Mehrere russische Unternehmen wurden Opfer eines Ransomware-Angriffs (öffnet sich in einem neuen Tab), bei dem Tools zum Einsatz kamen, die ursprünglich von einem russischen Bedrohungsakteur entwickelt wurden. Die Angreifer, die sich zu den Anschlägen bekennen, geben an, dass sie dies als Vergeltung für die Invasion in der Ukraine tun.
Als Russland vor fast zwei Monaten zum ersten Mal die Ukraine angriff, gaben die Betreiber der Conti-Ransomware eine Erklärung heraus, in der es hieß, dass jeder, der sich gegen Russland oder russische Unternehmen stellt, mit ihrem Zorn konfrontiert wird.
Obwohl sie die Aussage schnell übernahmen (nach einem großen Aufschrei ihrer Auftragnehmer, Partner und Benutzer), nahm es ein ukrainischer Hacker mit der Gruppe auf und ließ mehrere Versionen der Ransomware durchsickern.
Hochkarätige Opfer
Das Leck ermöglichte es anderen Bedrohungsakteuren, ihre eigenen Versionen der Malware zu erstellen (öffnet sich in einem neuen Tab). Und jetzt nutzt eine Gruppe, die sich NB65 nennt, Conti-Stämme, um russische Ziele anzugreifen.
Laut einem Bericht von BleepingComputer wurden im letzten Monat der Dokumentenmanagement-Betreiber Tensor, die russische Raumfahrtagentur Roskosmos und VGTRK, der russische öffentlich-rechtliche Fernseh- und Radiosender, kompromittiert.
Nach dem Verstoß gegen VGTRK habe die Gruppe 786,2 GB Daten gestohlen und durchsickern lassen, darunter 900.000 E-Mails und 4.000 Dateien, hieß es.
Die Angegriffenen erhalten diese Nachricht:
„Wir beobachten sehr genau. Ihr Präsident hätte keine Kriegsverbrechen begehen dürfen. Wenn Sie einen Schuldigen für Ihre aktuelle Situation suchen, sind Sie bei Wladimir Putin genau richtig.“
Im Gespräch mit Bleeping Computer sagte ein NB65-Vertreter, dass der Verschlüsseler auf dem ersten durchgesickerten Conti-Quellcode basierte, aber für jedes Opfer modifiziert wurde, um bekannte Entschlüsseler unbrauchbar zu machen.
„Es wurde geändert, sodass nicht alle Versionen des Conti-Entschlüsselers funktionieren. Jede Implementierung generiert einen zufälligen Schlüssel basierend auf einigen Variablen, die wir für jedes Ziel ändern“, sagte NB65 gegenüber BleepingComputer. „Es gibt wirklich keine Möglichkeit, es herauszufinden, ohne uns zu kontaktieren.“
NB65 sagt, keines seiner Opfer habe Kontakt gehabt.
Über BleepingComputer (Wird in einem neuen Tab geöffnet)