Am 11. Mai 2026 analysierte das Forschungsteam von ThreatDown eine unbekannte Verschlüsselungssoftware, die bei einem Hackerangriff auf einen seiner Kunden sichergestellt worden war. Die Ransomware, die nach dem deutschen schweren Kreuzer aus dem Zweiten Weltkrieg „Prinz Eugen“ getauft wurde, ist in Go programmiert und weist technische Merkmale auf, die sie von herkömmlichen Ransomware-Programmen unterscheiden. Ihre auffälligste Besonderheit: Sie sortiert die Dateien nach Änderungsdatum und verschlüsselt die neuesten Dateien zuerst, wobei sie gezielt die Daten ins Visier nimmt, die am ehesten gerade in Gebrauch sind. Sie hinterlässt keine Lösegeldforderung auf der Festplatte, überprüft die Entschlüsselbarkeit jeder Datei, bevor sie das Original löscht, und vernichtet sich anschließend selbst, indem sie ihren eigenen Verschlüsselungsschlüssel aus dem Speicher löscht. Bislang sind nur sehr wenige Opfer bekannt; auch wenn die Gruppe von ihrer Größe her eher klein ist, verdient der Verschlüsseler dennoch Beachtung, da er Aufschluss über neue Techniken im Bereich der Ransomware gibt.
Ein Verschlüsselungsprogramm, das zunächst die neuesten Dateien angreift
Der Verschlüsseler wurde in Go entwickelt. Seine Verschlüsselungsfunktionen sind in einem Paket namens „scorched-earth-ausfc“ zusammengefasst. Für jedes als Parameter übergebene Verzeichnis führt die Binärdatei einen rekursiven Durchlauf ohne Begrenzung der Tiefe durch. Das analysierte Exemplar definiert keine Ausschlüsse: Jede Datei, die nicht bereits die Erweiterung .prinzeugen oder das temporäre Suffix .tmp trägt, wird verschlüsselt.
Das zentrale Merkmal des Verschlüsselungsprogramms ist seine Verarbeitungsreihenfolge: Es sortiert die Dateien nach dem Datum der letzten Änderung, wobei die neuesten Dateien an erster Stelle stehen, und greift nur bei identischen Zeitstempeln auf die alphabetische Reihenfolge zurück. Diese Strategie ist bewusst gewählt. Kürzlich geänderte Dateien sind diejenigen, bei denen die Wahrscheinlichkeit am größten ist, dass sie gerade verwendet werden: geöffnete Dokumente, aktive Datenbanken, aktuelle E-Mail-Archive, Dateien laufender Projekte – und bei denen es am unwahrscheinlichsten ist, dass eine aktuelle Sicherung vorliegt. Werden diese Dateien zuerst angegriffen, erhöht dies den Druck auf das Opfer und verringert das Zeitfenster, in dem ein Eingreifen die kritischsten Daten retten könnte. Sollte die Verschlüsselung durch eine Sicherheitslösung oder einen Analysten unterbrochen werden, sind die Dateien, deren Verlust am schmerzhaftesten wäre, bereits kompromittiert.
Die Verschlüsselung erfolgt parallel mit einer Worker-Goroutine pro CPU. Für jede Datei läuft der Prozess in drei Schritten ab: Erstellung einer verschlüsselten temporären Kopie (z. B. .document.docx.prinzeugen.tmp), Umbenennung in die endgültige Form (document.docx.prinzeugen), und schließlich, sofern das Flag --delete aktiv ist, die Überprüfung, ob die verschlüsselte Datei entschlüsselbar ist, bevor das Original gelöscht wird. Diese Überprüfung ist bemerkenswert: Der Verschlüsseler zerstört nichts, was er theoretisch nicht wiederherstellen könnte, was seine Glaubwürdigkeit gegenüber dem Opfer stärkt.
Die verwendete Kryptografie ist robust: ChaCha20-Poly1305 (AEAD) mit einem 32-Byte-Hauptschlüssel, einem zufälligen IV pro Datei und einer Schlüsselableitungsfunktion (KDF) in drei Durchläufen: Argon2id, dann SHA-256, dann HKDF-SHA256. Die Verschlüsselung erfolgt in Blöcken von 1 MB mit einer SHA-256-Integritätsprüfung. Jede verschlüsselte Datei trägt einen benutzerdefinierten Header, der durch die Magic Bytes „CHV1“ identifiziert werden kann.
Keine Lösegeldforderung, eine vollständig „out-of-band“ durchgeführte Erpressung
Die analysierte Probe enthält keinerlei Funktionen zum Hinterlassen einer Lösegeldforderung. Keine Textdatei, keine HTML-Seite, keine Änderung des Hintergrundbildes. Das Opfer erhält keinerlei Anweisungen auf dem verschlüsselten System. Die Erpressung erfolgt ausschließlich über Offline-Kanäle: die E-Mail-Adressen prinzeugen@mail2tor und [.]costandardbankcc@cock sowie ein spezielles Tor-Portal.[.]li
ThreatDown stellt fest, dass das Fehlen einer Lösegeldforderung „eine Taktik ist, die man bei organisierten Ransomware-Gruppen immer häufiger beobachtet “. Damit werden zwei Ziele verfolgt: die forensischen Spuren auf dem kompromittierten System zu minimieren und die automatisierte Erkennung der Erpressungsphase zu erschweren. Dieser Trend zur Verlagerung der Erpressung auf Out-of-Band-Kanäle wird von Europol in seinem IOCTA-Bericht 2026 ausführlicher dokumentiert.
Prinz Eugen wendet doppelte Erpressung an: Verschlüsselung der Systeme und Exfiltration von Daten. Der Cyberangriff auf die Standard Bank (Südafrikas größte Bankengruppe), über den mehrere südafrikanische Medien ausführlich berichteten, ist das detaillierteste Beispiel dafür. Etwa 1,2 TB an Daten wurden entwendet, was etwa 154 Millionen Datenzeilen entspricht. Die auf 1 BTC festgesetzte Lösegeldforderung wurde von der Bank abgelehnt. Der Angreifer startete daraufhin eine Kampagne mit schrittweisen Datenveröffentlichungen auf seinem Portal, wobei die Anzahl der täglich veröffentlichten Datensätze von 5.000 auf 25.000, dann auf 50.000 und schließlich auf 100.000 stieg – bei einer angegebenen Gesamtzahl von 154 Millionen Datensätzen. Unter anderem lässt sich diese Weigerung, das Lösegeld zu zahlen, auch in einen dokumentierten globalen Trend einordnen: Im Jahr 2025 haben nur 28 % der Ransomware-Opfer das Lösegeld gezahlt.
Anti-Forensik und Selbstzerstörung
Bevor es beendet wird, ergreift die Binärdatei gezielte Maßnahmen, um ihren forensischen Fußabdruck auf ein Minimum zu reduzieren. Sie setzt den fest eingebetteten Verschlüsselungsschlüssel auf Null und löst anschließend den Garbage Collector von Go aus, um sicherzustellen, dass der Schlüssel nicht im Speicher verbleibt. Schließlich löscht sie sich selbst von der Festplatte, indem sie einen cmd.exe- Befehl mit einer Ping-Verzögerung verwendet: cmd.exe /C ping 127.0.0.1 -n 2 > nul & del /F /Q …Musicservertool.exe
Die Ping-Verzögerung gibt dem übergeordneten Prozess Zeit, sich zu beenden, bevor der Löschvorgang ausgeführt wird. Das kombinierte Ergebnis dieser drei Maßnahmen ist, dass nach der Ausführung weder der Verschlüsselungsschlüssel im Speicher wiederherstellbar ist noch die Binärdatei auf der Festplatte verbleibt. Die forensische Analyse nach einem Vorfall wird dadurch erheblich erschwert.
ROOTBOY, ein Einzelakteur mit nachverfolgbarem Werdegang
ThreatDown ordnet die Ransomware „Prinz Eugen“ einem Akteur zu, der unter dem Pseudonym ROOTBOY auf den Foren Exploit und DarkForums aktiv ist und zuvor unter dem Alias avtokz auf XSS tätig war. Der Werdegang dieses Akteurs ist seit Juli 2025 in mehreren Underground-Foren dokumentiert: Verkauf einer Vantage-Finance-Datenbank unter dem Namen avtokz, anschließend im November 2025 der Verkauf des Datenlecks 700Credit (~8,4 Millionen US-Datensätze einschließlich Sozialversicherungsnummern) unter dem Namen ROOTBOY, nachdem ein Erpressungsversuch unter der Identität GERMANIA gescheitert war.
Der Zusammenhang zwischen dieser Vorgeschichte und dem Verschlüsselungsprogramm „Prinz Eugen“ beruht auf einem konkreten Hinweis: Bei dem von den Forschern analysierten Einbruch erstellte der Angreifer ein lokales Administratorkonto mit dem Passwort „germania“ – demselben Pseudonym, das auch bei der Erpressung im Fall „700Credit“ verwendet wurde. Dies ist nach Ansicht der Forscher einer der stichhaltigsten Hinweise auf eine Verbindung zwischen der Binärdatei und dem Angreifer.
Der Studie zufolge handelt es sich wahrscheinlich um eine einzige Person, die von einer Operation zur nächsten dieselben Pseudonyme, dieselbe TOX-ID und dasselbe deutsche Thema wiederverwendet.
Erster Zugriff und Persistenz durch legitime Tools
Der von ThreatDown analysierte Einbruch begann wahrscheinlich mit kompromittierten RDP-Anmeldedaten. Sobald er sich im Netzwerk befand, lud der Angreifer den Verschlüsseler (servertool.exe) über den Chrome-Browser herunter und speicherte ihn im Ordner „Music“ des Benutzerprofils. Die Persistenz wurde durch zwei sich ergänzende Mechanismen gewährleistet: das Fernüberwachungstool RemotePC (eine legitime RMM-Software von IDrive), das zum Starten von PowerShell-Stagern und zum Bereitstellen zusätzlicher Payloads von der Adresse 212.80.7.74, sowie die manuelle Erstellung eines lokalen Administratorkontos über den Befehl „net user admin germania /add“.
Dieser Ansatz ist charakteristisch für „Living off the Land“ (LOTL): Legitime Tools werden missbraucht, um sich in den normalen Datenverkehr des Unternehmens einzufügen. Im Fall der Standard Bank, dem am besten dokumentierten Opfer, berichtet ThreatDown von einer seitlichen Bewegung durch Unternehmensanwendungen wie SharePoint, OneDrive, Power Apps, AppDynamics, Jira, Confluence, Citrix, Remedy sowie Microsoft-SQL- und Oracle-Datenbanken, mit einer Verweildauer von etwa drei Wochen vor der Datenexfiltration.
Eine kurzlebige Infrastruktur mit deutschem Bezug
Die IP-Adresse 212.80.7.74 (AS215439, Play2go International, Frankfurt) diente gleichzeitig als C2-Server, Verwaltungsoberfläche und Host für den Download der Payloads. Der DNS-Verlauf und die URL-Scan-Erfassungen zeigen drei mit dieser Adresse verbundene Domains.
Die erste, stndrdbnk.cc, zielt auf die Standard Bank ab. Es handelt sich um einen Typosquat, d. h. eine betrügerische Domain, die den Namen einer legitimen Organisation nachahmt, indem Zeichen entfernt, hinzugefügt oder ersetzt werden, damit die Adresse optisch glaubwürdig bleibt. Hier wurden die Vokale aus „standardbank“ entfernt. Diese Domain wurde am 29. März erfasst und führte zu einer Seite namens „/unlocked“, die mit einem Handels- oder Zahlungsportal kompatibel war. Sie wurde am 14. März 2026 über Porkbun registriert, ist seitdem als bösartig gemeldet worden und ihr DNS-Eintrag wurde entfernt. Die zweite Domain, g-captchafestung.sbs, die am 27. Mai über NiceNIC registriert wurde, lässt aufgrund ihres Namens auf eine mögliche ClickFix-Falle schließen, obwohl die Seite zum Zeitpunkt der Analyse lediglich ein {"ok":true} zurückgab. Die Verwendung von ClickFix bleibt unbestätigt. Die dritte Domain, festung-e.duckdns.org, ist ein dynamischer DNS-Host, der zwischen dem 23. und 30. Mai beobachtet wurde.
Zwei dieser drei Domains enthalten das Wort „Festung“ (auf Deutsch „Festung“), eine Wahl, die mit dem deutschsprachigen Thema übereinstimmt, das sich durch die gesamte Operation zieht: Der Name der Ransomware selbst, das Go-Paket „scorched-earth-ausfc“, das Passwort „germania“ und die beiden Domains mit der Endung „Festung“ bilden einen bewussten roten Faden.
Ende Mai war die Infrastruktur bereinigt worden: Das Administrationspanel war verschwunden, die Typosquatting-Domain war deaktiviert und das Forumsprofil des Betreibers war gelöscht worden. Der Betreiber baut seine Infrastruktur nach jeder Operation systematisch ab – ein Verhalten, das die Nachverfolgung erschwert, aber nur ein geringes Zeitfenster für die Aufdeckung lässt.
Indikatoren für eine Kompromittierung
Die wichtigsten Indikatoren für eine Kompromittierung im Zusammenhang mit „Prinz Eugen“ sind im Folgenden zusammengefasst.
| Indikator | Typ | Details |
|---|---|---|
212.80.7.74 | C2 / Panel / Payload | AS215439, Play2go International, Frankfurt |
stndrdbnk.cc | Domain | Typosquat Standard Bank, DNS entfernt |
g-captchafestung.sbs | Domain | Möglicher ClickFix-Köder |
festung-e.duckdns.org | Domain | Dynamisches DNS, beobachtet vom 23. bis 30. Mai |
servertool.exe | Payload | Go-Verschlüsseler |
.prinzeugen | Dateiendung | Verschlüsselte Dateien |
CHV1 | Magischer Header | Kennung der verschlüsselten Dateien |
686213cc…bcf1f4 | SHA-256 | Hash der analysierten Probe |
net user admin germania /add | Persistenz | Lokales Administratorkonto |
| RemotePC (IDrive) | RMM-Missbrauch | PowerShell-Stagers |
Der Akteur ist anhand der Pseudonyme ROOTBOY, avtokz und GERMANIA, einer gemeinsamen TOX-ID (496187…22F21), die E-Mail-Adressen prinzeugen@mail2tor[.]co und standardbankcc@cock sowie die Bitcoin-Wallet [.]libc1q2ztpcvqdaptej6uu2ywt9mrlatx6envu34rf0v. Das aktive Leak-Portal ist unter der Adresse prinzfkbjiazbrur4mjje6mntjc4vydx3iatkkzycufoylqcoo4y7pqd erreichbar; die ursprüngliche Adresse [.]onion6cudc5cqa2bjpwdhcwm2lj6dbqejjjqzeo6ipwvmbazr6cgu7vfk3dad ist derzeit offline.[.]onion
Prinz Eugen – eine Ransomware mit bescheidenem Wirkungsbereich, die jedoch aufgrund ihrer technischen Entscheidungen aufschlussreich ist
Mit fünf bekannten Opfern zum Zeitpunkt der ThreatDown-Studie hat die Ransomware „Prinz Eugen“ sicherlich nicht die Reichweite der großen Ransomware-Franchises. Das Verschlüsselungsprogramm zeichnet sich jedoch durch die Konsequenz seiner Designentscheidungen aus: Priorisierung neuerer Dateien, Fehlen einer Lösegeldforderung, Überprüfung der Entschlüsselbarkeit vor dem Löschen des Originals, Selbstzerstörung der Binärdatei. Jede technische Entscheidung dient demselben doppelten Ziel: den Druck auf das Opfer zu erhöhen und die forensischen Spuren, die den Analysten hinterlassen werden, zu minimieren.
Was „Prinz Eugen“ vor allem offenbart, ist der Werdegang eines offenbar isolierten Akteurs, ROOTBOY, der in der Lage ist, robuste kryptografische Werkzeuge, echte operative Disziplin und eine Logik der „Out-of-Band“-Erpressung zu kombinieren, die bislang mit weitaus besser strukturierten Operationen in Verbindung gebracht wurde. Bei einem vermutlich allein agierenden Akteur ist es gerade diese Diskrepanz zwischen der Raffinesse der Mittel und dem Umfang der Operation, die Beachtung verdient.
Quellen:
- ThreatDown: Prinz Eugen Ransomware: Ein tiefer Einblick in einen neuen Go-basierten Verschlüsseler
- BleepingComputer: Neue „Prinz Eugen“-Ransomware priorisiert aktuelle Dateien bei der Verschlüsselung
- Daily Maverick: Die Standard Bank entdeckt das Ausmaß des Cyberangriffs in den täglichen Datenauszügen
- Ransomware.live: PrinzEugen
