azzerata, il binario è sparito, e non c'è alcuna nota da attribuire o da dare in pasto alle pipeline automatiche di tracciamento dell'estorsione. I ricercatori osservano che eliminare la nota è "una tattica che vediamo più spesso tra i gruppi ransomware organizzati", proprio perché riduce l'impronta forense e sposta l'intera conversazione di estorsione fuori dai sistemi della vittima, dove nessuna regola di detection può vederla.

L'implicazione scomoda: un controllo che aspetta la nota di riscatto ha già perso. L'unica finestra di detection utile è durante la cifratura — e quella finestra è breve.

La finestra di cifratura si misura in secondi, non in ore

Qui contano i dati sulla velocità. Lo studio benchmark di Splunk, Gone in 52 Seconds and 42 Minutes, ha misurato dieci famiglie di ransomware nella cifratura di ~100.000 file: la famiglia mediana ha finito in circa 42 minuti, la più veloce in 52 secondi. Un ceppo che dà priorità ai file più recenti raggiunge i dati che contano nella prima frazione di quella finestra.

L'orologio della detection va nella direzione opposta. M-Trends 2026 di Mandiant ha fissato il dwell time mediano globale a 14 giorni, e ha riportato che il passaggio dall'accesso iniziale all'attività hands-on-keyboard è crollato a 22 secondi. Un modello difensivo che produce un finding nel digest SIEM di domattina non è nello stesso dominio temporale dell'attacco. La domanda che Prinz Eugen impone non è "come attribuiamo la nota?" ma "cosa riesce a vedere la cifratura mentre avviene, quando i trigger sull'host sono stati progettati via?"

Classe di segnale	Da cosa dipende	Prinz Eugen lo produce in tempo?
Creazione nota di riscatto	Nota scritta su disco	No — mai scritta
Beacon sfondo / registro	Banner di estorsione impostato	No — non impostato
Cambio estensione di massa	Rilevato dopo l'alterazione dei file	Solo mentre avviene il danno
Chiave/IOC residente in memoria	Chiave persistente in memoria	No — azzerata + GC prima di uscire
Binario su disco per l'IR	Eseguibile non auto-cancellato	No — si autodistrugge
Pattern di scrittura/lateralità sul filo	Comportamento del traffico durante la cifratura	Sì — inevitabile mentre gira

L'ultima riga è il punto. La cifratura che tocca i file a velocità deve leggerli e scriverli — e quando si estende sulle condivisioni, quel traffico è osservabile sulla rete, che l'host lasci o meno un artefatto.

RDP, RemotePC e la via d'ingresso living-off-the-land

Prinz Eugen non arriva da uno zero-day vistoso. Secondo ThreatDown, l'accesso iniziale è coerente con credenziali RDP rubate, dopodiché l'operatore lavora a mano con strumenti legittimi — lo stesso pattern che abbiamo descritto nelle intrusioni di Silent Ransom Group negli studi legali. La catena osservata:

• Ingresso via RDP compromesso.
• Lo strumento RMM RemotePC abusato per lanciare stager PowerShell — un binario di gestione remota firmato e in allow-list, non malware.
• Un account admin di backdoor creato con net user admin germania /add.
• Il payload servertool.exe scaricato via Chrome nella cartella Music ed eseguito a mano.
• Cifratura, azzeramento della chiave, autodistruzione.

Ogni passo prima dell'encryptor è uno strumento legittimo che fa una cosa legittima in una sequenza illegittima. RDP è permesso. RemotePC è permesso. net user è un comando di sistema. Niente di tutto questo fa scattare una firma malware, perché niente di tutto questo è malware finché la sequenza non viene letta nel suo insieme.

SOC, 02:14. "Abbiamo una sessione RemotePC sul file server che lancia PowerShell. È l'onboarding del nuovo MSP?" "Probabile. Il ticket è aperto. Lascia stare, controlliamo la nota domattina." Domattina non c'è nessuna nota. C'è una condivisione amministrazione dove ogni file modificato questa settimana finisce in .prinzeugen, un account admin locale che nessuno ha creato, e nessun binario da mandare al lab.

Quel controfattuale è l'intero problema in uno scambio. La storia sull'host è ambigua per progettazione. La storia sulla rete — una sessione RMM su un server che non ne ha mai ospitata una, seguita da attività di scrittura ricorsiva sostenuta che si propaga sulle condivisioni SMB — non è affatto ambigua.

Cosa vede Prinz Eugen mentre è ancora in esecuzione

È lo scenario per cui è nato il pilastro AI Traffic Analysis di Zero Hunt. L'appliance esegue un modello proprietario di deep learning addestrato su miliardi di sequenze PCAP, con quattro teste di inferenza parallele — traffico sospetto, classificazione malware, identificazione del tipo di attacco e fingerprinting applicativo — sostenendo 2,7+ Gbit/s su una singola GPU dell'appliance. La proprietà rilevante è dove gira: sul filo, non sull'endpoint. Prinz Eugen può azzerare la chiave, cancellare il binario e saltare la nota di riscatto — ma non può cifrare file sulle condivisioni senza generare la firma di lettura/scrittura e di propagazione laterale sulla rete, e non può disabilitare un'appliance che non ha alcun agente sull'host che sta cifrando. La firma comportamentale della cifratura in corso — scritture ricorsive rapide sulle condivisioni, una sessione RMM che parte da dove non è mai partita, movimento laterale che non ha un percorso storico — emerge mentre l'attività avviene, non nel digest di domattina. La stessa vista sul filo è ciò che intercetta lo staging e l'egress nel ransomware di sola esfiltrazione e la propagazione laterale a worm che abbiamo descritto nel ransomware Gentlemen.

Il secondo pilastro discende dalla via d'ingresso. Prinz Eugen è entrato attraverso RDP esposto e un agente RMM dimenticato — il tipo di esposizione permanente che un pentest generativo dovrebbe trovare prima che lo faccia un operatore. Lo swarm a 10 agenti di Zero Hunt esegue validazione in modalità assumed-breach esattamente contro quella superficie: gli agenti Recon e Credential enumerano gli endpoint RDP e RMM raggiungibili da internet e verificano se credenziali note o di default autenticano ancora, gli agenti Pivot e Post-Exploit mappano cosa raggiunge un attaccante da un singolo appiglio, e le campagne change-triggered ripartono nel momento in cui un nuovo servizio RMM o una porta esposta compaiono sul perimetro — con ogni finding firmato in ECDSA per la catena di custodia. La detection sul filo e la chiusura della porta da cui è entrato sono due metà della stessa risposta a un ceppo progettato per non lasciare nulla. Per vedere come si mappa sul vostro ambiente, la panoramica della piattaforma e una conversazione diretta sono il punto di partenza.

Prinz Eugen è un'operazione piccola oggi — un leak site con tre nomi e qualcuno in più noto in privato. La tecnica è la storia. Un autore di ransomware ha deciso che la cosa di maggior valore da nascondere non è la cifratura ma la prova di essa, e ha progettato l'host perché non vi dica nulla. Quando l'host è silenzioso per progettazione, la rete è l'unico testimone rimasto.