Il panorama ransomware continua a evolversi con famiglie malware sempre più sofisticate che combinano crittografia avanzata, tecniche anti-forensi e modelli di estorsione studiati per ridurre le possibilità di analisi post-incidente. Tra le minacce emergenti individuate nel 2026 figura Prinz Eugen, un ransomware sviluppato in Go e analizzato dai ricercatori di ThreatDown, divisione di Malwarebytes, dopo la scoperta di un’infezione attiva l’11 maggio 2026. Il malware si distingue per l’utilizzo della cifratura ChaCha20-Poly1305, per un complesso sistema di derivazione delle chiavi e per una strategia operativa che evita deliberatamente la tradizionale nota di riscatto salvata sui sistemi compromessi. Dietro l’operazione emerge un gruppo che utilizza riferimenti storici e culturali tedeschi, già collegato in passato alla vendita di database rubati e a campagne di doppia estorsione contro organizzazioni finanziarie e istituzioni internazionali.
Cosa leggere
ThreatDown individua una nuova famiglia ransomware sviluppata in Go
L’analisi di Prinz Eugen è iniziata quando il team ThreatDown ha osservato un’infezione in corso e ha recuperato il campione principale utilizzato dagli attaccanti. Il ransomware è sviluppato in Go, linguaggio sempre più apprezzato dagli autori di malware grazie alla portabilità, alle capacità multithreading native e alla facilità di compilazione per differenti architetture. Il nome scelto dagli operatori richiama il celebre comandante militare Principe Eugenio di Savoia, mentre l’intera infrastruttura dell’operazione è caratterizzata da riferimenti tedeschi. I ricercatori hanno individuato password come “germania”, domini che richiamano il termine “festung” e identificativi operativi che utilizzano gli alias GERMANIA, ROOTBOY e avtokz. Questa coerenza narrativa rappresenta un elemento utile per l’attribuzione e suggerisce un preciso branding criminale volto a distinguere il gruppo all’interno dell’ecosistema ransomware.
ROOTBOY era già attivo nella vendita di dati rubati
Prima di adottare un modello ransomware strutturato, l’attore noto come ROOTBOY risultava coinvolto in attività di monetizzazione di dati sottratti attraverso la vendita di database compromessi. Tra luglio e novembre 2025 il gruppo ha commercializzato archivi provenienti da Vantage Finance, da un fornitore di software dedicato alle autoscuole negli Stati Uniti e in Canada e dalla società 700Credit.
Complessivamente sono stati esposti circa 8,4 milioni di record, inclusi dati personali sensibili e numerosi Social Security Number. Nel febbraio 2026 l’organizzazione ha ampliato le proprie attività prendendo di mira Standard Bank Group in Sudafrica. In quell’occasione sarebbero stati esfiltrati circa 1,2 terabyte di dati e oltre 154 milioni di righe SQL. Dopo il rifiuto di un pagamento richiesto pari a 1 Bitcoin, il gruppo ha iniziato a pubblicare porzioni dei dati sui propri portali di leak, adottando una classica strategia di double extortion.
L’accesso iniziale sfrutta credenziali RDP compromesse
Le intrusioni attribuite a Prinz Eugen seguono una metodologia relativamente consolidata ma efficace. Gli operatori ottengono l’accesso iniziale attraverso credenziali RDP compromesse, provenienti da precedenti violazioni, attività di credential stuffing o acquisti nei marketplace underground. Una volta entrati nella rete aziendale, distribuiscono payload iniziali utilizzando PowerShell stager e strumenti di amministrazione remota legittimi come RemotePC. Il ransomware viene generalmente salvato nella cartella Music dell’utente e avviato con il nome apparentemente innocuo servertool.exe. Parallelamente gli attaccanti distribuiscono ulteriori componenti dedicati al furto di credenziali e alla raccolta di informazioni. Per garantire la persistenza creano spesso un nuovo account amministrativo locale mediante il comando net user admin germania /add, assicurandosi così un accesso stabile anche in caso di modifiche alle credenziali originarie.
Il movimento laterale sfrutta applicazioni enterprise legittime
Una volta ottenuto un punto d’appoggio nella rete, il gruppo utilizza strumenti e piattaforme normalmente presenti negli ambienti aziendali per espandere la compromissione. Le indagini hanno evidenziato l’abuso di applicazioni come SharePoint, OneDrive, Power Apps, AppDynamics, Jira, Confluence, Citrix e diversi database Microsoft SQL Server e Oracle SQL. L’utilizzo di software ampiamente diffusi riduce la probabilità che le attività malevole vengano immediatamente individuate dai sistemi di monitoraggio. Gli attaccanti sfruttano queste piattaforme per raccogliere documentazione interna, individuare sistemi critici, acquisire ulteriori credenziali e preparare la fase finale di cifratura. Il targeting appare opportunistico e non limitato a un singolo settore industriale, anche se finora sono emersi casi significativi nei comparti finanziario, creditizio e della formazione professionale.
ChaCha20-Poly1305 costituisce il cuore della crittografia
Dal punto di vista tecnico, Prinz Eugen utilizza una catena crittografica particolarmente robusta. Il ransomware implementa l’algoritmo ChaCha20-Poly1305 in modalità AEAD (Authenticated Encryption with Associated Data), una soluzione che garantisce contemporaneamente confidenzialità e integrità dei dati cifrati. La chiave master è composta da 32 byte e per ogni file viene generato un Initialization Vector casuale. Il processo di derivazione delle chiavi avviene attraverso tre livelli distinti. In una prima fase viene utilizzato Argon2id, algoritmo progettato per resistere agli attacchi hardware basati su GPU e ASIC. Successivamente viene applicato un passaggio di hashing mediante SHA-256 e infine viene utilizzato HKDF-SHA256 per derivare le chiavi operative finali. Questa architettura rende estremamente difficile qualsiasi tentativo di recupero dei dati senza accesso alle chiavi originali.
Il ransomware utilizza elaborazione parallela e verifica dell’integrità
Durante la cifratura dei dati, Prinz Eugen elabora i file in blocchi da 1 MB. Per ogni chunk viene calcolato un hash SHA-256 che consente al malware di verificare l’integrità della procedura dopo la cifratura. I file colpiti ricevono l’estensione .prinzeugen e vengono contrassegnati da un header proprietario identificato dai magic bytes CHV1. Il malware esegue una scansione ricorsiva delle directory specificate come parametro e utilizza un numero di goroutine pari ai core disponibili sul sistema per massimizzare la velocità di elaborazione. Una caratteristica interessante riguarda la priorità assegnata ai file modificati più recentemente. Questa scelta sembra finalizzata a colpire per primi i documenti attivi e i backup più aggiornati, aumentando l’impatto operativo sulle vittime. I file temporanei e quelli già cifrati vengono esclusi dal processo per evitare elaborazioni ridondanti.
Il flag –delete elimina le copie originali dei file
Una funzionalità particolarmente aggressiva consiste nell’utilizzo del parametro –delete. Quando attivata, questa opzione consente al ransomware di eliminare i file originali dopo aver verificato il corretto completamento della cifratura. L’obiettivo è impedire il recupero attraverso tecniche di data carving o strumenti di recupero file che sfruttano residui presenti sul disco. Durante la procedura vengono creati file temporanei identificati dall’estensione .original.prinzeugen.tmp, utilizzati per gestire il flusso operativo e garantire la consistenza dei dati cifrati. Questo approccio aumenta significativamente la distruttività dell’attacco e riduce le possibilità di recupero senza backup esterni.
Nessuna nota di riscatto viene salvata sul sistema compromesso
Uno degli aspetti più innovativi di Prinz Eugen è l’assenza di una tradizionale ransom note memorizzata sul disco. Gli operatori hanno scelto deliberatamente un modello di estorsione out-of-band, nel quale il contatto con la vittima avviene esclusivamente attraverso canali esterni come portali di leak, email dedicate o comunicazioni dirette. Questa strategia offre diversi vantaggi agli attaccanti. Innanzitutto riduce il numero di artefatti disponibili per gli investigatori durante le attività forensi. Inoltre rende più difficile individuare automaticamente l’infezione attraverso regole di rilevamento basate sulla presenza di file di riscatto standardizzati. L’approccio conferma una crescente tendenza nel panorama ransomware verso tecniche meno visibili e più orientate alla persistenza operativa.
Le tecniche anti-forensi puntano a cancellare ogni traccia
Il malware implementa una serie di misure progettate per ostacolare le indagini successive all’incidente. Una volta completate le operazioni, la chiave hardcoded utilizzata durante l’esecuzione viene sovrascritta in memoria. Successivamente il ransomware forza l’esecuzione del garbage collector di Go nel tentativo di eliminare residui utili all’analisi della memoria.
| Vittima | Paese | Dettaglio Incidente |
|---|---|---|
| Standard Bank Group (+ Liberty) | Sudafrica | 1.2 TB / 154M righe SQL; riscatto 1 BTC rifiutato. |
| Transitions Pro Centre Val de Loire | Francia | Centinaia di GB esfiltrati/criptati; leak sito 03/05/2026. |
| 700Credit | USA | 8.4M record (inclusi SSN); venduti per ~$2.500. |
| Vantage Finance | Non specificato | Database venduto come ‘avtokz’. |
| Driving-school software provider | USA / Canada | Dati fatturazione e PII studenti venduti. |
Al termine delle attività il payload si auto-elimina mediante un comando basato su cmd.exe e un ritardo ottenuto sfruttando il comando ping. Questa tecnica consente di cancellare il file servertool.exe una volta conclusa l’esecuzione, riducendo ulteriormente le tracce disponibili per i team di incident response. La combinazione di cifratura avanzata e anti-forensics rende Prinz Eugen una minaccia particolarmente complessa da analizzare.
Infrastruttura C2 e indicatori di compromissione
Le indagini hanno identificato diversi elementi dell’infrastruttura utilizzata dal gruppo. Tra questi figura l’indirizzo IP 212.80.7.74, localizzato a Francoforte e associato all’AS215439, utilizzato per distribuire stager PowerShell e payload secondari.
Gli operatori impiegano inoltre domini typosquatting come stndrdbnk.cc, creato per imitare il brand Standard Bank durante le operazioni di estorsione. Le attività di pubblicazione dei dati sottratti avvengono attraverso servizi onion dedicati, mentre le comunicazioni con le vittime possono utilizzare indirizzi email e identificativi TOX specifici. Il payload principale identificato durante le analisi corrisponde al file servertool.exe, associato all’hash SHA-256 686213cc11d36af764de824801bced9366dfca3823fe0d51b752f74149bcf1f4.
Prinz Eugen rappresenta una nuova evoluzione del ransomware moderno
L’emergere di Prinz Eugen conferma l’evoluzione continua dell’ecosistema ransomware verso modelli operativi sempre più professionali. L’utilizzo di Go, la crittografia basata su ChaCha20-Poly1305, la derivazione multilivello delle chiavi, le tecniche anti-forensi e l’assenza di una nota di riscatto tradizionale mostrano un elevato livello di maturità tecnica. Il gruppo ROOTBOY ha inoltre dimostrato di possedere esperienza nella monetizzazione di dati rubati e nella gestione di campagne di double extortion, ampliando il rischio per organizzazioni appartenenti a settori differenti. L’abuso di strumenti legittimi come RemotePC, insieme allo sfruttamento di credenziali RDP compromesse e applicazioni enterprise diffuse, rende il rilevamento particolarmente complesso. Per le aziende, la combinazione di autenticazione multifattore, monitoraggio degli accessi remoti, segmentazione della rete e protezione delle credenziali rimane essenziale per ridurre il rischio di compromissione da parte di questa nuova famiglia ransomware.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
