Sicherheitsexperten von "Cyble" und "PC Risk" machten kürzlich auf eine neuartige Ransomware aufmerksam. Diese soll "Wagner" heißen und eine Abwandlung der bekannten "Chaos"-Erpresser-Software sein, die seit rund zwei Jahren ihr Unwesen treibt. "Wagner" hat allerdings einen entscheidenden Unterschied: Statt wie üblich um die Zahlung einer bestimmten Geldsumme zu bitten, fordern die Entwickler hinter Wagner ihre Opfer auf, der paramilitärischen Organisation von Jewgeni Prigoschin beizutreten.
Die Wagner-Truppen richten sich gegen die Regierung in Moskau – Chronik eines abgeblasenen Aufstandes
Das Vorgehen der Software ist bekannt. Einmal auf dem Rechner angekommen, verschlüsselt sie sämtliche Dateien auf dem primären Laufwerk. Dabei werden alle betroffenen Dateien mit dem Suffix ".Wagner" ergänzt. In jedem Ordner, in dem sich verschlüsselte Objekte befinden, legt die Ransomware anschließend eine Textdatei an, die sich mit Bordmitteln öffnen lässt.
Erpresser-Virus richtet sich an russische Bürger
An dieser Stelle wird es etwas ungewöhnlich, denn die enthaltene Nachricht ist auf russisch und richtet sich offenbar vor allem an russische Bürger. Das ist deshalb bemerkenswert, da besonders Russen – oder Menschen, deren Systemsprache auf Russisch eingestellt ist – von vielen Ransomware-Angriffen ausgenommen sind. Viele Hackergruppierungen, die von dort stammen, verschonen die eigenen Landsleute mit ihren Erpressungsversuchen. Hier ist es offenbar anders.
Die übersetzte Nachricht der Software lautet wie folgt: "Offizieller Wagner PMCs Einstellungsvirus. Offene Stellen. Dienst in den PMCs Wagner. Für die Zusammenarbeit: Der Kanal ist nicht für Hetze, Überredung, Anwerbung oder sonstige Beteiligung von Personen an der Begehung illegaler Handlungen bestimmt. Brüder, hört auf, Macht zu tolerieren! Wir ziehen in den Krieg gegen Schoigu. Grüße von Prigoschin!"
Ebenfalls enthalten sind zwei russische Telefonnummern, die bereits in der Vergangenheit bei der Anwerbung neuer Wagner-Mitglieder genannt worden sind. Außerdem gibt es einen Link zu einer Telegram-Gruppe der PMC.
Ursprung unbekannt, vielleicht ein Scherz
"Cyble" betont, dass die paramilitärische Organisation sich bisher nicht zu der Ransomware bekannt hat und man daher nicht wisse, von wem sie stammt. Als Quelle konnte allerdings Russland identifiziert werden, von wo aus die Ransomware auf den Google-Dienst "Virustotal" hochgeladen wurde.
Insgesamt macht die Software einen merkwürdigen Eindruck – denn sollte sich jemand tatsächlich damit infizieren, enthält die angehängte Datei keinerlei Hinweise, an wen man sich wenden muss, um die betroffenen Dateien wieder entschlüsseln zu können. Im Normalfall ist das aber die Grundlage der Erpresser-Software, da die Verschlüsselung sonst gar keinen Sinn hätte.
Der Sicherheitsexperte Brett Callow äußerte sich auf Twitter kritisch gegenüber diesem "Wagner-Virus". Er schrieb: "Soweit ich das sehe gibt es keine Beweise dafür, dass die Wagner-Ransomware tatsächlich in Russland oder irgendwo anders eingesetzt wurde. Alles, was wir haben, ist ein Beispiel, das jemand - vielleicht dieselbe Person, die es erstellt hat - auf 'Virustotal' hochgeladen hat. Möglicherweise nur zum Spaß."
