- CyberVolk surgiu com um modelo renovado de ransomware como serviço, mas sua criptografia está fundamentalmente quebrada
- A criptografia hard-key do VolkLocker recupera dados das vítimas gratuitamente, prejudicando a operação
- O grupo opera através do Telegram e mistura hacktivismo com atividades de ransomware com motivação financeira
CyberVolk, um grupo hacktivista russo que esteve inativo durante a maior parte de 2025, está de volta, oferecendo uma versão atualizada de seu modelo RaaS aos seus afiliados. No entanto, parece haver uma lacuna estrutural no criptografador que torna todo o modelo inofensivo.
CyberVolk é um coletivo hacktivista pró-Rússia relativamente jovem, fundado em 2024. Toda a infraestrutura do grupo está no Telegram, e é um processo simples para os afiliados bloquearem arquivos e exigirem resgate, mesmo que não tenham muito conhecimento de tecnologia.
Quando a Plataforma assumiu o controle do grupo em 2024 e fechou alguns de seus canais, o grupo desapareceu. Agora está de volta, mas parece funcionar com o mesmo princípio – tudo é gerenciado através do Telegram, e potenciais clientes e consultas operacionais são direcionadas para o bot principal.
Trabalhadores do Google contra a guerra
A maioria dos hacktivistas se envolve em ataques de negação de serviço distribuída (DDoS), espionagem cibernética e roubo de dados.
A CyberVolk, no entanto, adicionou ransomware à mistura, e ainda não está claro se eles são realmente hacktivistas ou cibercriminosos com motivação financeira que se escondem atrás de uma postura pró-Rússia. Isto foi confirmado pelos pesquisadores de segurança cibernética do Sentinel One, cujo último relatório investiga o grupo e seu modus operandi.
O criptografador, VolkLocker, inclui automação do Telegram para comando e controle, enquanto o C2 é personalizável. “Alguns operadores da CyberVolk publicaram exemplos com recursos adicionais, como controle de keylogging”, explicaram os pesquisadores.
Ele também possui recursos que alertam os operadores quando ocorre uma nova infecção, semelhante aos infostealers habilitados para Telegram. Quando um host é infectado, informações básicas do sistema e uma captura de tela são enviadas para o chat configurado do Telegram.
Porém, a chave de criptografia da ferramenta não é gerada dinamicamente. Codificado como uma string hexadecimal dentro do binário, permite que as vítimas recuperem todos os dados criptografados sem pagar uma taxa de extração. SentinelOne acredita que é provável que a chave tenha sido deixada para trás por engano, semelhante à forma como os desenvolvedores de software legítimos às vezes esquecem as senhas de seus produtos – então o retorno da equipe é enorme.
Através registro
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
