Rosyjska grupa hakerska z amatorską wpadką - ofiary mogą odzyskać pliki

Prorosyjski kolektyw CyberVolk, znany w środowisku analityków jako jedna z bardziej nieprzewidywalnych grup hakerów-aktywistów, znów pojawia się na radarach firm zajmujących się bezpieczeństwem.

Ostatnie miesiące przyniosły spokój, lecz końcówka roku odsłoniła nową operację ransomware jako usługi. Projekt nosi nazwę CyberVolk 2.x, funkcjonuje również jako VolkLocker, i został uruchomiony pod koniec lata. Najbardziej niepokojącym elementem jego funkcjonowania jest pełna integracja z Telegramem, dzięki której osoby o niewielkich kompetencjach technicznych mogą wchodzić do przestępczego ekosystemu i szybko generować ładunki szyfrujące.

Telegram jako infrastruktura przestępcza

Od początku operacji cała komunikacja CyberVolka przebiega przez Telegram. Umożliwia to budowanie ładunków, koordynowanie kampanii i prowadzenie całego podziemnego zaplecza. Zautomatyzowane boty obsługują polecenia odpowiedzialne za wysyłanie komunikatów do ofiar, wyświetlanie list aktywnych infekcji, pobieranie danych o systemach i inicjowanie procesu odszyfrowywania plików. Operatorzy odpowiedzialni za konstruowanie nowych wariantów złośliwego oprogramowania wprowadzają w interfejsie adres bitcoin, token bota, identyfikator czatu, parametry szyfrowania i instrukcje samozniszczenia.

Wszystkie ładunki VolkLockera powstają w języku Go i działają zarówno na Windowsie, jak i Linuksie. W niektórych przypadkach operatorzy modyfikują domyślne funkcje bota Telegramu, dodając własne moduły keyloggerów i trojanów zdalnego dostępu. W listopadzie pojawiły się pierwsze reklamy samodzielnych narzędzi RAT i keyloggerów, a ich ceny oscylują w różnych przedziałach zależnie od systemu operacyjnego i opcji integracji.

Eksperymentalny kod otwiera drogę do odzyskania danych

Mimo rozbudowanej automatyzacji twórcy złośliwego oprogramowania popełnili błąd w kluczowej części mechanizmu szyfrowania. Zamiast generować unikatowe klucze dla każdej ofiary, zaszyli główny klucz w plikach wykonywalnych jako stałe ciągi szesnastkowe. Co więcej, oprogramowanie zapisuje kompletny klucz tekstowy w katalogu tymczasowym systemu. Według analizy Jima Waltera z SentinelOne jest to najprawdopodobniej pozostałość po testach, która nigdy nie powinna znaleźć się w wersjach produkcyjnych.

Klucz główny w postaci zwykłego tekstu „prawdopodobnie reprezentuje artefakt testowy przypadkowo dołączony do wersji produkcyjnych” – napisał Jim Walter, starszy badacz zagrożeń w SentinelOne. „Operatorzy CyberVolka mogą nie zdawać sobie sprawy, że partnerzy wdrażają wersje z wciąż wbudowaną funkcją backupMasterKey().”

Analitycy wskazują, że tak poważne przeoczenie umożliwia ofiarom odzyskanie zaszyfrowanych danych bez konieczności kontaktu z operatorami. Sygnał ten pojawia się w momencie, gdy grupy hakerów coraz częściej szukają metod obniżających próg wejścia dla nowych rekrutów. Błąd w kodzie odzwierciedla problemy z kontrolą jakości i sugeruje, że operacja koncentruje się na szybkim skalowaniu, kosztem stabilności własnego narzędzia.

CyberVolk a scena prokremlowskiego hacktywizmu

CyberVolk pojawił się na scenie w ubiegłym roku. Badacze porównują go do innych prokremlowskich grup, takich jak CyberArmyofRussia_Reborn czy NoName057(16). W odróżnieniu od nich nie odnotowano bezpośrednich powiązań z GRU ani strukturą dowodzenia Kremla. Zamiast klasycznych ataków DDoS grupa od początku korzystała z ransomware, mieszając motywacje polityczne z technikami typowymi dla przestępczych gangów.

Powrót do aktywności nastąpił po okresie blokad ze strony Telegramu. Pomimo wielokrotnych zamknięć kanałów CyberVolk wznowił działalność pod koniec lata, korzystając z nowej infrastruktury i bardziej agresywnego modelu RaaS. SentinelOne analizuje obecnie skalę aktualnej fali ataków i przygotowuje pełniejszy obraz tego, ile organizacji padło ofiarą nowych ataków.