Sicherheitsforscher haben einen Ransomware-Angriff entdeckt, der darauf abzielt, die Rekrutierung bei der russischen Söldnergruppe Wagner voranzutreiben, die am vergangenen Wochenende kurzzeitig gegen den Kreml rebellierte.
Die Ransomware zielt auf Windows-PCs ab und hinterlässt einen Hinweis, der darauf hinweist, dass Opfer erwägen sollten, sich der paramilitärischen Gruppe anzuschließen. nach(Öffnet in einem neuen Fenster) an die Sicherheitsfirma Cyble.
“Stellenangebote. Dienst im PMCS Wagner. Für die Zusammenarbeit“, heißt es in der Notiz und fügt später hinzu: „Brüder, hört auf, Autorität zu tolerieren! Lasst uns gegen Shoigu in den Krieg ziehen!“ – eine Anspielung auf den Militärgeneral unter dem russischen Präsidenten Wladimir Putin.
(Quelle: Cyble)
Die Notiz ist auf Russisch verfasst, was darauf hindeutet, dass die Ransomware für Computer im Land entwickelt wurde. Cyble bemerkte den Angriff auch, nachdem eine Probe der Ransomware hochgeladen wurde VirusTotal(Öffnet in einem neuen Fenster) von einem Benutzer in Russland. Derselbe Zettel enthält eine echte Telefonnummer von Wagners Rekrutierungsbüro in Moskau sowie die Worte „Wenn Sie gegen die Beamten vorgehen wollen!“
Die Ransomware tauchte am vergangenen Wochenende auf, genau zu dem Zeitpunkt, als Wagners Anführer Jewgeni Prigoschin seinen Truppen befahl, nach Moskau zu marschieren, um Schoigu aus dem russischen Verteidigungsministerium zu entfernen. Stunden später brach Prigoschin den bewaffneten Aufstand ab und akzeptierte gleichzeitig einen Deal, der ihn faktisch nach Weißrussland verbannen würde.
Es ist nicht klar, wer die Ransomware-Variante erstellt hat. Wagner hat die Verantwortung für den Schadcode nicht übernommen. Es scheint auch, dass der Angriff mithilfe von erstellt wurde Chaos(Öffnet in einem neuen Fenster) Ransomware-Erstellungstool, das erstmals in Untergrundforen auftauchte.
Interessanterweise werden bei dem Angriff zwar verschiedene Dateien auf einem Windows-PC verschlüsselt, der abgelegte Lösegeldschein fordert jedoch keine Zahlung vom Opfer. Es sieht also so aus, als ob der Angriff Dateien auf einem infizierten PC dauerhaft zerstören kann.
Von unseren Redakteuren empfohlen
(Quelle: Any.Run)
Cyble kam zu dem Schluss: „Die Person hinter der Ransomware-Variante könnte politisch motiviert sein und die Wagner Group unterstützen.“ Allan Liska, Sicherheitsforscher bei Recorded Future, vermutet jedoch, dass die tatsächliche Absicht eine andere sein könnte.
„Die Installation einer Ransomware/Wiper-Software auf dem Computer einer Person ist eine schlechte Möglichkeit, sie zu rekrutieren“, sagte Liska in einem twittern(Öffnet in einem neuen Fenster). „Andererseits, wenn Sie eine Hacktivistengruppe sind, sagen wir eine, die in der Vergangenheit Ransomware basierend auf dem Chaos Builder verwendet hat und die Leute auf eine bestimmte Gruppe wütend machen will, ist dies eine gute Möglichkeit, dies zu tun.“
Auch wie sich die Wagner-Ransomware verbreitet, bleibt unklar. Derzeit erkennen die meisten Antivirenprogramme den Angriff jedoch als bösartig. nach(Öffnet in einem neuen Fenster) zu VirusTotal.
Gefällt Ihnen, was Sie gerade lesen?
Melden Sie sich an für SecurityWatch Newsletter mit unseren Top-Geschichten zum Thema Datenschutz und Sicherheit direkt in Ihren Posteingang.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Wenn Sie einen Newsletter abonnieren, erklären Sie sich damit einverstanden Nutzungsbedingungen Und Datenschutz-Bestimmungen. Sie können den Newsletter jederzeit abbestellen.