Threat Intelligence

Prinz Eugen

Ein Solo-Angreifer mit deutschsprachigem Nexus: Prinz Eugen verschlüsselt gezielt frische Dateien, hinterlässt keine klassische Erpresserbotschaft und kontaktiert Opfer direkt.

Kurz erklärt

Prinz Eugen ist ein seit 2025 aktiver Einzeltäter (Solo-Operator), der 2026 öffentlich bekannt wurde. Auffällig ist ein deutschsprachiger Nexus – der Betreiber tritt unter dem Handle „ROOTBOY“ auf und nutzte in seinem Werkzeug das Passwort „germania“. Statt eines RaaS-Modells arbeitet er hands-on-keyboard, missbraucht Fernwartungs-Tools (RMM) und setzt einen in Go geschriebenen Verschlüsseler ein, der bevorzugt kürzlich geänderte Dateien angreift. Eine klassische Ransom-Note fehlt; die Erpressung erfolgt out-of-band durch direkte Kontaktaufnahme.

Aktiv

Modell

Solo-Operator (kein RaaS/keine Affiliates)

Auch bekannt als

Prinz Eugen; Betreiber-Handle „ROOTBOY“ (zuvor „avtokz“)

Gegründet

Betreiber seit ca. Juli 2025 aktiv; öffentlich dokumentiert seit April 2026

Entstanden aus

Kein Rebrand bekannt; Einzeltäter mit Vorgeschichte auf Untergrundforen (XSS)

Herkunft

Mutmaßlich deutschsprachiger Betreiber (Herkunftsland unbestätigt; Namens- und Passwort-Nexus „germania“)

Zielsektoren

Branchenübergreifend; bislang zu wenige Fälle für ein klares Muster

Zielregionen

Bisher wenige, international verteilte Opfer (u. a. Südafrika); Betreiber mutmaßlich deutschsprachig

Typisches Lösegeld

Öffentlich nicht dokumentiert; Erpressung erfolgt individuell out-of-band

Opferzahl

Bislang nur wenige öffentlich bekannte Opfer (Größenordnung Einzelfälle, Stand: Juli 2026)

File Extensions

Öffentlich nicht eindeutig dokumentiert

Ransom Note

keine klassische Ransom-Note – Kontakt out-of-band

Handlungsempfehlungen im Ernstfall

✅ Sofort tun
  • Ruhe bewahren und den Vorfall als Krise behandeln – Geschäftsführung und einen Incident-Response-Dienstleister sofort einbinden.
  • Fernwartungs-Tools prüfen: aktive RMM-/Remote-Sitzungen sofort trennen und unautorisierte RMM-Software entfernen – der zentrale Einfallsweg.
  • Betroffene Systeme isolieren, aber nicht ausschalten; Zugangsdaten (v. a. Admin/RMM) zurücksetzen.
  • Vorfall dokumentieren; Meldepflichten prüfen: DSGVO (72 h), ggf. NIS2 (24 h); BSI und Polizei einbeziehen.
  • Auf direkte Kontaktaufnahme der Täter vorbereitet sein – Kommunikation nur über erfahrene IR-/Verhandlungsexperten führen.
  • 24/7-Incident-Response kontaktieren – je früher, desto begrenzbarer der Schaden.
⛔ Unbedingt vermeiden
  • Nicht vorschnell Lösegeld zahlen – keine Garantie; Zahlungen können sanktions- und strafrechtlich relevant sein.
  • RMM-/Fernwartungs-Tools nicht ungehärtet und ohne MFA betreiben – genau hier setzt der Angreifer an.
  • Nicht direkt und allein mit dem Täter verhandeln – nur über erfahrene IR-Experten.
  • Systeme nicht neu aufsetzen, bevor die Forensik gesichert ist.
  • Den Vorfall nicht verschweigen oder verzögern – Meldefristen laufen ab Kenntnisnahme.

Bekannte Angriffe

  • Standard Bank Group (Südafrika) – öffentlich genannter Fall (2026)
  • Wenige weitere Einzelopfer; erstmals öffentlich berichtet April 2026

Angriffstechniken (TTPs)

  • Initial Access / Vorgehen: Missbrauch legitimer RMM-/Fernwartungs-Software, hands-on-keyboard.
    • MITRE: T1219 (Remote Access Software), T1078 (Valid Accounts), T1486 (Data Encrypted for Impact)
  • Verschlüsselung: Go-basierter Encryptor, priorisiert kürzlich geänderte/„frische“ Dateien für maximale Wirkung bei geringem Zeitaufwand.

Technologie & Malware

Sprache: Go. Besonderheit: priorisiert kürzlich geänderte Dateien, keine klassische Ransom-Note; im Werkzeug fand sich das Passwort „germania“ (deutschsprachiger Nexus). Zugang: über legitime RMM-Tools statt eigener Malware-Loader.

Indicators of Compromise (IOCs)

  • Betreiber-Handle: ROOTBOY (zuvor avtokz auf XSS)
  • Artefakt: Passwort „germania“ im Werkzeug
  • Muster: RMM-Missbrauch, keine Ransom-Note, Verschlüsselung frischer Dateien

Was Unternehmen jetzt prüfen sollten

  • Eingesetzte RMM-/Fernwartungs-Tools inventarisieren und per Allow-Listing absichern
  • MFA auf Fernzugängen und Admin-Konten
  • Ungewöhnliche RMM-Sitzungen und Massen-Dateiänderungen alarmieren
  • Offline-Backups vorhalten

Wie Argos unterstützt

Das Cyber Defense Center erkennt den Missbrauch legitimer Fernwartungs-Tools und ungewöhnliche Verschlüsselungsaktivität; Argos Incident Response unterstützt bei Eindämmung und der direkten Erpressungskommunikation.