Se você ainda acha que ransomware é coisa de e-mail malicioso e executivo desatento, o CyberVolk veio para te provar o contrário. Surgido em maio de 2024, esse malware não é só mais um na lista: ele é a personificação digital de um conflito geopolítico. Aparentemente alinhado com interesses pró-Rússia, o grupo por trás do CyberVolk está mirando em países com políticas abertamente anti-Kremlin e causando estrago pesado.
O alvo? Nada de pequeno porte: infraestrutura crítica, agências governamentais e institutos de pesquisa científica no Japão, França e Reino Unido. Ou seja, setores que não podem parar. E eles sabem disso.
Geopolítica e Telegram: a nova estratégia do crime digital
O CyberVolk não se esconde. Pelo contrário, usa canais no Telegram para fazer ameaças diretas, negociar resgates e claro exibir seus feitos. Os ataques mais notórios até agora incluem a rede de energia no Japão, laboratórios franceses e consórcios científicos britânicos.
A mensagem é clara: “Você é contra a Rússia? Então seu sistema é nosso alvo.”
Por trás dessa campanha, há uma execução técnica cuidadosa, pensada para prejudicar o máximo possível sem derrubar o sistema. Um tipo de crueldade cirúrgica.
Como funciona o ataque: elevando privilégios e evitando o caos total
O CyberVolk começa o show com uma escalada de privilégios. Mesmo se o executável for iniciado com permissões básicas de usuário, ele rapidamente se relança com poderes de administrador, ganhando controle total da máquina.
A partir daí, ele faz o que todo ransomware moderno deveria fazer (pelo ponto de vista de quem o criou): evita pastas críticas como Windows, Program Files e ProgramData, para garantir que o sistema continue funcional e assim o usuário possa ver o estrago e receber as instruções para pagar.
Curiosamente, ele também evita arquivos que já foram encriptados. Ninguém gosta de trabalho dobrado, nem mesmo malware.
Dupla camada de criptografia: AES e ChaCha20
Aqui começa o nível nerd da coisa. O CyberVolk usa criptografia simétrica em duas camadas uma espécie de cofre dentro de outro cofre:
- Primeiro, ele embaralha o conteúdo com AES-256 GCM, que já seria suficiente para bloquear acesso sem a chave correta.
- Depois, ele joga tudo no ChaCha20-Poly1305, que adiciona uma nova camada de autenticação e encriptação.
O detalhe cruel? O ransomware não armazena os nonces (valores únicos usados na criptografia). Sem eles, não existe como recuperar os dados, nem mesmo se você tiver as ferramentas certas. E isso não é um bug — é intencional.
Falha no próprio algoritmo: ironia ou sadismo?
Apesar de todo o aparato técnico, existe um twist interessante: o código do CyberVolk até tem um módulo de “desencriptação”, mas… ele não consegue aplicar o nonce correto, tornando a função inútil.
É como se o sequestrador prometesse devolver o refém, mas tivesse esquecido onde o escondeu. Resultado: pagar o resgate não garante que você vai recuperar os dados. Sim, é tão ruim quanto parece.
O bilhete de resgate e o relógio do desespero
Depois que o sistema está todo criptografado, o ransomware deixa um bilhete chamado READMENOW.txt na pasta onde foi executado. Além disso, troca o papel de parede por uma mensagem intimidadora.
Você tem três chances para digitar a chave correta antes de perder tudo para sempre. Considerando que a chave correta nem funciona por conta do problema com o nonce… boa sorte.
O que isso revela sobre a nova geração de ataques
O CyberVolk é um recado para empresas e governos: não basta proteger endpoints com antivírus ou firewall. Você precisa de uma estratégia de backup inteligente, offline e isolada, com testes regulares de recuperação. Isso precisa incluir, inclusive, proteger os próprios sistemas de backup contra ransomware. Porque se eles forem atingidos, aí sim acabou tudo.
Esse tipo de ataque revela uma maturidade operacional assustadora. Não é só sobre criptografar arquivos é sobre causar danos permanentes, desestabilizar sistemas e enviar mensagens políticas através de códigos maliciosos.
Detecções atuais
Ferramentas de EDR e antivírus já estão identificando o CyberVolk sob nomes como:
- Ransomware/Win.BlackLock.C5764855
- Ransom/MDP.Behavior.M2649
- Ransom/MDP.Decoy.M1171
- Ransom/EDR.Decoy.M2716
Portanto, se o seu negócio ou instituição ainda não trata backup como prioridade absoluta, você está basicamente apostando contra as probabilidades. O CyberVolk é só mais uma prova de que, no jogo da cibersegurança, o inimigo não dorme e ainda por cima é fluente em criptografia.
