Oroszbarát CyberVolk ransomware
A CyberVolk ransomware, amely először 2024 májusában jelent meg, különböző országok közintézményei és kulcsfontosságú infrastruktúrái ellen indított támadásokat. A ransomware különösen figyelemre méltó oroszbarát jellege miatt, mivel elsősorban az Oroszország-ellenes országokat veszi célba, ami geopolitikailag jelentős kiberfenyegetéssé teszi. Az AhnLab technikai elemzést nyújt a ransomware csoport belső működéséről, a titkosítási struktúrájáról és azokról az okokról, amelyek miatt a visszafejtés nem lehetséges.
A csoport nemrégiben azt állította, hogy támadást hajtott végre Japán, Franciaország és az Egyesült Királyság fontos infrastrukturális létesítményei és tudományos intézményei ellen. A csoport fő kommunikációs csatornájaként a Telegramot használja.
A csoport SHA-256 algoritmust használ a fájlban hardcoded karakterlánc titkosítására, és ezt a titkosított értéket szimmetrikus kulcsként használja. A fájl tartalmát ezután az AES és a ChaCha20-Poly1305 algoritmusokkal titkosítják.
