El ransomware cybervolk surgió por primera vez en mayo de 2024, evolucionando rápidamente a una amenaza sofisticada dirigida a las agencias gubernamentales e infraestructura crítica en países percibidos como hostiles a los intereses rusos.
Aprovechando un proceso de cifrado simétrico de doble capa, este malware ha infligido importantes interrupciones operativas en las instituciones científicas y los servicios públicos en Japón, Francia y el Reino Unido.
El grupo detrás de los ataques se comunica exclusivamente a través de Telegram, emitiendo demandas de $ 20,000 en Bitcoin y advirtiendo que cualquier intento de recuperar archivos cifrados dará como resultado la destrucción de datos.
La infección inicial generalmente ocurre a través de campañas de phishing dirigidas o credenciales administrativas comprometidas, lo que permite que el ransomware se ejecute bajo privilegios de usuario estándar antes de relanzar con derechos elevados.
Los analistas de ASEC identificaron que una vez que se obtiene el acceso administrativo, el malware excluye sistemáticamente los directorios y archivos críticos del sistema al hacer coincidir las cadenas de rutas predefinidas como “Windows” y “archivos de programa”.
Flujo de ejecución de Cybervolk (fuente – ASEC)
Esta exclusión asegura que los componentes del sistema esenciales permanezcan intactos, evitando los bloqueos del sistema no intencionados que podrían frustrar las negociaciones de rescate.
Investigadores de ASEC anotado La estructura única de doble cifrado del malware, que combina AES-256 en modo GCM con Chacha20-Poly1305 para asegurar cada archivo.
Se genera un nonce aleatorio de 12 bytes para cada operación de cifrado, pero críticamente, este nonce no se conserva en los metadatos del archivo cifrado, lo que hace que el descifrado sea prácticamente imposible sin la clave original.
Una vez que el cifrado concluye, Cybervolk crea una nota de rescate llamada ReadMenow.txt en el directorio afectado, instruyendo a las víctimas sobre los procedimientos de pago y descifrado.
Nota de rescate generada (fuente – ASEC)
A pesar de su sofisticación técnica, el ransomware cibernético exhibe una falla deliberada en su rutina de descifrado.
Cuando las víctimas ingresan a la clave de descifrado suministrada, el malware intenta descifrar la capa Chacha20-Poly1305 utilizando un Nonce incorrecto, lo que hace que el proceso falle incluso con una clave válida.
Progreso de descifrado de camuflaje (fuente – ASEC)
Esta táctica de “descifrado de camuflaje” engaña a las víctimas para que crean que pueden recuperar los datos a través del pago, mientras que en realidad, la ausencia de la nonce original hace que la recuperación sea inviable.
Mecanismo de infección Dive Deep Dive
Tras la ejecución, Cybervolk verifica sus privilegios y, si es necesario, desencadena una rutina de escalada de privilegios para obtener los derechos del administrador.
Luego enumera los archivos en todas las unidades locales, filtrando rutas que contienen sustraciones definidas en una tabla de exclusión.
La rutina de cifrado central lee cada archivo en la memoria e invoca la función crypto_aes_newcipher basada en GO seguida de crypto_cipher_newgcm para realizar el cifrado AES-256 GCM:——————————————————-
v15 = crypto_aes_newcipher (kyptr, 32, 32, 0, a5, …) v76 = crypto_cipher_newgcm (v15, 32, …, a5, …) nonce: = make (() byte, v76.noncesize ()) crypto_rand_read (nonce, v76.nonces (),), ciftiLeTere (),), cift. : = v76.sal (nulo, nonce, fileData, nil)
Este texto cifrado se envuelve posteriormente con Chacha20-Poly1305, produciendo una carga útil compacta que consiste únicamente en datos cifrados y una etiqueta de autenticación.
Al omitir el Nonce en la carga útil almacenada, los desarrolladores garantizan que solo ellos pueden realizar un descifrado válido, aunque su propia implementación defectuosa evita que incluso los restauren archivos sin administración manual de no CE.
La rutina de infección a medida, combinada con capas de cifrado sofisticadas y defectos de recuperación deliberados, subraya la intención de Cybrevolk de maximizar el impacto operativo y la incertidumbre de las víctimas.
Las organizaciones deben implementar copias de seguridad fuera del sitio, restringir el acceso administrativo y realizar simulacros de recuperación regulares para mitigar tales amenazas.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
