🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O grupo hacktivista pró-Rússia CyberVolk lançou um ransomware como serviço (RaaS) chamado VolkLocker que apresentava sérias falhas de implementação, permitindo que as vítimas descriptografassem arquivos gratuitamente.
De acordo com os pesquisadores do SentinelOne que examinaram a nova família de ransomware, o criptografador usa uma chave mestra codificada no binário, que também é escrita em texto simples em um arquivo oculto nas máquinas afetadas.
Isso permite que as empresas visadas usem a chave para descriptografar arquivos gratuitamente, minando o potencial do VolkLocker no espaço do crime cibernético.
Hacktivismo e crime cibernético
CyberVolk é supostamente um coletivo hacktivista pró-Rússia com sede na Índia que iniciou suas operações no ano passado, lançando ataques distribuídos de negação de serviço e ransomware contra entidades públicas e governamentais que se opõem à Rússia ou se aliam à Ucrânia.
Embora o grupo tenha sido interrompido no Telegram, ele retornou em agosto de 2025 com um novo programa RaaS, VolkLocker (CyberVolk 2.x), que visa sistemas Linux/VMware ESXi e Windows.
Uma característica interessante do VolkLocker é o uso de uma função de temporizador Golang em seu código, que, ao expirar ou quando uma chave incorreta é inserida na nota HTML do ransomware, aciona a limpeza das pastas do usuário (Documentos, Downloads, Imagens e Área de Trabalho).
A função de temporizador que aciona o limpadorFonte: SentinelOne
O acesso ao RaaS custa entre US$ 800 e US$ 1.100 para uma única arquitetura de sistema operacional, ou US$ 1.600 a US$ 2.200 para ambas.
Os compradores podem acessar um bot construtor no Telegram para personalizar o criptografador e receber a carga gerada.
Em novembro de 2025, o mesmo grupo de ameaças começou a anunciar um trojan de acesso remoto e um keylogger, ambos com preço de US$ 500 cada.
Nota de resgate do VolkLocker HTMLFonte: SentinelOne
Fraqueza crítica da criptografia
VolkLocker usa criptografia AES-256 em GCM (Galois/Counter Mode), com uma chave mestra de 32 bits derivada de uma string hexadecimal de 64 caracteres incorporada no binário.
Um nonce aleatório de 12 bytes é usado como vetor de inicialização (IV) para cada arquivo, excluindo o arquivo original e anexando a extensão de arquivo .locked ou .cvolk à cópia criptografada.
O problema é que o VolkLocker usa a mesma chave mestra para criptografar todos os arquivos no sistema vítima, e essa mesma chave também é gravada em um arquivo de texto simples (system_backup.key) na pasta %TEMP%.
“Como o ransomware nunca exclui esse arquivo de chave de backup, as vítimas podem tentar a recuperação do arquivo extraindo os valores necessários do arquivo”, explica SentinelOne.
"O backup da chave em texto simples provavelmente representa um artefato de teste enviado inadvertidamente em compilações de produção."
Descriptografando arquivos usando o valor da chave codificadaFonte: SentinelOne
Embora esta falha possa ajudar qualquer vítima existente, a divulgação da falha criptográfica do VolkLocker provavelmente levará os agentes da ameaça a corrigir o bug e evitar que ele seja abusado no futuro.
É considerada uma prática melhor não divulgar falhas de ransomware enquanto um agente de ameaça estiver executando ativamente a operação e, em vez disso, compartilhá-las de forma privada com autoridades policiais e empresas de negociação de ransomware que podem ajudar as vítimas de forma privada.
BleepingComputer contatou SentinelOne para perguntar sobre sua decisão de divulgar publicamente a fraqueza do VolkLocker, e um porta-voz enviou a explicação abaixo:
“A razão pela qual não hesitamos é que esta não é uma falha de criptografia central, mas sim um artefato de teste que é inadvertidamente enviado para algumas construções de produção por operadores incompetentes e não é um mecanismo de descriptografia confiável além desses casos. É mais representativo do ecossistema que a CyberVolk está tentando habilitar por meio desta oferta RaaS.” - Porta-voz do SentinelOne
Divida silos IAM como Bitpanda, KnowBe4 e PathAI
IAM quebrado não é apenas um problema de TI – o impacto se espalha por todo o seu negócio.
Este guia prático aborda por que as práticas tradicionais de IAM não conseguem acompanhar as demandas modernas, exemplos de como é um IAM "bom" e uma lista de verificação simples para construir uma estratégia escalável.
Obtenha o guia
De acordo com os pesquisadores do SentinelOne que examinaram a nova família de ransomware, o criptografador usa uma chave mestra codificada no binário, que também é escrita em texto simples em um arquivo oculto nas máquinas afetadas.
Isso permite que as empresas visadas usem a chave para descriptografar arquivos gratuitamente, minando o potencial do VolkLocker no espaço do crime cibernético.
Hacktivismo e crime cibernético
CyberVolk é supostamente um coletivo hacktivista pró-Rússia com sede na Índia que iniciou suas operações no ano passado, lançando ataques distribuídos de negação de serviço e ransomware contra entidades públicas e governamentais que se opõem à Rússia ou se aliam à Ucrânia.
Embora o grupo tenha sido interrompido no Telegram, ele retornou em agosto de 2025 com um novo programa RaaS, VolkLocker (CyberVolk 2.x), que visa sistemas Linux/VMware ESXi e Windows.
Uma característica interessante do VolkLocker é o uso de uma função de temporizador Golang em seu código, que, ao expirar ou quando uma chave incorreta é inserida na nota HTML do ransomware, aciona a limpeza das pastas do usuário (Documentos, Downloads, Imagens e Área de Trabalho).
A função de temporizador que aciona o limpadorFonte: SentinelOne
O acesso ao RaaS custa entre US$ 800 e US$ 1.100 para uma única arquitetura de sistema operacional, ou US$ 1.600 a US$ 2.200 para ambas.
Os compradores podem acessar um bot construtor no Telegram para personalizar o criptografador e receber a carga gerada.
Em novembro de 2025, o mesmo grupo de ameaças começou a anunciar um trojan de acesso remoto e um keylogger, ambos com preço de US$ 500 cada.
Nota de resgate do VolkLocker HTMLFonte: SentinelOne
Fraqueza crítica da criptografia
VolkLocker usa criptografia AES-256 em GCM (Galois/Counter Mode), com uma chave mestra de 32 bits derivada de uma string hexadecimal de 64 caracteres incorporada no binário.
Um nonce aleatório de 12 bytes é usado como vetor de inicialização (IV) para cada arquivo, excluindo o arquivo original e anexando a extensão de arquivo .locked ou .cvolk à cópia criptografada.
O problema é que o VolkLocker usa a mesma chave mestra para criptografar todos os arquivos no sistema vítima, e essa mesma chave também é gravada em um arquivo de texto simples (system_backup.key) na pasta %TEMP%.
“Como o ransomware nunca exclui esse arquivo de chave de backup, as vítimas podem tentar a recuperação do arquivo extraindo os valores necessários do arquivo”, explica SentinelOne.
"O backup da chave em texto simples provavelmente representa um artefato de teste enviado inadvertidamente em compilações de produção."
Descriptografando arquivos usando o valor da chave codificadaFonte: SentinelOne
Embora esta falha possa ajudar qualquer vítima existente, a divulgação da falha criptográfica do VolkLocker provavelmente levará os agentes da ameaça a corrigir o bug e evitar que ele seja abusado no futuro.
É considerada uma prática melhor não divulgar falhas de ransomware enquanto um agente de ameaça estiver executando ativamente a operação e, em vez disso, compartilhá-las de forma privada com autoridades policiais e empresas de negociação de ransomware que podem ajudar as vítimas de forma privada.
BleepingComputer contatou SentinelOne para perguntar sobre sua decisão de divulgar publicamente a fraqueza do VolkLocker, e um porta-voz enviou a explicação abaixo:
“A razão pela qual não hesitamos é que esta não é uma falha de criptografia central, mas sim um artefato de teste que é inadvertidamente enviado para algumas construções de produção por operadores incompetentes e não é um mecanismo de descriptografia confiável além desses casos. É mais representativo do ecossistema que a CyberVolk está tentando habilitar por meio desta oferta RaaS.” - Porta-voz do SentinelOne
Divida silos IAM como Bitpanda, KnowBe4 e PathAI
IAM quebrado não é apenas um problema de TI – o impacto se espalha por todo o seu negócio.
Este guia prático aborda por que as práticas tradicionais de IAM não conseguem acompanhar as demandas modernas, exemplos de como é um IAM "bom" e uma lista de verificação simples para construir uma estratégia escalável.
Obtenha o guia
#samirnews #samir #news #boletimtec #a #estreia #do #ransomware #da #cybervolk #tropeça #na #fraqueza #da #criptografia
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário