CyberVolk ransomware
A CyberVolk Group egy Indiából származó fenyegető csoport. A Holy League szervezet egyik tagja, amelyet az APT 44 és más orosz és orosz szövetséges hackerek hoztak létre, hogy támadásokat hajtsanak végre a NATO, Ukrajna és az Oroszországgal szemben álló államok ellen. A CyberVolk Ransomware-t a CyberVolk Financially Motivated Threat Actor Group fejlesztette ki, és 2024. július 1-jén Ransomware-as-a-Service-ként (RaaS) bocsátotta árusításra.
A CyberVolk ransomware először 2024. július 1-jén jelent meg, és nem sokkal később RaaS-ként kínálták a dark weben. Az eredetileg C++ nyelven írt ransomware több titkosítási algoritmust használ, köztük ChaCha20-Poly1305, AES, RSA és kvantumrezisztens titkosítást. Az algoritmusok ezen kombinációja növeli a ransomware ellenálló képességét a visszafejtési kísérletekkel szemben, különösen a kvantumszámítási technológiák által.
A Threatmon kutatói megfigyelték, hogy a CyberVolk ransomware egy BMP fájl írásával kezdi meg a folyamatot a $HOME\\AppData\\Temp könyvtárba. Ezután a BMP-fájl háttérképpé válik. Ezután kiírja a „time.dat” fájlt a rendszerre, és elindítja a felhasználói felületet. A „time.dat” fájlban 5 óra van megadva, és a GUI-n az oda írt adatoknak megfelelően beállít egy időzítőt. A time.dat fájl létrehozása után a titkosítás a $HOME könyvtár első könyvtárából indul. Először létrehoz egy .CyberVolk kiterjesztésű fájlt, és tartalmának beolvasásával titkosítja azt. Ezután a titkosított adatokat a.CyberVolk kiterjesztésű fájlba írja. Végül törli a titkosítatlan fájlt a rendszerből.
