CyberVolk: A Ascensão de uma Nova Ameaça, do Hacktivismo ao Ransomware
O grupo hacktivista CyberVolk evoluiu para usar ransomware em ataques, combinando DDoS e ransomware para comprometer 27 entidades na Espanha, conforme relatório do Rapid7.
Pesquisadores de segurança cibernética do Rapid7 Labs lançaram um relatório abrangente sobre o CyberVolk, um grupo hacktivista politicamente motivado que recentemente passou a usar ransomware como principal ferramenta de ataque. Surgido em junho de 2024, o CyberVolk rapidamente se tornou uma ameaça significativa, focando principalmente em instituições espanholas, como retaliação a eventos geopolíticos, conforme revelado pela análise da Rapid7.
Raízes e Evolução do CyberVolk
O CyberVolk tem suas origens no movimento hacktivista pró-Rússia, operando inicialmente com ataques de Negação de Serviço Distribuída (DDoS). A mudança de táticas ocorreu após a prisão de membros do grupo NoName57(16), levando o CyberVolk a adotar o ransomware em suas operações, intensificando suas campanhas contra entidades espanholas. Hoje, ele é aliado a mais de 70 grupos hacktivistas que utilizam métodos similares, de acordo com o relatório da Rapid7.
Combinação Perigosa: DDoS e Ransomware
O que torna o CyberVolk uma ameaça distinta é a combinação de ataques DDoS e ransomware, criando um cenário alarmante, especialmente para infraestruturas críticas e entidades governamentais. O relatório da Rapid7 observa que o grupo começou como hacktivista, mas rapidamente evoluiu para o uso do ransomware como uma forma de retaliação.
O Ransomware CyberVolk: Aspectos Técnicos
A análise técnica do ransomware CyberVolk revela um funcionamento semelhante ao de outras variantes, mas com características específicas que o destacam:
- Alteração de papel de parede pré-criptografia: Antes de iniciar a criptografia, o ransomware altera o papel de parede da vítima para uma imagem específica, alertando sobre o ataque iminente.
- Monitoramento do Gerenciador de Tarefas: O malware verifica constantemente se o Gerenciador de Tarefas está sendo executado, tentando encerrá-lo para evitar a detecção, enviando comandos WM_CLOSE para interromper o processo.
- Criptografia Completa: O ransomware escaneia diretórios e subdiretórios, criptografando arquivos e adicionando a extensão .cvenc, garantindo interrupção total das operações da vítima.
- Processo de Descriptografia com Falhas: Embora a descriptografia exija pagamento em Bitcoin ou USDT, os pesquisadores da Rapid7 descobriram que o processo contém falhas. Chaves aleatórias podem acionar a rotina de descriptografia, mas os arquivos permanecem inutilizáveis sem a chave correta.
Falhas e Similaridades com Babuk
O CyberVolk contém falhas técnicas em sua execução, como a instrução errada para um canal inexistente do Telegram para pagamento do resgate. Além disso, a análise do código do ransomware revelou similaridades com o infame ransomware Babuk, sugerindo que partes da estrutura de criptografia foram reutilizadas, apesar de o CyberVolk implementar suas próprias melhorias, como criptografia AES e técnicas para evitar a detecção.
Impacto na Espanha e Potenciais Ameaças Futuras
Desde o início de suas campanhas, o CyberVolk já comprometeu 27 entidades na Espanha, sendo uma ameaça crescente para a infraestrutura do país. À medida que o grupo continua a refinar suas táticas, os ataques podem se intensificar, especialmente com a combinação de DDoS e ransomware. O relatório da Rapid7 conclui que, apesar de suas falhas técnicas, o CyberVolk já demonstrou ser uma ameaça significativa, com grande potencial de causar mais danos no futuro.