O grupo de hacktivistas pró-Rússia chamado CyberVolk lançou uma ação de ransomware como serviço (RaaS) que chamou a atenção dos especialistas de cibersegurança por apresentar uma falha que pode reverter o jogo a favor da vítima.
- Quase 50% dos ataques de ransomware começam pela sua VPN
- Primeiro ransomware feito com IA é identificado, mas ainda não está ativo
Executado inteiramente pelo Telegram, a operação foi criada para ser usada de maneira integrada, gerando payloads no aplicativo de mensagens para facilitar a comercialização ilícita. O modelo de negócio surgiu como uma maneira de concentrar em um só lugar a venda de códigos maliciosos, servindo como uma mão na roda para quem não tem muito conhecimento técnico sobre o processo.
A boa notícia para os usuários comuns é que, apesar da ameaça à espreita, os hackers deixaram uma falha sem querer no momento de depuração do código.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
Recuperar dados sem pagar nada
O especialista Jim Walter, da SentinelOne, descobriu que os criadores do VolkLocker, o nome pelo qual o RaaS do CyberVolk é conhecido, incluíram as chaves mestras do código nos arquivos executáveis, que podem agir tanto em máquinas com sistema Linux quanto no Windows.
Isso significa que a mesma chave que criptografa os arquivos no sistema da vítima, sequestrando-os para exigência de resgate, passam a estar disponíveis para os usuários. Em outras palavras, o alvo pode recuperar os próprios dados criptografados sem precisar pagar pelo resgate.
Para Walter, essa contradição mostra uma operação que “enfrenta dificuldades com os desafios da expansão”, já que, enquanto demonstra uma automação sofisticada no Telegram, também “dá um passo para trás” quando fornece recursos para que a vítima consiga reverter o caso.
O ransomware na prática
Para além da falha encontrada, o especialista identificou que toda a comunicação, o processo de compra e o suporte são realizados pelos hackers dentro do Telegram. O grupo ainda consegue reunir comandos que enviam mensagens para as vítimas, listando-as e recuperando informações dos sistemas infectados.
Além disso, o sistema robusto (porém falho) do VolkLocker traz recursos personalizáveis que contam com ferramentas adicionais, como keyloggers e trojans de acesso remoto, os RATs.
O pesquisador ainda descobriu que o ransomware opera na base do escalonamento de privilégios, contornando proteções do sistema para obter controle total da máquina. Dessa forma, o criminoso consegue determinar quais arquivos serão criptografados, mas isso também pode se voltar contra ele.
Isso porque as chaves de criptografia não são geradas de maneira dinâmica, mas codificadas e gravadas em um arquivo simples de texto que conta com a tal da chave mestra completa. Apesar da falha, o especialista alerta para o perigo da organização que, mesmo com essas questões, ainda pode pegar os desavisados.
Leia também:
- O que é ransomware?
- Pesquisador cria ransomware que infecta CPUs e inutiliza proteções atuais
- “Violência como Serviço”: Ransomware evolui para sequestro e ameaças físicas
Leia a matéria no Canaltech.
