Stručnjaci za sajber sigurnost primijetili su pojavu zabrinjavajućeg trenda u kojem napadi ransomware-a koriste maliciozni softver kreiran pomoću alata otvorenog koda pod nazivom “Prince Ransomware”.
Ovaj program za izradu Go-jezika bio je besplatno dostupan na GitHubu, značajno snizivši tehničku barijeru za napadače da pokrenu sofisticirane kampanje ransomware-a.
Arhitektura alata omogućava čak i onima s ograničenom tehničkom stručnošću da generišu potpuno funkcionalan ransomware jednostavnim modifikacijom konfiguracijske datoteke kako bi prilagodili elemente kao što su bilješke o otkupnini i šifrovane ekstenzije datoteka.
Vektori napada variraju u zavisnosti od implementacije, ali u dokumentovanim slučajevima, napadači su kombinovali ransomware koji je napravio Prince sa tehnikama izbjegavanja odbrane kao što je „Donesite sopstvenog ranjivog vozača“ (BYOVD) i alatima za bočno kretanje kao što je SharpGPOAbuse kako bi maksimizirali uticaj na mreže.
Ova kombinacija se pokazala posebno efikasnom, omogućavajući hakerima da onemoguće bezbjednosne proizvode i šire ransomware kroz organizacione mreže.
Bezbjednosni analitičari WithSecure Labsa zabilježili su višestruke slučajeve napada zasnovanih na Prince Ransomware-u, uključujući istaknuti slučaj u februaru 2025., kada je tajvanska bolnica Mackay Memorial postala žrtva “CrazyHunter” ransomware-a.
Početni vektor infekcije je navodno bio USB uređaj umetnut u bolnički računar, što je dovelo do šifrovanja preko 600 uređaja u dvije grane, ozbiljno ometajući bolničke operacije i njegu pacijenata.
Prince Ransomware
Istraživači su otkrili da Prince Ransomware generiše varijante s minimalno modifikovanim napomenama o otkupnini, pokazujući koliko je malo prilagođavanja potrebno za implementaciju novih sojeva ransomware-a.
Zadani predložak bilješke o otkupnini zahtijeva jednostavno uređivanje teksta:
---------- Prince Ransomware ----------
Your files have been encrypted using Prince Ransomware!
They can only be decrypted by paying us a ransom in cryptocurrency.
Encrypted files have the .prince extension.
IMPORTANT: DO not modify or rename encrypted files, as they may become unrecoverable.
Contact us at the following email address to discuss payment.
example@airmail.cc
---------- Prince Ransomware -------------
.webp)
Mehanizam šifrovanja koji koristi Prince Ransomware pokazuje značajnu sofisticiranost. Koristi hibridni pristup koji kombinuje ChaCha20 i ECIES kriptografiju.
Za svaku datoteku, graditelj generiše jedinstveni ključ ChaCha20 i nonce, zatim šifruje pomoću obrasca gdje je 1 bajt šifrovan, a zatim 2 bajta koja su ostala nešifrovana.
ChaCha20 ključ i nonce su šifrovani korištenjem ECIES javnog ključa i dodani na početak datoteke, što dešifruje bez privatnog ključa čini izuzetno teškim.
Ova arhitektura predstavlja značajnu evoluciju u okruženju prijetnji ransomware-a, omogućavajući novoj generaciji sajber napadača da implementira sofisticirane mogućnosti šifrovanja uz minimalno tehničko znanje.
Izvor: CyberSecurityNews