Wagner Group, garip bir şekilde, yeni bir fidye yazılımı kampanyasında Rusya’ya saldırdığını iddia etti. Wagner Grubu, yeni bir fidye yazılımı türü olarak adlandırılan şeyi kullanarak, Rus paralı asker grubuna daha fazla insan katma girişimi gibi görünen Rusya’ya saldırdı.
Araştırmacılara göre, Kaos fidye yazılımının bu türü, kurbanları şu anda ülke yönetimiyle anlaşmazlığa düşen Rus paralı asker grubu PMC Wagner’e katılmaya çağıran bir fidye notu bıraktı.
Ancak tehdit araştırmacısı Brett Callow, bu “Wagner fidye yazılımının” gerçekten Rusya’da mı yoksa başka bir yerde mi konuşlandırıldığından şüpheleniyor.
Resmi olarak PMC Wagner olarak bilinen Wagner Group, Rusya yasalarının ötesinde faaliyet gösteren, Rus devlet destekli bir paralı asker grubudur..
Wagner Group Rusya’ya saldırıyor: Cyble tarafından sağlanan içgörüler
Araştırmaları sırasında Cyble’daki araştırmacılar, kötü şöhretli bir paramiliter örgüt olan Wagner Group’un Rusya’daki son fidye yazılımı saldırılarının sorumluluğunu üstlenmediğini keşfettiler.
Bu, gerçek failler ve onların Rus bilgisayarlarını hedef alma nedenleri hakkında spekülasyonlara yol açtı.
Cyble’s Research and Intelligence Labs (CRIL), bir blog gönderisinde saldırılarda kullanılan fidye yazılımının Chaos fidye yazılımının bir çeşidi olduğunu belirtti.
“Bu fidye yazılımı, Chaos fidye yazılımının bir çeşididir. Analizimiz sırasında, bu fidye yazılımı tarafından bırakılan fidye notunun para talep etmek yerine kullanıcıları PMC Wagner’e katılmaya teşvik ettiğini gördük” dedi.
“Fidye notu, Shoigu’ya savaş açma çağrısını içeriyor. Sergei Kuzhugetovich Shoigu, 2012’den beri Rusya Savunma Bakanı olarak görev yapan önde gelen bir Rus politikacı ve subaydır.”
Fidye notunun içeriği, aşağıda gösterildiği gibi WAGNER GROUP Telegram kanalının biyografi bölümünde bulunan bilgilerle uyumludur.
Ayrıca CRIL tarafından analiz edilen fidye yazılımı örneği Rusya’dan VirusTotal’a gönderildi ve fidye notunun kendisi Rusça yazılmıştı. Bu bulgular, bu fidye yazılımı kampanyasının birincil hedeflerinin Rus netizenleri olduğunu gösteriyor.
CRIL, Chaos fidye yazılımının bir çeşidine dayanan bu kötü amaçlı yazılım türü hakkında rapor verdi. Kapsamlı raporları, Wagner Group’un PMC Wagner’i tanıtmanın bir yolu olarak Rusya’ya yaptığı saldırının altını çiziyor.
Ek olarak Cyble, fidye notunun Wagner’in Moskova’daki işe alım ofislerinin telefon numarasını ve “Yetkililere karşı çıkmak istiyorsanız!”
Ancak Emisoft’ta Tehdit İstihbaratı Analisti olan Brett Callow, bunun sahte bir kampanya olduğundan şüpheleniyor.
“AFAIK, #Wagner #fidye yazılımının gerçekten Rusya’da veya bu nedenle başka herhangi bir yerde konuşlandırıldığına dair hiçbir kanıt yok. Elimizdeki tek şey, birisinin – belki de onu yaratan aynı kişinin – VT’ye yüklediği, muhtemelen sadece lulz için bir örnek. tweet attı.
Wagner Group Rusya’ya Saldırıyor: İlgili Kötü Amaçlı Yazılımları Ortaya Çıkarma
Wagner Grubu’nun Rusya’da yeni bir fidye yazılımı kampanyası aracılığıyla gerçekleştirdiği iddia edilen saldırılar, bunların etkileri ve sonuçlarıyla ilgili önemli endişelere yol açtı.
Bu saldırılar yalnızca Rusya’daki bilgisayar sistemlerinin güvenliğini ve bütünlüğünü tehlikeye atmakla kalmıyor, aynı zamanda tartışmalı paramiliter örgüt için rahatsız edici bir işe alım aracı işlevi görüyor.
Saldırıların arkasındaki tehdit aktörü, yalnızca kurbanların dosyalarını şifrelemekle kalmayıp aynı zamanda paramiliter grubun Kremlin’e karşı son isyanının ardından onları Wagner Grubu’na katılmaya zorlayan yeni bir fidye yazılımı türü kullanıyor.
PC Risk tarafından yapılan araştırmaya göre, Wagner kötü amaçlı yazılımı dosyaları şifreliyor ve kilitli her dosyaya bir “.WAGNER” uzantısı ekleyerek fidye talep ediyor. Fidye notu, Wagner Grubu’nun Rus hükümetine karşı isyanını vurguluyor.
Fidye yazılımı çalıştırıldıktan sonra davranışını kontrol etmek için çeşitli değişkenler başlatır. Çok önemli bir görev, şu anda çalışan işlemlerin listesini ve adlarını karşılaştırarak mevcut fidye yazılımı örneklerini kontrol etmeyi içerir. Bir eşleşme bulunursa, fidye yazılımı birden çok örneğin aynı anda yürütülmesini önlemek için sonlandırılır.
Ardından, fidye yazılımı “checkSleep” değişkenini doğrular. Doğru olarak ayarlanırsa, fidye yazılımı belirli bir klasörden (%APPDATA%) çalışıp çalışmadığını onaylar. Değilse, saldırgan tarafından belirlenen belirli bir süre boyunca uyku moduna girer.
Ardından, fidye yazılımı, saldırgan tarafından tanımlanan belirli bayrak değişkenlerine dayalı olarak kalıcılık elde etmeye ve ayrıcalıkları yükseltmeye çalışır. “checkAdminPrivilage” bayrağı doğruysa, fidye yazılımı sistemin başlangıç klasöründe kendisinin “svchost.exe” adlı bir kopyasını oluşturarak kalıcılık ve yükseltilmiş ayrıcalıklar arar.
Daha sonra geçerli örneği sonlandırır ve kopyalanan dosyayı yükseltilmiş ayrıcalıklarla yinelemeli olarak yürütür.
“checkAdminPrivilage” değerinin yanlış olduğu durumlarda fidye yazılımı “checkCopyRoaming” değişkeninin durumunu kontrol eder. Doğruysa, fidye yazılımı kalıcılık için yalnızca ikili dosyasını başlangıç klasörüne ekler.
Ayrıca fidye yazılımı, “checkStartupFolder” değişkeninin değerine bağlı olarak ek bir kalıcılık mekanizması içerir. True olarak ayarlandığında, fidye yazılımı başlangıç klasöründe konumunu gösteren bir kısayol dosyası oluşturur. Sonuç olarak, fidye yazılımı sistem başlatıldığında otomatik olarak yürütülür.
Medya Sorumluluk Reddi: Bu rapor, çeşitli yollarla elde edilen şirket içi ve şirket dışı araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar, bu bilgilere güvendikleri için tüm sorumluluğu üstlenirler. Cyber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları için hiçbir sorumluluk kabul etmez.