Badacze bezpieczeństwa wykryli atak ransomware, który próbuje zmobilizować rosyjską grupę najemników Wagner, która na krótko zbuntowała się przeciwko Kremlowi w miniony weekend.

Oprogramowanie ransomware jest przeznaczone do atakowania komputerów z systemem Windows i upuszcza notatkę sugerującą, że ofiary powinny rozważyć dołączenie do grupy paramilitarnej, zgodnie z(Otwiera się w nowym oknie) firmie ochroniarskiej Cyble.

„Otwarcie pracy. Służba w PMCS Wagner. Za współpracę” — czytamy w notatce, po czym dodano: „Bracia, przestańcie tolerować władzę! Chodźmy na wojnę z Szojgu!” – nawiązanie do generała wojskowego za prezydenta Rosji Władimira Putina.

(Źródło: cykl)

Notatka jest napisana w języku rosyjskim, co sugeruje, że oprogramowanie ransomware zostało stworzone w celu ataku na komputery w kraju. Cyble zauważyła również atak po przesłaniu próbki oprogramowania ransomware do VirusTotal(Otwiera się w nowym oknie) od użytkownika w Rosji. Ta sama notatka zawiera prawdziwy numer telefonu do biur rekrutacyjnych Wagnera w Moskwie obok słów „jeśli chcesz wystąpić przeciwko urzędnikom!”

Oprogramowanie ransomware pojawiło się w miniony weekend, gdy przywódca Wagnera, Jewgienij Prigożyn, rozkazał swoim żołnierzom maszerować do Moskwy w celu usunięcia Szojgu z rosyjskiego Ministerstwa Obrony. Kilka godzin później Prigożyn odwołał zbrojną rewoltę, akceptując jednocześnie umowę, która w praktyce oznacza zesłanie go na Białoruś.

Nie jest jasne, kto stworzył odmianę oprogramowania ransomware. Wagner nie przyznał się do złośliwego kodu. Wydaje się również, że atak został stworzony przy użyciu Chaosu(Otwiera się w nowym oknie) narzędzie do tworzenia ransomware, które po raz pierwszy pojawiło się na podziemnych forach.

Co ciekawe, podczas gdy atak zaszyfruje różne pliki na komputerze z systemem Windows, upuszczony list z żądaniem okupu nie wymaga od ofiary zapłaty. Wygląda więc na to, że atak może trwale zniszczyć pliki na zainfekowanym komputerze.

(Źródło: Any.Run)

Cyble podsumował: „Osoba stojąca za odmianą oprogramowania ransomware może mieć motywację polityczną i wspierać Grupę Wagner”. Jednak Allan Liska, badacz bezpieczeństwa w Recorded Future, podejrzewa, że ​​rzeczywiste intencje mogą być inne.

„Zainstalowanie oprogramowania ransomware/wycieraczki na czyjejś maszynie to kiepski sposób na rekrutację” — powiedziała Liska w ćwierkać(Otwiera się w nowym oknie). „Z drugiej strony, jeśli jesteś grupą haktywistów, powiedzmy taką, która w przeszłości używała oprogramowania ransomware opartego na kreatorze Chaosu, która chce rozwścieczyć ludzi na określoną grupę, jest to dobry sposób na zrobienie tego”.

Sposób rozprzestrzeniania się oprogramowania ransomware Wagner również pozostaje niejasny. Jednak obecnie większość programów antywirusowych wykrywa atak jako złośliwy(Otwiera się w nowym oknie) do VirusTotal.