O grupo hacktivista pró-russo conhecido como CyberVolk (ou GLORIAMIST) voltou à carga com uma nova ameaça no mundo do cibercrime, mas desta vez a execução técnica deixou muito a desejar. O grupo lançou um novo serviço de ransomware-as-a-service (RaaS) chamado VolkLocker, que surgiu em agosto de 2025, mas que contém erros graves de implementação que podem permitir às vítimas recuperar os seus dados sem pagar um cêntimo.
Segundo as informações avançadas pelo The Hacker News, este novo malware foi desenvolvido na linguagem de programação Go e tem a capacidade de atacar tanto sistemas Windows como Linux. No entanto, apesar das intenções maliciosas, os criadores cometeram lapsos fundamentais nos artefactos de teste.
Uma encriptação forte com uma "chave" debaixo do tapete
Tecnicamente, o VolkLocker utiliza o algoritmo AES-256 em Galois/Counter Mode (GCM) para encriptar os ficheiros das vítimas, atribuindo-lhes extensões personalizadas como .locked ou .cvolk.
No entanto, uma análise mais profunda revelou uma falha crítica: as chaves mestras de encriptação não só estão codificadas diretamente ("hard-coded") nos binários, como também são gravadas num ficheiro de texto simples na pasta temporária do sistema (C:\Users\AppData\Local\Temp\system_backup.key). Como este ficheiro de chave não é eliminado após o processo, a aut recuperação torna-se possível para qualquer utilizador com conhecimentos básicos, anulando a eficácia do bloqueio.
Ameaças agressivas e gestão via Telegram
Apesar desta vulnerabilidade que joga a favor das vítimas, o VolkLocker não deixa de ser uma ameaça perigosa. O malware tenta escalar privilégios, enumera o sistema para detetar ambientes de virtualização (como Oracle e VMware) e encerra processos de segurança, incluindo o Microsoft Defender.
Para pressionar o pagamento, o ransomware inclui um temporizador agressivo: se o resgate não for pago no prazo de 48 horas, ou se forem introduzidas chaves de desencriptação erradas três vezes, o malware apaga o conteúdo das pastas do utilizador, incluindo Documentos, Ambiente de Trabalho, Downloads e Imagens.
A gestão destes ataques de ransomware é feita de forma moderna, utilizando o Telegram para o comando e controlo. Os operadores podem enviar mensagens às vítimas e gerir a encriptação diretamente através de bots na plataforma.
De acordo com o relatório da SentinelOne, o acesso a este serviço custa aos criminosos entre 800 e 1.100 dólares para uma versão (Windows ou Linux), ou até 2.200 dólares para ambas. Além do ransomware, o grupo expandiu a sua oferta em novembro de 2025, vendendo também trojans de acesso remoto e keyloggers.
Nenhum comentário
Seja o primeiro!