Um novo ransomware-as-a-service (RaaS) chamado VolkLocker, atribuído ao grupo de hackerativistas pró-Rússia CyberVolk (também conhecido como GLORIAMIST), foi lançado com a promessa de criptografar arquivos e exigir resgate sob a ameaça de exclusão em poucas horas. No entanto, uma pesquisa detalhada da empresa de segurança SentinelOne revelou uma falha crítica em sua implementação que permite às vítimas desencriptar e recuperar seus arquivos sem a necessidade de pagar qualquer valor aos criminosos.
A SentinelOne descobriu a atividade do VolkLocker em agosto de 2025. Escrito na linguagem Golang, o malware é capaz de afetar tanto sistemas Windows quanto Linux. O serviço de RaaS oferece aos criminosos a possibilidade de configurar o ataque, incluindo endereço Bitcoin para resgate, token e ID de bot do Telegram para comunicação, prazo de criptografia, extensões de arquivos-alvo e opções de autodestruição.
Como o VolkLocker Atua Antes da Falha
Após infectar um computador, o VolkLocker segue um padrão de ataque típico. Ele tenta escalar privilégios, realiza um reconhecimento extenso no sistema e verifica o endereço MAC local para evitar a detecção por programas de virtualização, como Oracle e VMWare. Em seguida, lista todos os drivers disponíveis e determina quais arquivos serão criptografados com base nas configurações fornecidas pelo operador do ataque.
A criptografia é realizada usando o algoritmo AES-256 no modo Galois/Counter (GCM), através do pacote crypto/rand. Os arquivos criptografados recebem extensões como .locked ou .cvolk. Além da criptografia, o ransomware também executa ações para evitar detecção, como deletar arquivos espelhados e encerrar processos do Microsoft Defender Antivirus. Uma característica notável é um contador de 48 horas que ameaça apagar o conteúdo das pastas Documentos, Desktop, Downloads e Imagens caso o resgate não seja pago.
A Falha de Implementação que Salva as Vítimas
O grande calcanhar de Aquiles do VolkLocker reside em uma falha crítica de implementação. A chave-mestra de criptografia do ransomware não apenas fica “hard-coded” nos arquivos binários do malware, mas também é gravada em texto corrido na pasta temporária do sistema (C:UsersAppDataLocalTempsystem_backup.key). Isso significa que um usuário afetado pode simplesmente localizar essa chave e utilizá-la para liberar seus arquivos sem ceder às exigências dos golpistas.
O Grupo CyberVolk e Seu Modelo de RaaS
As operações de RaaS do grupo CyberVolk são conduzidas principalmente via Telegram, onde oferecem suas ferramentas. Os custos variam entre US$ 800 (aproximadamente R$ 4.320) e US$ 1.100 (cerca de R$ 5.940) para versões destinadas a sistemas Windows ou Linux, e entre US$ 1.600 (R$ 8.640) e US$ 2.200 (R$ 11.880) para ataques que visam ambos os sistemas. O ransomware inclui automação via Telegram para facilitar o contato com as vítimas e a coleta de informações do sistema.
Em novembro deste ano, o grupo expandiu seu portfólio, anunciando também a venda de trojans de acesso remoto (RATs) e keyloggers, cada um custando US$ 500 (R$ 2.700). O CyberVolk iniciou suas atividades com RaaS em junho de 2024, conduzindo ataques DDoS e ransomware contra governos e entidades públicas, sempre em apoio a interesses do governo russo. Embora o grupo se posicione como pró-Rússia, acredita-se que sua origem seja na Índia, conforme apontado pela SentinelOne.
Leave a Reply