Noul ransomware care atacă mai întâi cele mai importante fișiere: Prinz Eugen nu lasă nici măcar un mesaj de răscumpărare
' fill='%23FBBC05' d='M0 37V11l17 13z'/%3e%3cpath clip-path='url(%23b)' fill='%23EA4335' d='M0 11l17 13 7-6.1L48 14V0H0z'/%3e%3cpath clip-path='url(%23b)' fill='%2334A853' d='M0 37l30-23 7.9 1L48 0v48H0z'/%3e%3cpath clip-path='url(%23b)' fill='%234285F4' d='M48 48L17 24l-4-3 35-10z'/%3e%3c/svg%3e){kind=small}
:format(webp)/https://playtech.ro/wp-content/uploads/2025/11/experti-siguranta-cibernetica-acuzati-ransomware.jpg)
Un nou ransomware numit Prinz Eugen începe să atragă atenția specialiștilor în securitate cibernetică printr-o tactică menită să producă haos cât mai repede într-o companie. În loc să cripteze fișierele într-o ordine aleatorie, malware-ul caută cu prioritate documentele modificate recent, adică exact acele date care au cele mai mari șanse să fie încă folosite în activitatea de zi cu zi.
Strategia are o logică simplă și periculoasă. Fișierele actualizate recent pot include contracte, facturi, rapoarte, baze de date, proiecte în lucru sau documente interne de care depinde funcționarea unei organizații, spun specialiștii. Dacă acestea devin inaccesibile primele, presiunea asupra victimei crește imediat, iar atacatorii speră că șansele de plată a răscumpărării devin mai mari.
Prinz Eugen are și o particularitate care îl face mai greu de observat: nu lasă în urmă clasica notă de răscumpărare. Victima poate descoperi pur și simplu că fișierele nu se mai deschid, fără instrucțiuni clare pe desktop și fără un document text care să explice ce s-a întâmplat.
Cum funcționează atacul care lovește întâi datele active
Cercetătorii care au analizat Prinz Eugen spun că operațiunea pare să fie condusă manual, nu printr-o campanie complet automatizată. Atacatorii ar obține acces inițial prin credențiale RDP furate, apoi folosesc instrumente legitime de administrare de la distanță și funcții deja existente în Windows pentru a se deplasa prin rețea fără să atragă imediat atenția.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1748332487/0c349248cbc0e6abc1580e900d6756da-t.jpg)
Într-un incident analizat, atacatorii au folosit RemotePC, un program legitim de administrare la distanță, și au creat un cont de administrator ascuns pentru a păstra accesul la rețea. Este o tactică tot mai întâlnită în atacurile moderne: în loc să se bazeze exclusiv pe malware evident, infractorii folosesc instrumente normale, pe care multe companii le au deja instalate sau le permit în infrastructură.
După ce ajunge pe sistem, ransomware-ul scanează directoarele fără limită de adâncime și criptează aproape toate fișierele găsite. Documentele sunt procesate în funcție de data ultimei modificări: cele mai recente intră primele în vizor. Atunci când mai multe fișiere au aceeași dată și oră, malware-ul le selectează în ordine alfabetică.
Această metodă nu este doar o alegere tehnică. Este construită pentru a bloca rapid activitatea curentă a unei organizații. Un backup mai vechi poate ajuta la recuperare, însă un fișier editat în ultimele zile sau ore poate conține informații care nu există în altă parte. Exact această pierdere a datelor recente face atacul deosebit de costisitor, chiar și pentru firmele care au copii de siguranță.
:format(webp)/https://playtech.ro/wp-content/uploads/2025/11/openAI-hacker-316x158.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Morris-calculator-din-anii-90-316x158.jpg)
De ce lipsa notei de răscumpărare este un semnal periculos
În mod normal, un atac ransomware lasă un fișier text cu instrucțiuni de plată, o adresă de contact și o amenințare privind publicarea datelor furate. Prinz Eugen nu face asta. Malware-ul nu schimbă imaginea de fundal, nu afișează un mesaj pe ecran și nu lasă un document care să spună victimei ce trebuie să facă mai departe.
Lipsa unei note de răscumpărare are un rol important în ascunderea atacului. Multe soluții de securitate caută comportamente asociate cu ransomware-ul, inclusiv apariția bruscă a unor fișiere cu nume repetate în sute sau mii de directoare. Dacă nu există acel mesaj, unele alerte automate pot întârzia, iar atacatorii câștigă timp.
Comunicarea cu victimele este mutată în afara sistemului compromis, prin e-mail, telefon sau portaluri dedicate de pe dark web. Astfel, atacatorii reduc urmele digitale pe care echipele de securitate le pot analiza ulterior. Este o diferență importantă față de ransomware-ul clasic, unde atacul devine imediat evident printr-un mesaj afișat pe calculator.
Prinz Eugen folosește algoritmi moderni de criptare și încearcă să elimine cheia din memorie după finalizarea procesului. Malware-ul se poate șterge singur de pe disc, ceea ce complică investigația. Pentru compania atacată, acest lucru poate însemna că primele semne apar abia când angajații observă că documentele esențiale nu mai pot fi accesate.
Ce pot face companiile pentru a reduce riscul
Prinz Eugen pare să vizeze organizații, nu utilizatori obișnuiți, însă lecțiile sunt valabile pentru orice firmă care permite acces la distanță în rețeaua internă. Primul punct de verificat este RDP-ul. Accesul la distanță nu ar trebui să fie expus direct pe internet fără autentificare multifactor, parole unice și reguli clare privind cine îl poate folosi.
Este important și să verifici ce aplicații de administrare la distanță sunt instalate în companie. Programe precum RemotePC, TeamViewer, AnyDesk sau alte soluții similare pot fi utile pentru suport tehnic, dar devin riscante când sunt instalate fără control sau când nu sunt monitorizate. Un software legitim apărut brusc pe un server ori pe un calculator care nu avea nevoie de el trebuie investigat rapid.
Backupurile rămân una dintre cele mai bune metode de apărare, însă nu este suficient să existe. Ele trebuie păstrate separat de rețeaua principală, testate periodic și protejate astfel încât un atacator să nu le poată șterge sau cripta odată cu restul datelor. O copie de siguranță care nu poate fi restaurată rapid nu ajută prea mult în primele ore după un incident.
În final, atacul Prinz Eugen arată că ransomware-ul devine tot mai atent la ceea ce contează cu adevărat pentru victimă. Nu mai este vorba doar despre blocarea unor fișiere, ci despre alegerea exactă a datelor care pot opri o companie din activitate. Iar când nici măcar nu primești un mesaj de răscumpărare, timpul pierdut până înțelegi ce se întâmplă poate deveni una dintre cele mai mari probleme.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1667480684/f357d628bf5dbc7132a56fe409a71100-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737978465/cb53cc789f9dc99c375bd558eef50b1e-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737972417/6495c8d37c2c8c27db014e4a336953c1-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1646818613/642af41f1978ad6c1363e94ec649a4eb-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1683783849/6e2080a1dd08b8cf7dec3402698616fe-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/04/1610191967/3e1e9c8604d18a7adf9a19a95f891678-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778138107/e7dd3cd469ecd9dbb04900861172a542-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778137329/f0f751b66c8275907d38709f45ea6f0d-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Lege-noua-pentru-constructiile-ridicate-pe-terenuri-agricole.-Cum-ar-putea-intra-in-legalitate.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/01/polymarket-blocat-in-romania.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/profimedia-0313214170.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/profimedia-1111423260.jpg)