Η ομάδα CyberVolk Hackers με νέα ωφέλιμα φορτία VolkLocker επιτίθεται σε συστήματα Linux και Windows

Η CyberVolk, μια φιλορωσική ομάδα hacktivist, επανεμφανίστηκε με μια νέα πλατφόρμα ransomware που ονομάζεται VolkLocker μετά από μια περίοδο αδράνειας το 2025.

Η ομάδα, η οποία τεκμηριώθηκε για πρώτη φορά στα τέλη του 2024 για τη διεξαγωγή επιθέσεων ευθυγραμμισμένων με τα συμφέροντα της ρωσικής κυβέρνησης, αρχικά σίγησε λόγω των ενεργειών επιβολής του Telegram.

Ωστόσο, η ομάδα επέστρεψε τον Αύγουστο με μια εξελιγμένη προσφορά Ransomware-as-a-Service που συνδυάζει επικίνδυνες λειτουργίες κρυπτογράφησης με εργαλεία αυτοματισμού που βασίζονται στο Telegram.

Η πλατφόρμα VolkLocker αντιπροσωπεύει την εξέλιξη της ομάδας στις δυνατότητες επίθεσης, εισάγοντας τόσο προηγμένους αυτοματισμούς όσο και προβληματικές αδυναμίες.

Το ransomware στοχεύει πολλαπλά λειτουργικά συστήματα, με εκδόσεις γραμμένες σε Golang για να υποστηρίζουν περιβάλλοντα Linux και Windows.

Αυτή η προσέγγιση πολλαπλών πλατφορμών επεκτείνει σημαντικά την επιφάνεια επίθεσης της ομάδας και τους επιτρέπει να θέτουν σε κίνδυνο διάφορες οργανωτικές υποδομές.

Οι βασικές εκδόσεις φτάνουν χωρίς συσκότιση και οι χειριστές ενθαρρύνονται να χρησιμοποιούν συσκευασία UPX για πρόσθετη προστασία αντί για λειτουργίες εγγενούς κρυπτογράφησης που βρίσκονται συνήθως σε ανταγωνιστικές προσφορές ransomware-as-a-service.

Αναλυτές ασφαλείας SentinelOne διάσημος ότι τα ωφέλιμα φορτία VolkLocker αποκαλύπτουν την ταχεία επέκταση του ομίλου ενώ ταυτόχρονα αποκαλύπτουν λειτουργικές ανωριμότητες που αφήνουν τα θύματα με πιθανές ευκαιρίες ανάκαμψης.

Η ανάλυση εντοπίζει κρίσιμα δοκιμαστικά τεχνουργήματα που είναι ενσωματωμένα στον κώδικα κακόβουλου λογισμικού, υποδηλώνοντας εσπευσμένη ανάπτυξη και ελλιπή πρωτόκολλα ασφαλείας στη διαδικασία δημιουργίας του ransomware.

Κατανόηση του Μηχανισμού Κλιμάκωσης Προνομίων

Το κακόβουλο λογισμικό χρησιμοποιεί εξελιγμένες τακτικές κλιμάκωσης προνομίων αμέσως μετά την εκτέλεση. Όταν κυκλοφορεί, το VolkLocker εξετάζει το περιβάλλον εκτέλεσής του και προσπαθεί να αποκτήσει πρόσβαση διαχειριστή όταν είναι απαραίτητο.

Η κύρια τεχνική κλιμάκωσης αξιοποιεί την παράκαμψη ελέγχου λογαριασμού χρήστη “ms-settings”, η οποία χειρίζεται το κλειδί μητρώου HKCU\Software\Classes\ms-settings\shell\open\command για εκτέλεση με αυξημένα δικαιώματα.

Αυτή η μέθοδος παραβιάζει τη λειτουργικότητα των νόμιμων ρυθμίσεων των Windows για να παρακάμψει τα στοιχεία ελέγχου ασφαλείας χωρίς να ενεργοποιεί προειδοποιήσεις χρήστη.

Η διαδικασία κλιμάκωσης προνομίων ξεκινά ανοίγοντας το κλειδί μητρώου προορισμού με τα κατάλληλα δικαιώματα.

Στη συνέχεια, το κακόβουλο λογισμικό ορίζει τιμές συμβολοσειράς που ανακατευθύνουν τις νόμιμες εκτελέσιμες ρυθμίσεις ms για την εκτέλεση του ωφέλιμου φορτίου ransomware με δικαιώματα διαχειριστή.

Μόλις αποκτηθούν αυξημένα προνόμια, το κακόβουλο λογισμικό μπορεί να έχει πρόσβαση σε προστατευμένα αρχεία και καταλόγους συστήματος σε ολόκληρο το δίκτυο.

Επιπλέον, το VolkLocker εκτελεί ολοκληρωμένη περιβαλλοντική ανακάλυψη, συμπεριλαμβανομένης της απαρίθμησης διεργασιών για τον εντοπισμό εικονικών μηχανών, προσδιορίζοντας κοινά εργαλεία εικονικοποίησης όπως το VirtualBox, το VMware και οι πράκτορες QEMU.

Το κακόβουλο λογισμικό διασταυρώνει τις εκτελούμενες διεργασίες σε γνωστά ονόματα υπηρεσιών εικονικού περιβάλλοντος και ελέγχει τις διευθύνσεις MAC έναντι των προθεμάτων προμηθευτή για να αποφύγει την εκτέλεση σε περιβάλλοντα sandbox.

Αυτή η στρατηγική αποφυγής εντοπισμού επιτρέπει στο κακόβουλο λογισμικό να στοχεύει συστήματα παραγωγής, αποφεύγοντας παράλληλα την ανάλυση ερευνητών ασφαλείας σε απομονωμένα εργαστηριακά περιβάλλοντα.

Οι οργανισμοί πρέπει να εφαρμόζουν ισχυρούς μηχανισμούς ανίχνευσης, παρακολούθηση κλιμάκωσης προνομίων και ελέγχους πρόσβασης στο μητρώο για να αμυνθούν από την εξελιγμένη αλυσίδα επιθέσεων του VolkLocker.