SOC Prime Bias: Alto

12 Dic 2025 17:56
newspaper icon SentinelOne

CyberVolk Riemerge: Le Nuove Funzionalità e le Debolezze di VolkLocker

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
CyberVolk Riemerge: Le Nuove Funzionalità e le Debolezze di VolkLocker
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Riepilogo

L’articolo tratta il ritorno del collettivo hacktivista pro-Russia CyberVolk e della sua nuova famiglia di ransomware denominata VolkLocker. Questo ransomware basato su Golang prende di mira sia i sistemi Windows che Linux e utilizza Telegram per il comando e controllo. Usa una chiave master AES-256-GCM codificata, che viene anche scritta in chiaro nella directory %TEMP%, creando di fatto un collegamento interno per la decriptazione. VolkLocker altera ulteriormente le impostazioni del registro, disattiva i controlli di sicurezza e tenta azioni distruttive contro il sistema una volta scaduto un timer integrato.

Indagine

I ricercatori hanno esaminato il campione di VolkLocker e hanno osservato che viene distribuito senza offuscamento del codice, consigliando invece l’uso di UPX per il packing. Il ransomware esegue controlli ambientali, enumera le unità disponibili, cifra i dati usando una chiave master statica e memorizza quella chiave in un file di backup nascosto. La persistenza è mantenuta replicando l’eseguibile in molteplici percorsi e applicando modifiche al registro. I token bot di Telegram e un indirizzo Bitcoin sono elementi di configurazione obbligatori per un’operazione di successo.

Mitigazione

I difensori dovrebbero monitorare le modifiche documentate al registro, la creazione del file di backup della chiave in chiaro e la presenza di più copie dello stesso eseguibile nelle posizioni di avvio. Bloccare il traffico in uscita verso domini correlati a Telegram e segnalare i binari impacchettati con UPX può aiutare a limitare il rischio. Si consiglia inoltre di mantenere regolari backup offline o immutabili e di prevenire l’eliminazione automatica delle copie ombra del volume.

Risposta

Dopo il rilevamento, isola immediatamente l’endpoint compromesso, recupera il file di backup della chiave in chiaro da %TEMP% e utilizza la nota chiave master per la decrittazione dei file. Elimina tutte le istanze dell’eseguibile VolkLocker, ripristina i valori del registro alterati e riavvia qualsiasi soluzione di sicurezza disabilitata. Esegui una revisione forense del traffico C2 basato su Telegram e continua a monitorare per eventuali abusi successivi del token bot esposto.

graph TB %% Definizioni delle classi classDef technique fill:#99ccff classDef malware fill:#ffcc99 classDef tool fill:#cccccc classDef file fill:#e6e6e6 classDef operator fill:#ff9900 %% Escalation dei privilegi tech_pe_bypass_uac[“<b>Tecnica</b> – <b>T1548.002 Aggiramento del Controllo Account Utente</b><br/><b>Descrizione</b>: Dirotta HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command per ottenere privilegi elevati”] class tech_pe_bypass_uac technique %% Persistenza tech_persistence_rc[“<b>Tecnica</b> – <b>T1037.004 Script di inizializzazione di avvio o accesso: Script RC</b><br/><b>Descrizione</b>: Copia il payload nelle posizioni di avvio”] class tech_persistence_rc technique tech_persistence_startup[“<b>Tecnica</b> – <b>T1037.005 Elementi di avvio</b><br/><b>Descrizione</b>: Posiziona cvolk.exe nella cartella di avvio dell’utente”] class tech_persistence_startup technique tech_persistence_active[“<b>Tecnica</b> – <b>T1547.014 Active Setup</b><br/><b>Descrizione</b>: Registra voci Active Setup per la persistenza”] class tech_persistence_active technique file_cvolk[“<b>File</b> – cvolk.exe<br/>Percorso: %APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup”] class file_cvolk file file_svchost[“<b>File</b> – svchost.exe<br/>Percorso: %PUBLIC%\\Documents”] class file_svchost file file_wlanext[“<b>File</b> – wlanext.exe<br/>Percorso: %SYSTEMDRIVE%\\ProgramData\\Microsoft\\Network”] class file_wlanext file file_windowsupdate[“<b>File</b> – WindowsUpdate.exe<br/>Percorso: %TEMP%”] class file_windowsupdate file %% Evasione delle difese tech_account_removal[“<b>Tecnica</b> – <b>T1531 Rimozione dell’accesso agli account</b><br/><b>Descrizione</b>: Disabilita account utente e strumenti”] class tech_account_removal technique tech_exclusive_control[“<b>Tecnica</b> – <b>T1668 Controllo esclusivo</b><br/><b>Descrizione</b>: Modifica il registro per bloccare Task Manager, CMD e Defender”] class tech_exclusive_control technique tech_impair_defenses[“<b>Tecnica</b> – <b>T1562.010 Disabilitare o modificare strumenti di sicurezza</b><br/><b>Descrizione</b>: Disattiva il monitoraggio in tempo reale”] class tech_impair_defenses technique %% Evasione della virtualizzazione tech_vm_check[“<b>Tecnica</b> – <b>T1497.002 Controlli basati sull’attività dell’utente</b><br/><b>Descrizione</b>: Verifica prefissi MAC e chiavi di registro delle VM”] class tech_vm_check technique %% Cifratura dei file tech_custom_archive[“<b>Tecnica</b> – <b>T1560.003 Archiviazione tramite metodo personalizzato</b><br/><b>Descrizione</b>: Cifra i file con AES-256-GCM usando una chiave master codificata”] class tech_custom_archive technique tech_upx_packing[“<b>Tecnica</b> – <b>T1027.015 File offuscati/compressi: UPX</b><br/><b>Descrizione</b>: Impacchetta binari con UPX”] class tech_upx_packing technique %% Backup della chiave file_key_backup[“<b>File</b> – system_backup.key<br/>Posizione: %TEMP%<br/><b>Problema</b>: Memorizza la chiave master in chiaro”] class file_key_backup file %% Inibizione del ripristino di sistema tech_vss_delete[“<b>Tecnica</b> – <b>T1490 Inibire il ripristino di sistema</b><br/><b>Descrizione</b>: Elimina tutte le copie shadow del volume tramite vssadmin”] class tech_vss_delete technique %% Distruzione dei dati tech_disk_wipe[“<b>Tecnica</b> – <b>T1561.001 Cancellazione del contenuto del disco: File</b><br/><b>Descrizione</b>: Cancella Documenti, Desktop, Download e Immagini”] class tech_disk_wipe technique tech_bsod[“<b>Tecnica</b> – <b>T1499.004 Negazione di servizio dell’endpoint: Sfruttamento delle applicazioni</b><br/><b>Descrizione</b>: Genera un BSOD usando NtRaiseHardError”] class tech_bsod technique %% Comando e controllo tech_c2_telegram[“<b>Tecnica</b> – <b>T1102.002 Servizio web: Comunicazione bidirezionale</b><br/><b>Descrizione</b>: Utilizza un bot Telegram per C2 con risoluzione dinamica”] class tech_c2_telegram technique %% Rimozione degli indicatori tech_file_deletion[“<b>Tecnica</b> – <b>T1070.004 Eliminazione dei file</b><br/><b>Descrizione</b>: Elimina file temporanei e imposta attributi nascosti/di sistema”] class tech_file_deletion technique %% Flussi tech_pe_bypass_uac –>|abilita| tech_persistence_rc tech_persistence_rc –>|copia| file_cvolk tech_persistence_rc –>|copia| file_svchost tech_persistence_rc –>|copia| file_wlanext tech_persistence_rc –>|copia| file_windowsupdate tech_persistence_rc –>|crea| tech_persistence_startup tech_persistence_rc –>|crea| tech_persistence_active tech_persistence_startup –>|posiziona| file_cvolk tech_persistence_active –>|registra| file_cvolk tech_persistence_rc –>|porta_a| tech_account_removal tech_account_removal –>|modifica| tech_exclusive_control tech_exclusive_control –>|disabilita| tech_impair_defenses tech_impair_defenses –>|prepara| tech_vm_check tech_vm_check –>|aggira| tech_custom_archive tech_custom_archive –>|usa| tech_upx_packing tech_upx_packing –>|produce| file_cvolk tech_custom_archive –>|scrive| file_key_backup tech_custom_archive –>|attiva| tech_vss_delete tech_vss_delete –>|impedisce_il_ripristino_per| tech_disk_wipe tech_disk_wipe –>|seguito_da| tech_bsod tech_bsod –>|segnala| tech_c2_telegram tech_c2_telegram –>|riporta| tech_file_deletion tech_file_deletion –>|rimuove| file_key_backup %% Styling class tech_pe_bypass_uac,tech_persistence_rc,tech_persistence_startup,tech_persistence_active,tech_account_removal,tech_exclusive_control,tech_impair_defenses,tech_vm_check,tech_custom_archive,tech_upx_packing,tech_vss_delete,tech_disk_wipe,tech_bsod,tech_c2_telegram,tech_file_deletion technique class file_cvolk,file_svchost,file_wlanext,file_windowsupdate,file_key_backup file

Flusso di Attacco

Esecuzione Simulazione

Prerequisito: Il Controllo Pre‑Volo di Telemetria e Linee Guida di Base devono essere superati.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati condurranno a una diagnosi errata.

  • Narrativa e Comandi dell’Attacco:

    1. Obiettivo: Ottenere privilegi di SISTEMA su una workstation utente standard evitando gli strumenti di sicurezza.
    2. Passo 1 – Bypass UAC: L’attaccante lancia ms-settings.exe con una linea di comando che costringe il processo a chiamare NtRaiseHardError, una API non documentata conosciuta che può attivare un prompt di elevazione UAC che in alcune configurazioni errate può essere accettato automaticamente.
    3. Passo 2 – Disturbo delle Difese: Immediatamente dopo l’elevazione, la stessa linea di comando richiama taskkill.exe per terminare strumenti di analisi noti (procmon.exeprocesshacker.exe, ecc.) che potrebbero monitorare processi privilegiati.
    4. Telemetria Risultante: Un singolo evento di creazione processo dove Immagine = ms-settings.exe e CommandLine contiene entrambi taskkill.exe e NtRaiseHardError, soddisfacendo la selezione.
    # Commando malevolo combinato – creato per apparire come argomenti di ms-settings.exe
$maliciousCmd = '"C:WindowsSystem32ms-settings.exe" "taskkill.exe /F /IM procmon.exe" "NtRaiseHardError"'
Start-Process -FilePath "$env:SystemRootsystem32ms-settings.exe" -ArgumentList $maliciousCmd

  • Script di Test di Regressione: Il seguente script PowerShell riproduce l’attacco esatto e può essere riutilizzato per il test di regressione automatizzato.

    <#
.SINOSSI
    Simula la tecnica di bypass UAC di ms-settings di CyberVolk + la terminazione degli strumenti di analisi.
.DESCRIZIONE
    Avvia ms-settings.exe con una lista di argomenti creata che include taskkill.exe e NtRaiseHardError.
    Genera la telemetria specifica per la creazione di processi necessaria per attivare la regola di rilevamento Sigma.
.NOTE
    Esegui con un account utente normale. Assicurati che l'ambiente di destinazione abbia la registrazione della creazione di processi abilitata.
#>
# Parametri (regolare se necessario)
$msSettings = "$env:SystemRootsystem32ms-settings.exe"
$analysisTools = @("procmon.exe","processhacker.exe","ida64.exe")
$killCmd = "taskkill.exe /F /IM " + ($analysisTools -join " /IM ")
$hardError = "NtRaiseHardError"
# Costruisci la stringa di argomenti malevoli
$argList = @($killCmd, $hardError) -join " "
Write-Host "Avvia ms-settings.exe con argomenti malevoli..."
Start-Process -FilePath $msSettings -ArgumentList $argList
Write-Host "Comando eseguito:"
Write-Host "`"$msSettings`" $argList"

  • Comandi di Pulizia: Dopo la verifica, termina qualsiasi processo ms-settings.exe in esecuzione e ripristina lo stato normale del sistema.

    # Arresta eventuali processi ms-settings che potrebbero essere ancora in esecuzione
Get-Process -Name "ms-settings" -ErrorAction SilentlyContinue | Stop-Process -Force
# Opzionale: Verifica che nessuno strumento di analisi sia stato terminato involontariamente
foreach ($tool in @("procmon","processhacker","ida64")) {
    if (Get-Process -Name $tool -ErrorAction SilentlyContinue) {
        Write-Host "$tool è ancora in esecuzione."
    } else {
        Write-Host "$tool è stato terminato (previsto per il test)."
    }
}

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis