CyberVolk, un proveedor de ransomware como servicio (RaaS) y un grupo hacktivista prorruso, comparte varias similitudes y conexiones con otros grupos de amenazas prorrusos y tiene motivaciones políticas y financieras que revelan una compleja red de atacantes cuyos motivos son. borroso. SentinelLabs de SentinelOne analiza el cibercrimen en un informe publicado el lunes.
CyberVolk, anteriormente conocido como GLORIAMIST y Solntsevskaya, apareció por primera vez con su nombre actual en mayo de 2024 y comenzó a reclamar víctimas de ransomware en junio de 2024. El grupo con sede en India ha apuntado recientemente a empresas japonesas, entre ellas la Fundación Japón, el Centro de Datos Oceanográficos de Japón, la Agencia Meteorológica de Japón y el Centro del Sistema de Información Terrestre de Tokio.
Los ataques llevados a cabo por CyberVolk y varios otros grupos asociados tienen una combinación de motivaciones financieras y políticas, y dichos grupos utilizan ransomware como justificación para atacar países específicos. SentinelLabs señala que a menudo se citan cuestiones geopolíticas.
Los grupos que habitan este ecosistema también han cambiado su enfoque de los ataques distribuidos de denegación de servicio (DDoS) a esquemas RaaS y otros tipos de malware como servicio (MaaS), y el conjunto de herramientas utilizado por este colectivo de hacktivistas está evolucionando. .
Los empleados de CyberVolk comparten motivación y código
CyberVolk colabora con otros grupos de hackers que promueven intereses prorrusos, como NONAME057(16), y también promueve otros productos RaaS como Invisible/Doubleface, HexaLocker y Parano.
El propio ransomware de CyberVolk también se basa en el código de un grupo anterior de hacktivistas convertido en RaaS llamado AzzaSec, que tiene creencias prorrusas, antiucranianas y antiisraelíes. El código fuente del ransomware AzzaSec se filtró en junio de 2024 y el grupo se disolvió en agosto de 2024.
El malware CyberVolk de AzzaSec se dirige a máquinas con Windows y está escrito en C++. El grupo afirma que anteriormente utilizó AES para el cifrado de archivos y SHA512 para la generación de claves antes de cambiar a “algoritmos ChaCha20-Poly1305 + AES + RSA + resistentes a los cuánticos”.
Una vez que se ejecuta el ransomware, los archivos cifrados tendrán la extensión de archivo “CyberVolk”, el fondo de pantalla del usuario se cambiará a una imagen que muestra el logotipo de CyberVolk y la ventana mostrará una cuenta regresiva. Verá un temporizador y la dirección de criptomoneda de la pandilla. . La demanda de rescate suele ser de 1.000 dólares en Bitcoin o USDT, y un temporizador cuenta atrás desde 5 horas después de que se ejecuta la carga útil.
Según SentinelLabs, el ransomware Invisible/Doubleface asociado tanto con CyberVolk como con la organización antiisraelí Marroquí Black Cyber Army puede presentar funciones similares de fondo de pantalla y temporizador dentro del mismo límite de tiempo de cinco horas. También se descubrió que Invisible/Doubleface se deriva del código filtrado de AzzaSec, y el código fuente de Invisible/Doubleface también se filtró recientemente.
Cybervolk también promueve HexaLocker RaaS asociado con el grupo de hackers LAPSUS$ y una alianza hacktivista llamada The Holy League. La Liga Santa está asociada con ataques contra España tras el arresto de miembros de NONAME057(16) por parte de las autoridades españolas. Sin embargo, los desarrolladores de HexaLocker cesaron sus operaciones en octubre y posteriormente ofrecieron poner a la venta el código y la infraestructura del ransomware.
Las luchas internas hacktivistas llevan al destierro de Telegram
CyberVolk anteriormente realizaba gran parte de su comunicación con partes interesadas y víctimas a través de Telegram, pero fue excluido de la plataforma a principios de noviembre de 2024 en medio de crecientes tensiones entre varios grupos hacktivistas. Actualmente utilizamos X como nuestro principal canal de comunicación pública. La investigación de SentinelLabs encontró que grupos rivales que buscan debilitarse o chantajearse entre sí han utilizado los términos de servicio de Telegram como arma para amenazar a otros con informes y prohibiciones.
La situación puede haber empeorado debido al mayor escrutinio de la plataforma tras el arresto del director ejecutivo de Telegram, Pavel Durov. SentinelLabs observó que presuntos ex miembros de AzzaSec y otro grupo llamado APTZone se atribuyeron la responsabilidad de prohibir otros grupos, incluidos CyberVolk y Doubleface. También descubrimos una publicación de noviembre de RipperSec acusando a ex miembros de AzzaSec y Doubleface de extorsionar y denunciar a grupos asociados con CyberVolk.
Las complejas conexiones entre hacktivistas y atacantes de ransomware, así como las rivalidades y rivalidades entre grupos, miembros individuales y ex miembros, pintan un panorama complejo de grupos de cibercrimen motivados política y financieramente.
Mientras tanto, las tácticas y los conjuntos de herramientas de estos grupos solo están evolucionando: CyberVolk ha desarrollado recientemente shells web y ladrones de información además de servicios RaaS.
“Grupos como CyberVolk aprovechan herramientas genéricas disponibles públicamente que probablemente causen daño, por lo que agregan una capa adicional de complejidad cada vez que la herramienta circula entre la población, y la herramienta continúa expandiéndose y revisándose. Aún más disruptivo, aumentando la cantidad de monitoreo que los equipos de ciberseguridad necesitarán para mantenerse actualizados con lo que sucede dentro del ecosistema del cibercrimen”, concluyó SentinelLabs.
La difuminación de la línea entre grupos con motivación política y financiera se evidencia en el reciente uso del ransomware Play por parte de actores estatales-nación de Corea del Norte, así como por actores patrocinados por el estado iraní como NoEscape, Ransomhouse, ALPHV, etc. visto asociándose con bandas de ransomware. gato negro.
Reutilizar el código de ransomware filtrado también es una táctica popular entre los nuevos atacantes de ransomware, más recientemente en un ataque contra 22 víctimas por parte de la banda emergente de ransomware SafePay en 2022. Se ha confirmado un constructor LockBit filtrado.
https://packetstormsecurity.com/news/view/36642/CyberVolk-Analysis-Explores-Ransomware-Hacktivism-Connections.html
