Grupo hacktivista CyberVolk lança ransomware com falhas de segurança

BR Defense Center (By River de Morais e Silva)
ransomware

O grupo hacktivista pro-Rússia conhecido como CyberVolk, também chamado de GLORIAMIST, voltou a atuar com uma nova oferta de ransomware como serviço (RaaS) chamada VolkLocker. Lançado em agosto de 2025, o VolkLocker é capaz de atacar sistemas Windows e Linux, utilizando a linguagem de programação Golang. Apesar de suas características típicas de ransomware, como a modificação do Registro do Windows e a exclusão de cópias de sombra, uma análise revelou uma falha crítica: as chaves mestres do ransomware estão codificadas nos binários e são armazenadas em um arquivo de texto simples na pasta %TEMP%, permitindo que as vítimas recuperem seus arquivos sem pagar o resgate. O ransomware utiliza criptografia AES-256 em modo Galois/Counter (GCM) e impõe um timer que apaga pastas do usuário se o pagamento não for realizado em 48 horas ou se a chave de descriptografia for inserida incorretamente três vezes. O CyberVolk também oferece um trojan de acesso remoto e um keylogger, ampliando sua estratégia de monetização. A operação é gerenciada via Telegram, com preços variando de $800 a $2,200, dependendo do sistema operacional. Apesar das tentativas de banimento de contas no Telegram, o grupo conseguiu restabelecer suas operações, refletindo uma tendência crescente entre grupos de ameaças politicamente motivadas.

Fonte: https://thehackernews.com/2025/12/volklocker-ransomware-exposed-by-hard.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
15/12/2025 • Risco: ALTO
RANSOMWARE

Grupo hacktivista CyberVolk lança ransomware com falhas de segurança

RESUMO EXECUTIVO
O CyberVolk representa uma ameaça significativa com seu ransomware VolkLocker, que, apesar de falhas que permitem recuperação, ainda pode causar danos severos e comprometer a conformidade legal. A operação via Telegram e a possibilidade de ataques a sistemas amplamente utilizados no Brasil exigem atenção imediata dos CISOs.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido a extorsões e recuperação de dados.
Operacional
Possibilidade de recuperação de arquivos sem pagamento devido a falhas de implementação.
Setores vulneráveis
['Setores público e privado que utilizam Windows e Linux']

📊 INDICADORES CHAVE

Preços de RaaS variando de $800 a $2,200. Indicador
Timer de 48 horas para pagamento antes da exclusão de arquivos. Contexto BR
Uso de criptografia AES-256 em GCM. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a presença de arquivos suspeitos na pasta %TEMP% e monitorar atividades no Telegram.
2 Implementar medidas de segurança adicionais, como backups regulares e treinamento de funcionários sobre phishing.
3 Monitorar continuamente a atividade de ransomware e atualizações de segurança relacionadas ao CyberVolk.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a crescente sofisticação de grupos de ransomware e suas implicações para a segurança de dados e conformidade.

⚖️ COMPLIANCE

Implicações legais e de compliance com a LGPD em caso de vazamento de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).