VolkLocker: novo ransomware cross‑platform do grupo CyberVolk
O grupo pró‑Rússia CyberVolk reapareceu com uma nova plataforma de ransomware chamada VolkLocker. Relatos técnicos públicos descrevem um código escrito para atacar ambientes Windows e Linux e uma cadeia de execução que combina automação via Telegram com artefatos de desenvolvimento que indicam implantação acelerada.
Descoberta e escopo / O que mudou agora
Analistas da SentinelOne, citados pela cobertura técnica, passaram a monitorar amostras do VolkLocker que surgiram após o retorno do grupo em 2025. A família foi inicialmente documentada em 2024 e voltou a operar em agosto com um modelo Ransomware‑as‑a‑Service (RaaS) que, segundo a análise disponível, fornece payloads para múltiplos operadores.
Vetor e exploração / Mitigações
As amostras de VolkLocker vêm em builds para Windows e Linux, escritas em Golang, o que expande o alcance do ataque a infraestruturas heterogêneas. As builds base chegam sem ofuscação; operadores são encorajados a usar UPX para empacotamento, em vez de funcionalidades de crypt nativas. SentinelOne observa também artefatos de teste embutidos no código, o que sugere desenvolvimento apressado e possíveis oportunidades de recuperação para vítimas.
Do lado do Windows, o ransomware incorpora um mecanismo de escalonamento de privilégios que abusa do manipulador "ms‑settings" para contornar User Account Control (UAC). A técnica manipula a chave de registro HKCU\Software\Classes\ms-settings\shell\open\command para direcionar a execução com privilégios administrativos ao payload malicioso. Dado esse vetor, controles de registro rigorosos e monitoramento de alterações em chaves sensíveis são medidas importantes de detecção e mitigação.
Impacto e alcance / Setores afetados
A abordagem cross‑platform e a disponibilidade em modelo RaaS ampliam o potencial impacto: organizações com servidores Windows e distribuições Linux em suas cadeias de produção podem ser alvos. A análise pública não fornece números de vítimas ou setores específicos atacados até o momento; portanto, não há estimativa disponível sobre o alcance real da campanha.
Vetor técnico e técnicas de evasão
Além do UAC bypass, o malware realiza descoberta ambiental completa para evitar análise em sandboxes: faz enumeração de processos para identificar ferramentas de virtualização (VirtualBox, VMware, QEMU) e checa prefixes de MAC address para detectar ambientes virtuais. Essas verificações permitem que o código evite execução em ambientes de pesquisa e foquem em sistemas de produção.
Limites das informações / O que falta saber
As fontes técnicas apontam para imaturidade operacional do projeto (test artifacts e builds sem ofuscação) e descrevem detalhes de implementação do carregador e do mecanismo de escalada, mas não fornecem dados sobre vetores iniciais de infiltração (por exemplo, phishing, RDP, exploits públicos) nem sobre uma lista consolidada de vítimas. Também não foram divulgadas chaves de indicadores de comprometimento (IOCs) completas no trecho disponível aqui.
Recomendações práticas
- Monitorar e restringir alterações em chaves de registro sensíveis, especialmente HKCU\Software\Classes\ms‑settings\shell\open\command.
- Detectar e alertar logins e execuções inesperadas de processos que iniciem a partir de contexto de ms‑settings ou de bins empacotados com UPX.
- Aplicar segmentação de rede e controles de execução para limitar escalonamento lateral caso um host seja comprometido.
- Inspecionar imagens de builds Golang e binários empacotados via UPX em buscas por artefatos de teste e strings que revelem payloads.
Repercussão / Próximos passos
SentinelOne publicou análise técnica que documenta as capacidades e as fraquezas da família VolkLocker. As informações públicas ainda são técnicas e não incluem confirmação de ataques em larga escala nem vítimas identificadas. Equipes de resposta devem priorizar a revisão de telemetria de escalonamento de privilégios, alterações de registro atípicas e sinais de execução de binários Golang empacotados.
Fonte: Cyber Security News e análise técnica da SentinelOne, conforme reportado nas publicações citadas.