Ερευνητές ασφαλείας ανακάλυψαν μια επίθεση ransomware που προσπαθεί να στρατολογήσει μέλη για τη ρωσική μισθοφορική ομάδα Wagner, η οποία επαναστάτησε για λίγο κατά του Κρεμλίνου το περασμένο Σαββατοκύριακο.
Δείτε επίσης: Η νέα τεχνική process injection Mockingjay αποφεύγει την ανίχνευση EDR
Το ransomware έχει σχεδιαστεί για να στοχεύει υπολογιστές με Windows και αφήνει ένα σημείωμα που υπονοεί ότι τα θύματα θα πρέπει να εξετάσουν το ενδεχόμενο να ενταχθούν στην παραστρατιωτική ομάδα, σύμφωνα με την εταιρεία ασφαλείας Cyble.
«Job opening. Service in the PMCS Wagner. For cooperation», αναφέρει το σημείωμα, προσθέτοντας αργότερα: «Brothers, stop tolerating authority! Let’s go to war against Shoigu!»—αναφορά στον στρατιωτικό στρατηγό υπό τον Ρώσο πρόεδρο Βλαντιμίρ Πούτιν.
Το σημείωμα είναι γραμμένο στα ρωσικά, γεγονός που υποδηλώνει ότι το ransomware δημιουργήθηκε για να στοχεύει υπολογιστές στη χώρα. Η Cyble παρατήρησε επίσης την επίθεση μετά τη μεταφόρτωση ενός δείγματος του ransomware στο VirusTotal από έναν χρήστη στη Ρωσία. Το ίδιο σημείωμα περιλαμβάνει έναν πραγματικό αριθμό τηλεφώνου για τα γραφεία στρατολόγησης της Wagner στη Μόσχα, συνοδευόμενο από την φράση “if you want to go against the officials!”
Δείτε επίσης: Επιθέσεις MOVEit: Η Siemens Energy επιβεβαίωσε παραβίαση δεδομένων
Το ransomware εμφανίστηκε το περασμένο Σαββατοκύριακο ακριβώς τη στιγμή που ο Yevgeny Prigozhin, ο ηγέτης του Wagner, διέταξε τα στρατεύματά του να πορευτούν προς τη Μόσχα σε μια προσπάθεια να απομακρύνει τον Shoigu από το ρωσικό υπουργείο Άμυνας. Λίγες ώρες αργότερα, ο Prigozhin ματαίωσε την ένοπλη εξέγερση, αποδεχόμενος παράλληλα μια συμφωνία που ουσιαστικά θα τον εξόριζε στη Λευκορωσία.
Δεν είναι σαφές ποιος δημιούργησε το στέλεχος ransomware. Η Wagner δεν έχει αναλάβει την ευθύνη για τον κακόβουλο κώδικα. Επιπλέον, φαίνεται ότι η επίθεση δημιουργήθηκε χρησιμοποιώντας το εργαλείο δημιουργίας ransomware Chaos, το οποίο εμφανίστηκε για πρώτη φορά σε dark forums.
Ενδιαφέρον παρουσιάζει το γεγονός ότι, ενώ η επίθεση κρυπτογραφεί διάφορα αρχεία σε έναν υπολογιστή με Windows, το σημείωμα με τα λύτρα δεν απαιτεί από το θύμα να πληρώσει. Έτσι, φαίνεται ότι η επίθεση μπορεί να καταστρέψει μόνιμα τα αρχεία σε έναν μολυσμένο υπολογιστή.
Η Cyble κατέληξε στο συμπέρασμα: “το άτομο που βρίσκεται πίσω από το στέλεχος ransomware θα μπορούσε να έχει πολιτικά κίνητρα και να υποστηρίζει την ομάδα Wagner”. Ωστόσο, ο Allan Liska, ερευνητής ασφαλείας της Recorded Future, υποψιάζεται ότι η πραγματική πρόθεση μπορεί να είναι διαφορετική.
“Η εγκατάσταση ransomware ή ενός wiper στο μηχάνημα κάποιου είναι ένας κακός τρόπος για να τον στρατολογήσετε”, ανέφερε ο Liska σε ένα tweet. “Από την άλλη πλευρά, αν είστε μια ομάδα χακτιβιστών – ας πούμε μια που έχει χρησιμοποιήσει ransomware βασισμένο στον Chaos Builder στο παρελθόν – που επιθυμεί να εξοργίσει τον κόσμο με μια συγκεκριμένη ομάδα, αυτός είναι ένας αποτελεσματικός τρόπος για να το κάνει”.
Δείτε επίσης: Η κατάργηση της EncroChat οδήγησε σε 6.600 συλλήψεις εγκληματιών
Ο τρόπος εξάπλωσης του ransomware Wagner παραμένει επίσης ασαφής. Ωστόσο, επί του παρόντος, τα περισσότερα προγράμματα προστασίας από ιούς ανιχνεύουν την επίθεση ως κακόβουλη, σύμφωνα με το VirusTotal.
Πηγή πληροφοριών: pcmag.com
