CyberVolk: A Ascensão de uma Nova Ameaça, do Hacktivismo ao Ransomware

Pesquisadores de segurança cibernética do Rapid7 Labs lançaram um relatório abrangente sobre o CyberVolk, um grupo hacktivista politicamente motivado que recentemente passou a usar ransomware como principal ferramenta de ataque. Surgido em junho de 2024, o CyberVolk rapidamente se tornou uma ameaça significativa, focando principalmente em instituições espanholas, como retaliação a eventos geopolíticos, conforme revelado pela análise da Rapid7.

Raízes e Evolução do CyberVolk

O CyberVolk tem suas origens no movimento hacktivista pró-Rússia, operando inicialmente com ataques de Negação de Serviço Distribuída (DDoS). A mudança de táticas ocorreu após a prisão de membros do grupo NoName57(16), levando o CyberVolk a adotar o ransomware em suas operações, intensificando suas campanhas contra entidades espanholas. Hoje, ele é aliado a mais de 70 grupos hacktivistas que utilizam métodos similares, de acordo com o relatório da Rapid7.

Combinação Perigosa: DDoS e Ransomware

O que torna o CyberVolk uma ameaça distinta é a combinação de ataques DDoS e ransomware, criando um cenário alarmante, especialmente para infraestruturas críticas e entidades governamentais. O relatório da Rapid7 observa que o grupo começou como hacktivista, mas rapidamente evoluiu para o uso do ransomware como uma forma de retaliação.

O Ransomware CyberVolk: Aspectos Técnicos

A análise técnica do ransomware CyberVolk revela um funcionamento semelhante ao de outras variantes, mas com características específicas que o destacam:

• Alteração de papel de parede pré-criptografia: Antes de iniciar a criptografia, o ransomware altera o papel de parede da vítima para uma imagem específica, alertando sobre o ataque iminente.
• Monitoramento do Gerenciador de Tarefas: O malware verifica constantemente se o Gerenciador de Tarefas está sendo executado, tentando encerrá-lo para evitar a detecção, enviando comandos WM_CLOSE para interromper o processo.
• Criptografia Completa: O ransomware escaneia diretórios e subdiretórios, criptografando arquivos e adicionando a extensão .cvenc, garantindo interrupção total das operações da vítima.
• Processo de Descriptografia com Falhas: Embora a descriptografia exija pagamento em Bitcoin ou USDT, os pesquisadores da Rapid7 descobriram que o processo contém falhas. Chaves aleatórias podem acionar a rotina de descriptografia, mas os arquivos permanecem inutilizáveis sem a chave correta.

Falhas e Similaridades com Babuk

O CyberVolk contém falhas técnicas em sua execução, como a instrução errada para um canal inexistente do Telegram para pagamento do resgate. Além disso, a análise do código do ransomware revelou similaridades com o infame ransomware Babuk, sugerindo que partes da estrutura de criptografia foram reutilizadas, apesar de o CyberVolk implementar suas próprias melhorias, como criptografia AES e técnicas para evitar a detecção.

Impacto na Espanha e Potenciais Ameaças Futuras

Desde o início de suas campanhas, o CyberVolk já comprometeu 27 entidades na Espanha, sendo uma ameaça crescente para a infraestrutura do país. À medida que o grupo continua a refinar suas táticas, os ataques podem se intensificar, especialmente com a combinação de DDoS e ransomware. O relatório da Rapid7 conclui que, apesar de suas falhas técnicas, o CyberVolk já demonstrou ser uma ameaça significativa, com grande potencial de causar mais danos no futuro.