### El ransomware ‘Prinz Eugen’ apunta a archivos recientes y opera sin notas de rescate

#### Introducción

En las últimas semanas, diversos equipos de respuesta ante incidentes han detectado una nueva operación de ransomware denominada ‘Prinz Eugen’, caracterizada por una táctica singular: prioriza la encriptación de archivos recientemente modificados y no deja nota de rescate visible en los sistemas afectados. Este comportamiento supone un cambio significativo respecto a las estrategias clásicas de ransomware, planteando desafíos específicos para los equipos de seguridad y las operaciones de recuperación.

#### Contexto del Incidente

La campaña de ‘Prinz Eugen’ ha sido identificada en el contexto de ataques dirigidos a empresas de Europa Central y del Este, aunque no se descartan futuras expansiones geográficas. Desde finales de mayo de 2024, los analistas de amenazas han observado un aumento en los artefactos relacionados con esta familia, que comparte ciertas características con variantes previas como BlackCat y LockBit 3.0, pero introduce innovaciones en su flujo de ataque y en las técnicas de evasión.

No se han reportado casos con exfiltración masiva de datos o doble extorsión, lo que refuerza la hipótesis de que el grupo busca maximizar el daño operativo inmediato y dificultar la respuesta de los equipos de TI.

#### Detalles Técnicos

La muestra de ‘Prinz Eugen’ analizada ha sido registrada bajo el identificador CVE-2024-32177, correspondiente a una vulnerabilidad explotada en servicios RDP mal configurados y servidores VPN con credenciales filtradas. El vector de ataque inicial suele basarse en la explotación de credenciales obtenidas mediante campañas de phishing previo o venta en foros clandestinos.

Una vez dentro del entorno, el ransomware ejecuta un escaneo rápido de los discos locales y unidades de red montadas, utilizando timestamp de los archivos para identificar aquellos modificados en los últimos 30 días. Esta priorización se realiza mediante el uso de llamadas al API de Windows (GetFileTime), optimizando la velocidad de cifrado y minimizando la probabilidad de detección temprana.

El payload principal está programado en C++ y hace uso de rutinas de cifrado híbridas (AES-256 para los datos y RSA-2048 para las claves), técnicas ya vistas en otras familias. Destaca la ausencia total de una nota de rescate: el malware ni crea archivos de texto ni modifica el fondo de escritorio, dificultando la comunicación entre los atacantes y las víctimas.

En cuanto a TTPs del framework MITRE ATT&CK, ‘Prinz Eugen’ emplea:
– T1078 (Valid Accounts)
– T1059 (Command and Scripting Interpreter)
– T1486 (Data Encrypted for Impact)
– T1490 (Inhibit System Recovery)

Los principales IoCs observados incluyen hilos de procesos inusuales, creación de archivos con extensión .eugen y tráfico anómalo de salida hacia dominios recién registrados.

#### Impacto y Riesgos

El impacto operativo de ‘Prinz Eugen’ es elevado, especialmente porque el cifrado selectivo de archivos recientes afecta directamente a la productividad y a la continuidad de negocio: documentos en uso, bases de datos activas y archivos de trabajo colaborativo suelen ser los primeros en quedar inaccesibles. La ausencia de nota de rescate complica la negociación y el análisis de intenciones por parte de los actores de amenaza. Se estima que un 32% de las infecciones detectadas han afectado a sistemas críticos de empresas medianas, con pérdidas económicas directas en torno a los 450.000 euros por incidente, sin contar los costes derivados de la paralización.

#### Medidas de Mitigación y Recomendaciones

– **Parcheo urgente** de servicios expuestos (RDP, VPN, SMB) y deshabilitación de los protocolos innecesarios.
– **Monitorización proactiva** de logs de acceso y cambios recientes en archivos críticos, implementando reglas de alerta sobre actividad anómala basada en timestamps.
– **Segmentación de red** y restricción de privilegios para limitar el movimiento lateral.
– **Backups offline** y verificación periódica de su integridad, asegurando que se almacenen copias de seguridad no accesibles desde el entorno de producción.
– **Despliegue de EDR** actualizado con capacidad de respuesta automatizada ante la ejecución de procesos sospechosos y cifrado masivo.
– **Simulacros de respuesta** ante incidentes de ransomware, con especial énfasis en procedimientos de recuperación y comunicación interna.

#### Opinión de Expertos

Especialistas como Pablo San Emeterio, analista de amenazas en Telefónica Tech, resaltan la sofisticación del enfoque: “El hecho de que ‘Prinz Eugen’ no deje nota de rescate sugiere una doble estrategia, bien sea para chantaje posterior a través de canales alternativos o como medida para retrasar la detección y respuesta de los equipos de seguridad”. Otros expertos, como Carolina López de S21sec, insisten en la importancia de reforzar la vigilancia sobre los archivos de trabajo activo y no confiar únicamente en sistemas de backup tradicionales.

#### Implicaciones para Empresas y Usuarios

La principal implicación para las compañías es la necesidad de adaptar los procedimientos de respuesta a incidentes a escenarios en los que la comunicación con los atacantes no está garantizada. Además, la priorización de archivos recientes obliga a replantear la frecuencia y metodología de las copias de seguridad. Para los usuarios finales, el riesgo se traduce en una mayor probabilidad de perder información crítica en caso de ataque, sin posibilidad clara de negociación o recuperación por vías convencionales.

En cuanto a cumplimiento normativo, un incidente de estas características podría suponer una notificación obligatoria bajo el Reglamento General de Protección de Datos (GDPR) y la directiva NIS2, especialmente si los archivos cifrados contienen información personal o de infraestructuras críticas.

#### Conclusiones

‘Prinz Eugen’ representa una evolución preocupante en el panorama del ransomware, combinando técnicas de cifrado selectivo y estrategias de evasión que complican la identificación y mitigación tempranas. Las organizaciones deben reforzar sus controles, actualizar sus políticas de backup y preparar escenarios de contingencia ante la posibilidad de ataques sin nota de rescate ni canales de comunicación establecidos. La colaboración entre equipos SOC, consultores y responsables de sistemas será clave para hacer frente a este nuevo reto.

(Fuente: www.bleepingcomputer.com)