信息化觀察網(wǎng)

本文來自微信公眾號(hào)“嘶吼專業(yè)版”，作者/~陽光~。

安全研究人員最近發(fā)現(xiàn)了一次勒索軟件攻擊，發(fā)現(xiàn)了攻擊者的一個(gè)奇特的動(dòng)機(jī)。這個(gè)勒索軟件攻擊活動(dòng)背后的攻擊者似乎正在試圖促進(jìn)這個(gè)被稱為瓦格納的俄羅斯雇傭兵組織的招募活動(dòng)。

這里值得注意的是，瓦格納在上周曾對(duì)克里姆林宮進(jìn)行過一次短暫的反叛。該勒索軟件曾經(jīng)專門針對(duì)Windows的個(gè)人電腦進(jìn)行攻擊，這其中包含了一個(gè)說明文件，巧妙地建議受害者考慮加入該準(zhǔn)軍事組織。

這一發(fā)現(xiàn)是由網(wǎng)絡(luò)安全公司Cyble做出的。此外，安全專家還發(fā)現(xiàn)，鼓勵(lì)為俄羅斯雇傭兵組織瓦格納招募人員的勒索軟件說明是用俄語寫的。這表明，該勒索軟件的攻擊活動(dòng)主要是針對(duì)該國境內(nèi)的計(jì)算機(jī)進(jìn)行攻擊。

Cyble檢測(cè)到一個(gè)位于俄羅斯的用戶上傳到VirusTotal的勒索軟件樣本后發(fā)現(xiàn)了此次攻擊。該勒索軟件說明中還包含了一個(gè)瓦格納在莫斯科招聘辦公室的電話號(hào)碼，并且還有挑釁性的短語："如果你想與官員作對(duì)！"。在過去的一周，與俄羅斯軍事團(tuán)體瓦格納的軍事活動(dòng)同時(shí)展開的還有一個(gè)重大網(wǎng)絡(luò)攻擊活動(dòng)。

在此期間，瓦格納的領(lǐng)導(dǎo)人葉夫根尼-普里戈津發(fā)布命令，要求他的部隊(duì)向莫斯科進(jìn)軍，目的是將紹伊古從俄羅斯國防部趕走。然而，普里戈津突然取消了武裝起義，并且接受了一項(xiàng)事實(shí)上將他流放到白俄羅斯的軍事協(xié)議。

有趣的是，在這些事件中，還出現(xiàn)了一個(gè)勒索軟件事件，這引起了安全研究員對(duì)該軟件創(chuàng)造者的質(zhì)疑。值得注意的是，瓦格納并沒有聲稱對(duì)該惡意攻擊負(fù)責(zé)。調(diào)查還表明，該勒索軟件的攻擊是使用Chaos勒索軟件構(gòu)建工具制作的，該工具最初出現(xiàn)在地下論壇。

此次攻擊背后的確切來源和動(dòng)機(jī)仍然還不確定。雖然有人猜測(cè)該勒索軟件背后的動(dòng)機(jī)，認(rèn)為是支持瓦格納集團(tuán)的政治攻擊行為。

但來自Recorded Future的安全研究員Allan Liska提供了另一種觀點(diǎn)。Liska懷疑，此次攻擊背后的真正意圖可能與最初的假設(shè)不同。在某人的機(jī)器上安裝一個(gè)勒索軟件這種方式是招募他們的一個(gè)非常糟糕的方式。另一方面，如果你是一個(gè)黑客組織，比如說過去曾使用過基于混淆構(gòu)建器的勒索軟件，想讓人們對(duì)某個(gè)組織感到憤怒，這是一個(gè)很好的方法，Liska在一條推文中說。

參考及來源：https://www.cysecurity.news/2023/07/wagner-ransomware-targets-computers-in.html