📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O grupo hacktivista pró-Rússia conhecido como CyberVolk (também conhecido como GLORIAMIST) ressurgiu com uma nova oferta de ransomware como serviço (RaaS) chamada VolkLocker, que sofre falhas de implementação em artefatos de teste, permitindo aos usuários descriptografar arquivos sem pagar uma taxa de extorsão.
De acordo com o SentinelOne, o VolkLocker (também conhecido como CyberVolk 2.x) surgiu em agosto de 2025 e é capaz de atingir sistemas Windows e Linux. Está escrito em Golang.
“As operadoras que constroem novas cargas VolkLocker devem fornecer um endereço bitcoin, ID de token de bot do Telegram, ID de bate-papo do Telegram, prazo de criptografia, extensão de arquivo desejada e opções de autodestruição”, disse o pesquisador de segurança Jim Walter em um relatório publicado na semana passada.
Uma vez lançado, o ransomware tenta escalar privilégios, realiza reconhecimento e enumeração do sistema, incluindo a verificação de prefixos de endereços MAC locais em relação a fornecedores de virtualização conhecidos, como Oracle e VMware. Na próxima etapa, ele lista todas as unidades disponÃveis e determina os arquivos a serem criptografados com base na configuração incorporada.
VolkLocker usa AES-256 no modo Galois/Counter (GCM) para criptografia por meio do pacote "crypto/rand" de Golang. Cada arquivo criptografado recebe uma extensão personalizada, como .locked ou .cvolk.
No entanto, uma análise das amostras de teste revelou uma falha fatal onde as chaves mestras do armário não são apenas codificadas nos binários, mas também são usadas para criptografar todos os arquivos no sistema da vÃtima. Mais importante ainda, a chave mestra também é gravada em um arquivo de texto simples na pasta %TEMP% ("C:\Users\AppData\Local\Temp\system_backup.key").
Como esse arquivo de chave de backup nunca é excluÃdo, o erro de design permite a autorrecuperação. Dito isso, o VolkLocker possui todas as caracterÃsticas normalmente associadas a uma variedade de ransomware. Ele faz modificações no Registro do Windows para impedir a recuperação e a análise, exclui cópias de sombra de volume e encerra processos associados ao Microsoft Defender Antivirus e outras ferramentas de análise comuns.
No entanto, onde se destaca é o uso de um temporizador de aplicação, que limpa o conteúdo das pastas do usuário, viz. Documentos, área de trabalho, downloads e imagens, se as vÃtimas não pagarem em 48 horas ou inserirem a chave de descriptografia errada três vezes.
As operações RaaS da CyberVolk são gerenciadas por meio do Telegram, custando aos clientes em potencial entre US$ 800 e US$ 1.100 para uma versão Windows ou Linux, ou entre US$ 1.600 e US$ 2.200 para ambos os sistemas operacionais. As cargas úteis do VolkLocker vêm com automação integrada do Telegram para comando e controle, permitindo aos usuários enviar mensagens à s vÃtimas, iniciar a descriptografia de arquivos, listar vÃtimas ativas e obter informações do sistema.
Em novembro de 2025, os atores da ameaça anunciaram um trojan de acesso remoto e um keylogger, ambos com preço de US$ 500 cada, indicando uma ampliação de sua estratégia de monetização.
A CyberVolk lançou seu próprio RaaS em junho de 2024. Conhecida por conduzir ataques distribuÃdos de negação de serviço (DDoS) e ransomware contra entidades públicas e governamentais para apoiar os interesses do governo russo, acredita-se que seja de origem indiana.
“Apesar das repetidas proibições de contas do Telegram e remoções de canais ao longo de 2025, a CyberVolk restabeleceu suas operações e expandiu suas ofertas de serviços”, disse Walter. “Os defensores devem ver a adoção da automação baseada no Telegram pela CyberVolk como um reflexo de tendências mais amplas entre os atores de ameaças com motivação polÃtica. Esses grupos continuam a reduzir as barreiras para a implantação de ransomware enquanto operam em plataformas que fornecem infraestrutura conveniente para serviços criminosos.”
De acordo com o SentinelOne, o VolkLocker (também conhecido como CyberVolk 2.x) surgiu em agosto de 2025 e é capaz de atingir sistemas Windows e Linux. Está escrito em Golang.
“As operadoras que constroem novas cargas VolkLocker devem fornecer um endereço bitcoin, ID de token de bot do Telegram, ID de bate-papo do Telegram, prazo de criptografia, extensão de arquivo desejada e opções de autodestruição”, disse o pesquisador de segurança Jim Walter em um relatório publicado na semana passada.
Uma vez lançado, o ransomware tenta escalar privilégios, realiza reconhecimento e enumeração do sistema, incluindo a verificação de prefixos de endereços MAC locais em relação a fornecedores de virtualização conhecidos, como Oracle e VMware. Na próxima etapa, ele lista todas as unidades disponÃveis e determina os arquivos a serem criptografados com base na configuração incorporada.
VolkLocker usa AES-256 no modo Galois/Counter (GCM) para criptografia por meio do pacote "crypto/rand" de Golang. Cada arquivo criptografado recebe uma extensão personalizada, como .locked ou .cvolk.
No entanto, uma análise das amostras de teste revelou uma falha fatal onde as chaves mestras do armário não são apenas codificadas nos binários, mas também são usadas para criptografar todos os arquivos no sistema da vÃtima. Mais importante ainda, a chave mestra também é gravada em um arquivo de texto simples na pasta %TEMP% ("C:\Users\AppData\Local\Temp\system_backup.key").
Como esse arquivo de chave de backup nunca é excluÃdo, o erro de design permite a autorrecuperação. Dito isso, o VolkLocker possui todas as caracterÃsticas normalmente associadas a uma variedade de ransomware. Ele faz modificações no Registro do Windows para impedir a recuperação e a análise, exclui cópias de sombra de volume e encerra processos associados ao Microsoft Defender Antivirus e outras ferramentas de análise comuns.
No entanto, onde se destaca é o uso de um temporizador de aplicação, que limpa o conteúdo das pastas do usuário, viz. Documentos, área de trabalho, downloads e imagens, se as vÃtimas não pagarem em 48 horas ou inserirem a chave de descriptografia errada três vezes.
As operações RaaS da CyberVolk são gerenciadas por meio do Telegram, custando aos clientes em potencial entre US$ 800 e US$ 1.100 para uma versão Windows ou Linux, ou entre US$ 1.600 e US$ 2.200 para ambos os sistemas operacionais. As cargas úteis do VolkLocker vêm com automação integrada do Telegram para comando e controle, permitindo aos usuários enviar mensagens à s vÃtimas, iniciar a descriptografia de arquivos, listar vÃtimas ativas e obter informações do sistema.
Em novembro de 2025, os atores da ameaça anunciaram um trojan de acesso remoto e um keylogger, ambos com preço de US$ 500 cada, indicando uma ampliação de sua estratégia de monetização.
A CyberVolk lançou seu próprio RaaS em junho de 2024. Conhecida por conduzir ataques distribuÃdos de negação de serviço (DDoS) e ransomware contra entidades públicas e governamentais para apoiar os interesses do governo russo, acredita-se que seja de origem indiana.
“Apesar das repetidas proibições de contas do Telegram e remoções de canais ao longo de 2025, a CyberVolk restabeleceu suas operações e expandiu suas ofertas de serviços”, disse Walter. “Os defensores devem ver a adoção da automação baseada no Telegram pela CyberVolk como um reflexo de tendências mais amplas entre os atores de ameaças com motivação polÃtica. Esses grupos continuam a reduzir as barreiras para a implantação de ransomware enquanto operam em plataformas que fornecem infraestrutura conveniente para serviços criminosos.”
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #volklocker #ransomware #exposto #por #chave #mestra #codificada, #permitindo #descriptografia #gratuita
🚀 Mais conteúdos incrÃveis estão por vir, fique atento!
Postar um comentário