Estamos cientes de uma nova família de ransomware chamada Prinz Eugen, desenvolvida com a linguagem Go, que possui destaque por priorizar a criptografia de arquivos recentemente modificados e atualizados, maximizando o impacto do ataque nas vítimas em uma janela de tempo reduzida para dificultar a tomada de decisão.

Contexto e Origem

A nova família Prinz Eugen foi observada pela primeira vez em incidentes investigados em maio de 2026 por pesquisadores do Threatdown. Em abril de 2026 foi lançado o primeiro relatório público do vazamento de dados pelo ransomware em questão, sendo atribuído à uma instituição financeira na África do Sul.

Os relatórios apontam que o encryptor é escrito em Go, com forte foco em anti-forense e extorsão “out-of-band”, ou seja, sem uso de notas de resgate ou mensagens deixadas no host, mas por meio de portais na dark web, e‑mail ou outros canais de comunicação.

Pesquisadores associaram as campanhas de Prinz Eugen a um ator de ameaças identificado por ROOTBOY, embora essa atribuição ainda seja baseada em inteligência de ameaças e não em confirmação oficial. No momento, o site ransomware.live fez a inclusão da família em sua base de dados, e o último ataque foi identificado no dia 22 de junho de 2026, mostrando que o ransomware continua em circulação.

Cadeia de Ataque

As investigações indicam que as campanhas envolvendo Prinz Eugen utilizam o seguinte pipeline para a execução do ataque: acesso inicial, execução, processo de criptografia e passos anti-forense.

Com base no que foi documentado, os ataques utilizaram credenciais RDP válidas como vetor de acesso inicial, explorando contas comprometidas para estabelecer acesso remoto com interação direta. Após o acesso, os operadores costumam instalar ou abusar de ferramentas legítimas para transferir binários, e nesse caso, o executável denominado servertool.exe.

Do ponto de vista técnico, o encryptor varre recursivamente os diretórios fornecidos, sem limite de profundidade, ordenando os arquivos por data de modificação e criptografando primeiro aqueles mais recentes. Em caso de empate de timestamp, os arquivos são processados em ordem alfabética, o que faz com que documentos de trabalho, bancos de dados em uso, exportações recentes e conteúdo sincronizado com serviços de nuvem sejam impactados logo no início da execução.

Os arquivos criptografados recebem a extensão .prinzeugen, e o processo de criptografia utiliza ChaCha20-Poly1305 com uma chave mestre de 32 bytes, além de verificação de integridade com SHA-256. Em configurações onde o binário é executado com a flag --delete, o malware primeiro garante que o arquivo pode ser decriptado antes de excluir o original, e, ao final da operação, sobrescreve sua chave de criptografia com zeros, força garbage collection para remover a chave da memória e se autoexclui do disco, reduzindo ainda mais a possibilidade de recuperação por análise forense local.

Por fim, como foi abordado anteriormente, o ransomware possui a ausência de nota de resgate no host com base no código avaliado por pesquisadores. Nesse caso, a comunicação com a vítima ocorre por meio de canais externos e portais de vazamento de dados, aumentando a dependência de monitoramento de inteligência de ameaças para identificar o grupo responsável.

Mitigações

Em linhas gerais, as mitigações sugeridas para a defesa no sistema estão associadas às medidas protetivas para ransomwares de maneira geral, mas podem ser organizadas em:

• Endurecer e restringir o acesso via RDP, utilizando VPN, exigindo autenticação multifator e filtrando o acesso apenas para dispositivos autorizados, a fim de evitar o comprometimento inicial;
• Garantir backups frequentes com foco em dados recentes, verificando se o regime de backup captura de forma adequada os arquivos mais recentemente modificados, mantendo as cópias em lugares seguros;
• Aprimorar detecção comportamental de criptografia de arquivos, por meio da configuração de EDRs para identificar padrões de renomeação e escrita rápida em arquivos recentemente modificados, com mudanças massivas para a extensão .prinzeugen.

Indicadores de Comprometimento (IOCs)

Alguns dos indicadores de comprometimento associados à este ransomware podem ser listados na tabela abaixo, eles envolvem sites, indicadores de rede e artefatos deixados no host.

Referências

[1] BleepingComputer. New Prinz Eugen ransomware prioritizes recent files for encryption. Disponível em: https://www.bleepingcomputer.com https://www.bleepingcomputer.com/news/security/new-prinz-eugen-ransomware-prioritizes-recent-files-for-encryption/. Acesso em: 24 de junho de 2026.

[2] ThreatDown / Malwarebytes. Prinz Eugen ransomware: a deep dive into a new Go-based encryptor. Disponível em:
https://www.threatdown.com/blog/prinz-eugen-ransomware-a-deep-dive-into-a-new-go-based-encryptor/. Acesso em: 24 de junho de 2026.

[3] ZeroHunt. Prinz Eugen Ransomware Leaves No Note — and Encrypts Your Most Recently Used Files First. Disponível em:
https://zerohunt.ai/blog/prinz-eugen-ransomware-no-note-recent-files/. Acesso em: 24 de junho de 2026.

[4] HiveSecurity. Prinz Eugen Ransomware Encrypts Your Newest Files First. Disponível em: https://hivesecurity.gitlab.io/blog/prinz-eugen-ransomware-newest-files-first-2026/. Acesso em: 24 de junho de 2026.

[5] SOCDefenders. New Prinz Eugen ransomware prioritizes recent files for encryption (resumo tático e técnico). Disponível em: https://www.socdefenders.ai/item/8ed2786f-f9cc-4295-a2bc-b00de1959edb. Acesso em: 24 de junho de 2026.