El ransomware deja caer una nota que promociona al grupo paramilitar y añade: «Vamos a la guerra contra Shoigu», en referencia al general del presidente ruso Vladimir Putin.
Investigadores de seguridad han descubierto un ataque de ransomware que intenta impulsar el reclutamiento del grupo mercenario ruso Wagner, que se rebeló brevemente contra el Kremlin el pasado fin de semana.
Según la empresa de seguridad Cyble, el ransomware está diseñado para ordenadores con Windows y deja caer una nota en la que se da a entender que las víctimas deberían considerar la posibilidad de unirse al grupo paramilitar.
«Oferta de empleo. Servicio en el PMCS Wagner. Por cooperación», dice la nota, añadiendo después: «¡Hermanos, dejad de tolerar a la autoridad! ¡Vamos a la guerra contra Shoigu!», en referencia al general militar del presidente ruso Vladimir Putin.
La nota está escrita en ruso, lo que sugiere que el ransomware se creó para atacar ordenadores del país. Cyble también se percató del ataque después de que una muestra del ransomware fuera subida a VirusTotal por un usuario de Rusia. La misma nota incluye un número de teléfono real de las oficinas de contratación de Wagner en Moscú junto a las palabras «¡si quieres ir contra los funcionarios!».
El ransomware apareció el pasado fin de semana justo cuando el líder de Wagner, Yevgeny Prigozhin, ordenaba a sus tropas marchar hacia Moscú en un intento de destituir a Shoigu del Ministerio de Defensa ruso. Horas después, Prigozhin suspendió la revuelta armada y aceptó un acuerdo que le exiliará a Bielorrusia.
No está claro quién creó la cepa de ransomware. Wagner no ha reivindicado la autoría del código malicioso. También parece que el ataque se creó utilizando la herramienta de creación de ransomware Chaos, que apareció por primera vez en foros clandestinos.
Curiosamente, aunque el ataque encripta varios archivos de un PC con Windows, la nota de rescate no exige a la víctima que pague. Así que parece que el ataque puede arruinar permanentemente los archivos de un PC infectado.
Cyble concluyó: «El individuo que está detrás de la cepa de ransomware podría tener motivaciones políticas y apoyar al Grupo Wagner». Sin embargo, Allan Liska, investigador de seguridad de Recorded Future, sospecha que la intención real puede ser otra.
«Instalar un ransomware/wiper en la máquina de alguien es una mala forma de reclutarlo», dijo Liska en un tuit. «Por otro lado, si eres un grupo hacktivista, digamos uno que ha utilizado ransomware basado en el Chaos builder en el pasado, que quiere conseguir que la gente se enfade con un determinado grupo, esta es una buena manera de hacerlo.»
Tampoco está claro cómo se propaga el ransomware Wagner. Pero actualmente, la mayoría de los programas antivirus detectan el ataque como malicioso, según VirusTotal.