SOC Prime Bias: Alto

12 Dic 2025 17:56
newspaper icon SentinelOne

CyberVolk Resurge: Nuevas Características y Fallos de VolkLocker

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
CyberVolk Resurge: Nuevas Características y Fallos de VolkLocker
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

El artículo cubre el resurgimiento del colectivo hacktivista pro-ruso CyberVolk y su nueva familia de ransomware denominada VolkLocker. Este ransomware basado en Golang apunta a sistemas Windows y Linux y utiliza Telegram para comando y control. Usa una clave maestra AES-256-GCM codificada, que también se guarda en texto plano en el directorio %TEMP%, creando efectivamente un atajo de descifrado no intencionado. VolkLocker también altera configuraciones del registro, desactiva controles de seguridad e intenta acciones destructivas contra el sistema una vez que expira un temporizador incorporado.

Investigación

Los investigadores examinaron la muestra de VolkLocker y observaron que se distribuye sin ofuscación de código, en cambio recomiendan el uso de UPX para empaquetar. El ransomware realiza verificaciones del entorno, enumera unidades disponibles, cifra datos usando una clave maestra estática y almacena esa clave en un archivo de respaldo oculto. La persistencia se mantiene replicando el ejecutable en múltiples rutas y aplicando cambios en el registro. Los tokens de bot de Telegram y una dirección de Bitcoin son elementos de configuración obligatorios para una operación exitosa.

Mitigación

Los defensores deben monitorear los cambios documentados en el registro, la creación del archivo de respaldo de la clave en texto plano y múltiples copias del mismo ejecutable apareciendo en ubicaciones de inicio. Bloquear el tráfico saliente hacia dominios relacionados con Telegram y marcar binarios empaquetados con UPX puede ayudar a limitar el riesgo. Mantener copias de seguridad regulares offline o inmutables y prevenir la eliminación automática de copias de sombra de volumen también es aconsejable.

Respuesta

Después de la detección, aísle inmediatamente el endpoint comprometido, recupere el archivo de respaldo de la clave de texto plano de %TEMP% y utilice la clave maestra conocida para el descifrado de archivos. Erradique todas las instancias del ejecutable VolkLocker, restaure los valores de registro alterados y reinicie cualquier solución de seguridad deshabilitada. Realice una revisión forense del tráfico de control y comando basado en Telegram y continúe monitoreando el uso indebido subsecuente del token de bot expuesto.

graph TB %% Definiciones de clases classDef technique fill:#99ccff classDef malware fill:#ffcc99 classDef tool fill:#cccccc classDef file fill:#e6e6e6 classDef operator fill:#ff9900 %% Escalada de Privilegios tech_pe_bypass_uac[«<b>Técnica</b> – <b>T1548.002 Eludir el Control de Cuentas de Usuario</b><br/><b>Descripción</b>: Secuestra HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command para obtener privilegios elevados»] class tech_pe_bypass_uac technique %% Persistencia tech_persistence_rc[«<b>Técnica</b> – <b>T1037.004 Scripts de Inicialización de Arranque o Inicio de Sesión: Scripts RC</b><br/><b>Descripción</b>: Copia la carga útil a ubicaciones de inicio»] class tech_persistence_rc technique tech_persistence_startup[«<b>Técnica</b> – <b>T1037.005 Elementos de Inicio</b><br/><b>Descripción</b>: Coloca cvolk.exe en la carpeta de Inicio del usuario»] class tech_persistence_startup technique tech_persistence_active[«<b>Técnica</b> – <b>T1547.014 Active Setup</b><br/><b>Descripción</b>: Registra entradas de Active Setup para persistencia»] class tech_persistence_active technique file_cvolk[«<b>Archivo</b> – cvolk.exe<br/>Ruta: %APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup»] class file_cvolk file file_svchost[«<b>Archivo</b> – svchost.exe<br/>Ruta: %PUBLIC%\\Documents»] class file_svchost file file_wlanext[«<b>Archivo</b> – wlanext.exe<br/>Ruta: %SYSTEMDRIVE%\\ProgramData\\Microsoft\\Network»] class file_wlanext file file_windowsupdate[«<b>Archivo</b> – WindowsUpdate.exe<br/>Ruta: %TEMP%»] class file_windowsupdate file %% Evasión de Defensas tech_account_removal[«<b>Técnica</b> – <b>T1531 Eliminación de Acceso a Cuentas</b><br/><b>Descripción</b>: Deshabilita cuentas de usuario y herramientas»] class tech_account_removal technique tech_exclusive_control[«<b>Técnica</b> – <b>T1668 Control Exclusivo</b><br/><b>Descripción</b>: Modifica el registro para bloquear el Administrador de Tareas, CMD y Defender»] class tech_exclusive_control technique tech_impair_defenses[«<b>Técnica</b> – <b>T1562.010 Deshabilitar o Modificar Herramientas de Seguridad</b><br/><b>Descripción</b>: Desactiva la supervisión en tiempo real»] class tech_impair_defenses technique %% Evasión de Virtualización tech_vm_check[«<b>Técnica</b> – <b>T1497.002 Comprobaciones Basadas en la Actividad del Usuario</b><br/><b>Descripción</b>: Comprueba prefijos MAC y claves de registro de VM»] class tech_vm_check technique %% Cifrado de Archivos tech_custom_archive[«<b>Técnica</b> – <b>T1560.003 Archivado mediante Método Personalizado</b><br/><b>Descripción</b>: Cifra archivos con AES-256-GCM usando una clave maestra codificada»] class tech_custom_archive technique tech_upx_packing[«<b>Técnica</b> – <b>T1027.015 Archivos Ofuscados/Comprimidos: UPX</b><br/><b>Descripción</b>: Empaqueta binarios con UPX»] class tech_upx_packing technique %% Respaldo de Clave file_key_backup[«<b>Archivo</b> – system_backup.key<br/>Ubicación: %TEMP%<br/><b>Problema</b>: Almacena la clave maestra en texto plano»] class file_key_backup file %% Inhibir la Recuperación del Sistema tech_vss_delete[«<b>Técnica</b> – <b>T1490 Inhibir la Recuperación del Sistema</b><br/><b>Descripción</b>: Elimina todas las Copias de Sombra de Volumen mediante vssadmin»] class tech_vss_delete technique %% Destrucción de Datos tech_disk_wipe[«<b>Técnica</b> – <b>T1561.001 Borrado del Contenido del Disco: Archivos</b><br/><b>Descripción</b>: Borra Documentos, Escritorio, Descargas e Imágenes»] class tech_disk_wipe technique tech_bsod[«<b>Técnica</b> – <b>T1499.004 Denegación de Servicio en el Endpoint: Explotación de Aplicaciones</b><br/><b>Descripción</b>: Provoca una BSOD usando NtRaiseHardError»] class tech_bsod technique %% Comando y Control tech_c2_telegram[«<b>Técnica</b> – <b>T1102.002 Servicio Web: Comunicación Bidireccional</b><br/><b>Descripción</b>: Usa un bot de Telegram para C2, resolución dinámica»] class tech_c2_telegram technique %% Eliminación de Indicadores tech_file_deletion[«<b>Técnica</b> – <b>T1070.004 Eliminación de Archivos</b><br/><b>Descripción</b>: Elimina archivos temporales y establece atributos ocultos/de sistema»] class tech_file_deletion technique %% Conexiones de flujo tech_pe_bypass_uac –>|habilita| tech_persistence_rc tech_persistence_rc –>|copia| file_cvolk tech_persistence_rc –>|copia| file_svchost tech_persistence_rc –>|copia| file_wlanext tech_persistence_rc –>|copia| file_windowsupdate tech_persistence_rc –>|crea| tech_persistence_startup tech_persistence_rc –>|crea| tech_persistence_active tech_persistence_startup –>|coloca| file_cvolk tech_persistence_active –>|registra| file_cvolk tech_persistence_rc –>|conduce_a| tech_account_removal tech_account_removal –>|modifica| tech_exclusive_control tech_exclusive_control –>|deshabilita| tech_impair_defenses tech_impair_defenses –>|prepara| tech_vm_check tech_vm_check –>|elude| tech_custom_archive tech_custom_archive –>|usa| tech_upx_packing tech_upx_packing –>|produce| file_cvolk tech_custom_archive –>|escribe| file_key_backup tech_custom_archive –>|activa| tech_vss_delete tech_vss_delete –>|impide la recuperación para| tech_disk_wipe tech_disk_wipe –>|seguido por| tech_bsod tech_bsod –>|señala| tech_c2_telegram tech_c2_telegram –>|informa| tech_file_deletion tech_file_deletion –>|elimina| file_key_backup %% Estilos class tech_pe_bypass_uac,tech_persistence_rc,tech_persistence_startup,tech_persistence_active,tech_account_removal,tech_exclusive_control,tech_impair_defenses,tech_vm_check,tech_custom_archive,tech_upx_packing,tech_vss_delete,tech_disk_wipe,tech_bsod,tech_c2_telegram,tech_file_deletion technique class file_cvolk,file_svchost,file_wlanext,file_windowsupdate,file_key_backup file

Flujo de ataque

Ejecución de simulación

Prerrequisito: Se debe haber pasado la verificación previa de Telemetría & Baseline.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y deben generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a diagnósticos erróneos.

  • Narrativa de ataque y comandos:

    1. Objetivo:Obtener privilegios de SISTEMA en una estación de trabajo de usuario estándar mientras se evaden las herramientas de seguridad.
    2. Paso 1 – Bypass de UAC:El atacante lanza ms-settings.exe con una línea de comandos que obliga al proceso a llamar a NtRaiseHardError, una API no documentada conocida que puede activar un mensaje de elevación de UAC que puede ser aceptado automáticamente en ciertas configuraciones erróneas.
    3. Paso 2 – Disrupción de defensas: Inmediatamente después de la elevación, la misma línea de comandos invoca taskkill.exe para terminar herramientas de análisis conocidas (procmon.exeprocesshacker.exe, etc.) que podrían estar monitoreando procesos privilegiados.
    4. Telemetría resultante: Un único evento de creación de proceso donde Image = ms-settings.exe y CommandLine contiene ambos taskkill.exe y NtRaiseHardError, satisfaciendo la selección.
    # Comando malicioso combinado – diseñado para parecer argumentos de ms-settings.exe
$maliciousCmd = '"C:WindowsSystem32ms-settings.exe" "taskkill.exe /F /IM procmon.exe" "NtRaiseHardError"'
Start-Process -FilePath "$env:SystemRootsystem32ms-settings.exe" -ArgumentList $maliciousCmd

  • Script de prueba de regresión: El siguiente script de PowerShell reproduce exactamente el ataque y se puede reutilizar para pruebas de regresión automatizadas.

    <#
.SYNOPSIS
 Simula la técnica de cyber-Volk para eludir UAC con ms-settings + terminación de herramientas de análisis.
.DESCRIPCIÓN
 Lanza ms-settings.exe con una lista de argumentos elaborada que incluye taskkill.exe y NtRaiseHardError.
 Genera la telemetría de creación de procesos específica requerida para activar la regla de detección de Sigma.
.NOTAS
 Ejecutar con una cuenta de usuario normal. Asegúrese de que el entorno objetivo tenga habilitado el registro de creación de procesos.
#>

# Parámetros (ajustar si es necesario)
$msSettings = "$env:SystemRootsystem32ms-settings.exe"
$analysisTools = @("procmon.exe","processhacker.exe","ida64.exe")
$killCmd = "taskkill.exe /F /IM " + ($analysisTools -join " /IM ")
$hardError = "NtRaiseHardError"

# Construir la cadena de argumentos maliciosa
$argList = @($killCmd, $hardError) -join " "

Write-Host "Lanzando ms-settings.exe con argumentos maliciosos..."
Start-Process -FilePath $msSettings -ArgumentList $argList

Write-Host "Comando ejecutado:"
Write-Host "`"$msSettings`" $argList"

  • Comandos de limpieza: Después de la verificación, termine cualquier ms-settings.exe procesos persistentes y restablezca el estado normal del sistema.

    # Detener cualquier proceso ms-settings que aún pueda estar en ejecución
Get-Process -Name "ms-settings" -ErrorAction SilentlyContinue | Stop-Process -Force

# Opcional: Verificar que no se mataron accidentalmente herramientas de análisis
foreach ($tool in @("procmon","processhacker","ida64")) {
 if (Get-Process -Name $tool -ErrorAction SilentlyContinue) {
 Write-Host "$tool todavía está en ejecución."
 } else {
 Write-Host "$tool fue terminado (esperado para la prueba)."
 }
}

Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Únase Gratis