Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

CyberVolk: двойное шифрование атакует критическую инфраструктуру и правительства

4 мин
В мае 2024 года обнаружена новая программа-вымогатель CyberVolk ransomware, отличающаяся сочетанием технической сложности и политически мотивированной тактики выбора жертв. Группа, связанная с пророссийскими интересами, публично взяла на себя ответственность за атаки против критически важных объектов и научных учреждений в ряде стран, включая Японию, Францию и Великобританию. По данным отчёта, ключевые характеристики целевого профиля и средств связи выглядят так: Техническая логика поведения вредоносного ПО направлена на максимальную эффективность атак при минимальном риске нарушить работоспособность системы, что, в свою очередь, повышает вероятность выплаты выкупа: Одной из наиболее значимых особенностей CyberVolk является использование двухуровневого шифрования содержимого файлов, что серьёзно осложняет задачу расшифровки: Появление CyberVolk ransomware подчёркивает, что современные кибератаки всё чаще сочетают техническую изощрённость с геополитическими мотивами. Это требует от орга
Оглавление

В мае 2024 года обнаружена новая программа-вымогатель CyberVolk ransomware, отличающаяся сочетанием технической сложности и политически мотивированной тактики выбора жертв. Группа, связанная с пророссийскими интересами, публично взяла на себя ответственность за атаки против критически важных объектов и научных учреждений в ряде стран, включая Японию, Францию и Великобританию.

Кого атакуют и как выстраивается коммуникация

По данным отчёта, ключевые характеристики целевого профиля и средств связи выглядят так:

  • Основные цели — правительственные учреждения и элементы критической инфраструктуры в странах, которые группа считает враждебными российским интересам.
  • Связь и координация между операторами происходят преимущественно через Telegram, что позволяет злоумышленникам быстро распространять информацию и вести переговоры с жертвами.
  • Группа использует геополитическую напряжённость как фактор усиления своего имиджа и давления на жертв.

Поведение в системе и стратегия шифрования

Техническая логика поведения вредоносного ПО направлена на максимальную эффективность атак при минимальном риске нарушить работоспособность системы, что, в свою очередь, повышает вероятность выплаты выкупа:

  • При запуске программа стартует со стандартными пользовательскими привилегиями, но затем быстро получает права администратора для расширения возможностей по доступу и распространению по системе.
  • Реализовано *selective encryption* — выборочное шифрование, при котором исключаются файлы и каталоги, чёткo определённые в логике программы (те, шифрование которых могло бы нарушить работу ОС или служб).
  • Программа избегает повторного шифрования уже зашифрованных файлов и пропускает динамические файлы, активно изменяющиеся в процессе обработки.
  • После завершения операции в каталоге запуска создаётся записка о выкупе с именем «READMENOW.txt», которая служит основным каналом связи злоумышленников с жертвой.

Криптография: двойной уровень и защита ключей

Одной из наиболее значимых особенностей CyberVolk является использование двухуровневого шифрования содержимого файлов, что серьёзно осложняет задачу расшифровки:

  • Для самого шифрования файлов используются алгоритмы AES и ChaCha20-Poly1305 (двойное шифрование содержимого).
  • Симметричный ключ, применяемый при шифровании, дополнительно защищён с использованием механизма на основе SHA-256. В отчёте исходно указано, что ключ «зашифрован с помощью SHA-256»; технически точнее говорить, что применяется хеширование/защита ключа с использованием SHA-256 для его верификации или derivation — в любом случае это повышает сложность извлечения первоначального ключа.
  • Комбинация AES и ChaCha20-Poly1305 вместе с защитой ключа делает дешифровку без участия злоумышленников чрезвычайно сложной задачей для специалистов по кибербезопасности.

Практические выводы и рекомендации

Появление CyberVolk ransomware подчёркивает, что современные кибератаки всё чаще сочетают техническую изощрённость с геополитическими мотивами. Это требует от организаций не только базовой кибергигиены, но и учёта геополитического контекста при оценке рисков. Практические рекомендации для организаций, находящихся в группе риска:

  • Регулярные и проверенные резервные копии данных с хранением в изолированной среде (air-gapped/backups), чтобы исключить влияние двойного шифрования.
  • Политика минимально необходимых привилегий (least privilege) и контроль за быстрым повышением прав процессов.
  • Сегментация сети и мониторинг аномалий, позволяющий быстро обнаруживать латеральное передвижение и попытки повышения привилегий.
  • Контроль за использованием мессенджеров и внешних каналов связи сотрудниками; мониторинг упоминаний и активности в Telegram, связанной с угрозами.
  • Подготовка и отработка планов инцидент-реакции, включая наличие юридической и PR-стратегии на случай публичного раскрытия компрометации.
«Появление CyberVolk подчеркивает пересечение технологических и геополитических конфликтов в кибервойне» — вывод, который важно учитывать в современной стратегии защиты.

Заключение

CyberVolk ransomware — это пример гибридной угрозы: высокотехнологичное вредоносное ПО, нацеленное выборочно и поддерживаемое политически мотивированной риторикой. Для организаций и специалистов по безопасности это сигнал необходимости пересмотреть модели защиты данных, усилить контроль привилегий и подготовиться к инцидентам, где техническая и политическая составляющие тесно переплетены.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "CyberVolk: двойное шифрование атакует критическую инфраструктуру и правительства".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.