CyberVolk Ressurge: Novos Recursos e Falhas do VolkLocker
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O artigo aborda o ressurgimento do coletivo hacktivista pró-Rússia CyberVolk e sua nova família de ransomware chamada VolkLocker. Este ransomware baseado em Golang tem como alvo sistemas Windows e Linux e utiliza o Telegram para comando e controle. Ele usa uma chave mestra codificada em AES-256-GCM, que também é gravada em texto simples no diretório %TEMP%, efetivamente criando um atalho de descriptografia não intencional. O VolkLocker ainda altera as configurações do registro, desativa controles de segurança e tenta ações destrutivas contra o sistema quando um temporizador embutido expira.
Investigação
Pesquisadores examinaram o exemplar do VolkLocker e observaram que é distribuído sem ofuscação de código, recomendando em vez disso o uso de UPX para empacotamento. O ransomware realiza verificações de ambiente, enumera as unidades disponíveis, criptografa dados usando uma chave mestra estática e armazena essa chave em um arquivo de backup oculto. A persistência é mantida replicando o executável em vários caminhos e aplicando alterações no registro. Tokens de bot do Telegram e um endereço Bitcoin são elementos de configuração obrigatórios para operação bem-sucedida.
Mitigação
Os defensores devem ficar atentos às alterações no registro documentadas, à criação do arquivo de backup da chave em texto plano e a múltiplas cópias do mesmo executável aparecendo em locais de inicialização. Bloquear tráfego de saída para domínios relacionados ao Telegram e sinalizar binários empacotados com UPX pode ajudar a limitar o risco. Manter backups offline regulares ou imutáveis e impedir a exclusão automática de cópias de sombra de volume também são recomendados.
Resposta
Após a detecção, isole imediatamente o ponto final comprometido, recupere o arquivo de backup da chave de texto plano de %TEMP% e use a conhecida chave mestra para a descriptografia dos arquivos. Erradique todas as instâncias do executável VolkLocker, restaure os valores alterados do registro e reinicie quaisquer soluções de segurança desativadas. Realize uma revisão forense do tráfego baseado em C2 do Telegram e continue monitorando para uso subsequente do token de bot exposto.
Fluxo de Ataque
Detecções
Detecção de Artefatos de Ransomware CyberVolk [Evento de Arquivo do Windows]
Ver
Elevação de Privilégio e Terminação de Processo pelo Ransomware CyberVolk [Criação de Processo do Windows]
Ver
IOCs (HashSha1) para detectar: CyberVolk Retorna | VolkLocker Falho Traz Novos Recursos Com Dores de Crescimento
Ver
Possível Modificação do Registro para Bloqueio de Ferramentas do Sistema (via linha de comando)
Ver
Desativando Proteções do Windows Defender (via evento_registry)
Ver
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria & Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa do Ataque & Comandos:
- Objetivo: Obter privilégios de SYSTEM em uma estação de trabalho de usuário padrão enquanto evita ferramentas de segurança.
-
Etapa 1 – Ignorar UAC: O atacante lança ms-settings.exe com uma linha de comando que força o processo a chamar
NtRaiseHardError, uma API não documentada conhecida que pode acionar um prompt de elevação de UAC que pode ser aceito automaticamente em certas configurações incorretas. -
Etapa 2 – Desativar Defesas: Imediatamente após a elevação, a mesma linha de comando invoca taskkill.exe para terminar ferramentas de análise conhecidas (
procmon.exe,processhacker.exe, etc.) que possam estar monitorando processos privilegiados. -
Telemetria Resultante: Um único evento de criação de processo onde Imagem = ms-settings.exe e Linha de Comando contém ambos
taskkill.exeeNtRaiseHardError, satisfazendo aregra Sigma.
# Comando malicioso combinado – elaborado para aparecer como argumentos de ms-settings.exe $maliciousCmd = '"C:WindowsSystem32ms-settings.exe" "taskkill.exe /F /IM procmon.exe" "NtRaiseHardError"' Start-Process -FilePath "$env:SystemRootsystem32ms-settings.exe" -ArgumentList $maliciousCmd -
Script de Teste de Regressão: O seguinte script PowerShell reproduz exatamente o ataque e pode ser reutilizado para testes de regressão automatizados.
<# .SINOPSE Simula a técnica de ignorar UAC de ms‑settings pelo CyberVolk + terminação de ferramenta de análise. .DESCRIÇÃO Lança ms-settings.exe com uma lista de argumentos elaborada que inclui taskkill.exe e NtRaiseHardError. Gera a telemetria específica de criação de processo necessária para acionar a regra de detecção Sigma. .NOTAS Execute com uma conta de usuário normal. Certifique-se de que o ambiente alvo tenha o log de criação de processo habilitado. #> # Parâmetros (ajuste se necessário) $msSettings = "$env:SystemRootsystem32ms-settings.exe" $analysisTools = @("procmon.exe","processhacker.exe","ida64.exe") $killCmd = "taskkill.exe /F /IM " + ($analysisTools -join " /IM ") $hardError = "NtRaiseHardError" # Construa a string de argumentos maliciosos $argList = @($killCmd, $hardError) -join " " Write-Host "Launching ms-settings.exe with malicious arguments..." Start-Process -FilePath $msSettings -ArgumentList $argList Write-Host "Command executed:" Write-Host "`"$msSettings`" $argList" -
Comandos de Limpeza: Após a verificação, termine quaisquer processos ms-settings.exe remanescentes e restaure o estado normal do sistema.
# Pare quaisquer processos ms-settings que ainda possam estar em execução Get-Process -Name "ms-settings" -ErrorAction SilentlyContinue | Stop-Process -Force # Opcional: Verifique se nenhuma ferramenta de análise foi interrompida não intencionalmente foreach ($tool in @("procmon","processhacker","ida64")) { if (Get-Process -Name $tool -ErrorAction SilentlyContinue) { Write-Host "$tool is still running." } else { Write-Host "$tool was terminated (expected for the test)." } }