SOC Prime Bias: Alto

12 Dez 2025 17:56
newspaper icon SentinelOne

CyberVolk Ressurge: Novos Recursos e Falhas do VolkLocker

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
CyberVolk Ressurge: Novos Recursos e Falhas do VolkLocker
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

O artigo aborda o ressurgimento do coletivo hacktivista pró-Rússia CyberVolk e sua nova família de ransomware chamada VolkLocker. Este ransomware baseado em Golang tem como alvo sistemas Windows e Linux e utiliza o Telegram para comando e controle. Ele usa uma chave mestra codificada em AES-256-GCM, que também é gravada em texto simples no diretório %TEMP%, efetivamente criando um atalho de descriptografia não intencional. O VolkLocker ainda altera as configurações do registro, desativa controles de segurança e tenta ações destrutivas contra o sistema quando um temporizador embutido expira.

Investigação

Pesquisadores examinaram o exemplar do VolkLocker e observaram que é distribuído sem ofuscação de código, recomendando em vez disso o uso de UPX para empacotamento. O ransomware realiza verificações de ambiente, enumera as unidades disponíveis, criptografa dados usando uma chave mestra estática e armazena essa chave em um arquivo de backup oculto. A persistência é mantida replicando o executável em vários caminhos e aplicando alterações no registro. Tokens de bot do Telegram e um endereço Bitcoin são elementos de configuração obrigatórios para operação bem-sucedida.

Mitigação

Os defensores devem ficar atentos às alterações no registro documentadas, à criação do arquivo de backup da chave em texto plano e a múltiplas cópias do mesmo executável aparecendo em locais de inicialização. Bloquear tráfego de saída para domínios relacionados ao Telegram e sinalizar binários empacotados com UPX pode ajudar a limitar o risco. Manter backups offline regulares ou imutáveis e impedir a exclusão automática de cópias de sombra de volume também são recomendados.

Resposta

Após a detecção, isole imediatamente o ponto final comprometido, recupere o arquivo de backup da chave de texto plano de %TEMP% e use a conhecida chave mestra para a descriptografia dos arquivos. Erradique todas as instâncias do executável VolkLocker, restaure os valores alterados do registro e reinicie quaisquer soluções de segurança desativadas. Realize uma revisão forense do tráfego baseado em C2 do Telegram e continue monitorando para uso subsequente do token de bot exposto.

graph TB %% Definições de classes classDef technique fill:#99ccff classDef malware fill:#ffcc99 classDef tool fill:#cccccc classDef file fill:#e6e6e6 classDef operator fill:#ff9900 %% Escalada de Privilégios tech_pe_bypass_uac[“<b>Técnica</b> – <b>T1548.002 Contornar o Controlo de Conta de Utilizador</b><br/><b>Descrição</b>: Sequestra HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command para obter privilégios elevados”] class tech_pe_bypass_uac technique %% Persistência tech_persistence_rc[“<b>Técnica</b> – <b>T1037.004 Scripts de Inicialização de Arranque ou Login: Scripts RC</b><br/><b>Descrição</b>: Copia o payload para locais de arranque”] class tech_persistence_rc technique tech_persistence_startup[“<b>Técnica</b> – <b>T1037.005 Itens de Arranque</b><br/><b>Descrição</b>: Coloca cvolk.exe na pasta de arranque do utilizador”] class tech_persistence_startup technique tech_persistence_active[“<b>Técnica</b> – <b>T1547.014 Active Setup</b><br/><b>Descrição</b>: Regista entradas de Active Setup para persistência”] class tech_persistence_active technique file_cvolk[“<b>Ficheiro</b> – cvolk.exe<br/>Caminho: %APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup”] class file_cvolk file file_svchost[“<b>Ficheiro</b> – svchost.exe<br/>Caminho: %PUBLIC%\\Documents”] class file_svchost file file_wlanext[“<b>Ficheiro</b> – wlanext.exe<br/>Caminho: %SYSTEMDRIVE%\\ProgramData\\Microsoft\\Network”] class file_wlanext file file_windowsupdate[“<b>Ficheiro</b> – WindowsUpdate.exe<br/>Caminho: %TEMP%”] class file_windowsupdate file %% Evasão de Defesas tech_account_removal[“<b>Técnica</b> – <b>T1531 Remoção de Acesso à Conta</b><br/><b>Descrição</b>: Desativa contas de utilizador e ferramentas”] class tech_account_removal technique tech_exclusive_control[“<b>Técnica</b> – <b>T1668 Controlo Exclusivo</b><br/><b>Descrição</b>: Modifica o registo para bloquear o Gestor de Tarefas, CMD e Defender”] class tech_exclusive_control technique tech_impair_defenses[“<b>Técnica</b> – <b>T1562.010 Desativar ou Modificar Ferramentas de Segurança</b><br/><b>Descrição</b>: Desliga a monitorização em tempo real”] class tech_impair_defenses technique %% Evasão de Virtualização tech_vm_check[“<b>Técnica</b> – <b>T1497.002 Verificações Baseadas na Atividade do Utilizador</b><br/><b>Descrição</b>: Verifica prefixos MAC e chaves de registo de VM”] class tech_vm_check technique %% Encriptação de Ficheiros tech_custom_archive[“<b>Técnica</b> – <b>T1560.003 Arquivo por Método Personalizado</b><br/><b>Descrição</b>: Encripta ficheiros com AES-256-GCM usando uma chave mestra codificada”] class tech_custom_archive technique tech_upx_packing[“<b>Técnica</b> – <b>T1027.015 Ficheiros Ofuscados/Comprimidos: UPX</b><br/><b>Descrição</b>: Empacota binários com UPX”] class tech_upx_packing technique %% Backup da Chave file_key_backup[“<b>Ficheiro</b> – system_backup.key<br/>Localização: %TEMP%<br/><b>Problema</b>: Armazena a chave mestra em texto simples”] class file_key_backup file %% Inibir Recuperação do Sistema tech_vss_delete[“<b>Técnica</b> – <b>T1490 Inibir a Recuperação do Sistema</b><br/><b>Descrição</b>: Elimina todas as Cópias de Sombra de Volume via vssadmin”] class tech_vss_delete technique %% Destruição de Dados tech_disk_wipe[“<b>Técnica</b> – <b>T1561.001 Limpeza do Conteúdo do Disco: Ficheiros</b><br/><b>Descrição</b>: Apaga Documentos, Ambiente de Trabalho, Transferências e Imagens”] class tech_disk_wipe technique tech_bsod[“<b>Técnica</b> – <b>T1499.004 Negação de Serviço no Endpoint: Exploração de Aplicações</b><br/><b>Descrição</b>: Provoca BSOD usando NtRaiseHardError”] class tech_bsod technique %% Comando e Controlo tech_c2_telegram[“<b>Técnica</b> – <b>T1102.002 Serviço Web: Comunicação Bidirecional</b><br/><b>Descrição</b>: Utiliza um bot do Telegram para C2 com resolução dinâmica”] class tech_c2_telegram technique %% Remoção de Indicadores tech_file_deletion[“<b>Técnica</b> – <b>T1070.004 Eliminação de Ficheiros</b><br/><b>Descrição</b>: Elimina ficheiros temporários e define atributos ocultos/de sistema”] class tech_file_deletion technique %% Conexões tech_pe_bypass_uac –>|ativa| tech_persistence_rc tech_persistence_rc –>|copia| file_cvolk tech_persistence_rc –>|copia| file_svchost tech_persistence_rc –>|copia| file_wlanext tech_persistence_rc –>|copia| file_windowsupdate tech_persistence_rc –>|cria| tech_persistence_startup tech_persistence_rc –>|cria| tech_persistence_active tech_persistence_startup –>|coloca| file_cvolk tech_persistence_active –>|regista| file_cvolk tech_persistence_rc –>|conduz_a| tech_account_removal tech_account_removal –>|modifica| tech_exclusive_control tech_exclusive_control –>|desativa| tech_impair_defenses tech_impair_defenses –>|prepara| tech_vm_check tech_vm_check –>|contorna| tech_custom_archive tech_custom_archive –>|usa| tech_upx_packing tech_upx_packing –>|produz| file_cvolk tech_custom_archive –>|escreve| file_key_backup tech_custom_archive –>|aciona| tech_vss_delete tech_vss_delete –>|impede recuperação para| tech_disk_wipe tech_disk_wipe –>|seguido_por| tech_bsod tech_bsod –>|sinaliza| tech_c2_telegram tech_c2_telegram –>|reporta| tech_file_deletion tech_file_deletion –>|remove| file_key_backup %% Styling class tech_pe_bypass_uac,tech_persistence_rc,tech_persistence_startup,tech_persistence_active,tech_account_removal,tech_exclusive_control,tech_impair_defenses,tech_vm_check,tech_custom_archive,tech_upx_packing,tech_vss_delete,tech_disk_wipe,tech_bsod,tech_c2_telegram,tech_file_deletion technique class file_cvolk,file_svchost,file_wlanext,file_windowsupdate,file_key_backup file

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria & Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa do Ataque & Comandos:

    1. Objetivo: Obter privilégios de SYSTEM em uma estação de trabalho de usuário padrão enquanto evita ferramentas de segurança.
    2. Etapa 1 – Ignorar UAC: O atacante lança ms-settings.exe com uma linha de comando que força o processo a chamar NtRaiseHardError, uma API não documentada conhecida que pode acionar um prompt de elevação de UAC que pode ser aceito automaticamente em certas configurações incorretas.
    3. Etapa 2 – Desativar Defesas: Imediatamente após a elevação, a mesma linha de comando invoca taskkill.exe para terminar ferramentas de análise conhecidas (procmon.exeprocesshacker.exe, etc.) que possam estar monitorando processos privilegiados.
    4. Telemetria Resultante: Um único evento de criação de processo onde Imagem = ms-settings.exe e Linha de Comando contém ambos taskkill.exe e NtRaiseHardError, satisfazendo a regra Sigma.
    # Comando malicioso combinado – elaborado para aparecer como argumentos de ms-settings.exe
$maliciousCmd = '"C:WindowsSystem32ms-settings.exe" "taskkill.exe /F /IM procmon.exe" "NtRaiseHardError"'
Start-Process -FilePath "$env:SystemRootsystem32ms-settings.exe" -ArgumentList $maliciousCmd

  • Script de Teste de Regressão: O seguinte script PowerShell reproduz exatamente o ataque e pode ser reutilizado para testes de regressão automatizados.

    <#
.SINOPSE
    Simula a técnica de ignorar UAC de ms‑settings pelo CyberVolk + terminação de ferramenta de análise.
.DESCRIÇÃO
    Lança ms-settings.exe com uma lista de argumentos elaborada que inclui taskkill.exe e NtRaiseHardError.
    Gera a telemetria específica de criação de processo necessária para acionar a regra de detecção Sigma.
.NOTAS
    Execute com uma conta de usuário normal. Certifique-se de que o ambiente alvo tenha o log de criação de processo habilitado.
#>

# Parâmetros (ajuste se necessário)
$msSettings = "$env:SystemRootsystem32ms-settings.exe"
$analysisTools = @("procmon.exe","processhacker.exe","ida64.exe")
$killCmd = "taskkill.exe /F /IM " + ($analysisTools -join " /IM ")
$hardError = "NtRaiseHardError"

# Construa a string de argumentos maliciosos
$argList = @($killCmd, $hardError) -join " "

Write-Host "Launching ms-settings.exe with malicious arguments..."
Start-Process -FilePath $msSettings -ArgumentList $argList

Write-Host "Command executed:"
Write-Host "`"$msSettings`" $argList"

  • Comandos de Limpeza: Após a verificação, termine quaisquer processos ms-settings.exe remanescentes e restaure o estado normal do sistema.

    # Pare quaisquer processos ms-settings que ainda possam estar em execução
Get-Process -Name "ms-settings" -ErrorAction SilentlyContinue | Stop-Process -Force

# Opcional: Verifique se nenhuma ferramenta de análise foi interrompida não intencionalmente
foreach ($tool in @("procmon","processhacker","ida64")) {
    if (Get-Process -Name $tool -ErrorAction SilentlyContinue) {
        Write-Host "$tool is still running."
    } else {
        Write-Host "$tool was terminated (expected for the test)."
    }
}

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Junte-se Gratuitamente