AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Nueva versión de VolkLocker: Mejoras técnicas pero un error crítico debilita al ransomware de CyberVolk

admin

Introducción

El panorama del ransomware continúa evolucionando con la aparición de variantes cada vez más sofisticadas y especializadas. En las últimas semanas, se ha detectado una nueva versión de VolkLocker, el ransomware operado por el grupo pro-ruso CyberVolk, conocido por ofrecer sus servicios bajo el modelo Ransomware-as-a-Service (RaaS). A pesar de incorporar mejoras técnicas notables, los investigadores han identificado un defecto fundamental en su última versión que podría limitar su impacto. En este artículo, analizamos en profundidad los detalles técnicos, vectores de ataque y el alcance real de esta amenaza, así como sus implicaciones para organizaciones y profesionales de la ciberseguridad.

Contexto del Incidente o Vulnerabilidad

CyberVolk es un grupo de cibercrimen con afinidad ideológica al entorno ruso y con actividad confirmada desde mediados de 2022. Utiliza el modelo RaaS, permitiendo a afiliados desplegar VolkLocker a cambio de una comisión de los rescates obtenidos. En los últimos meses, la actividad de CyberVolk ha aumentado, coincidiendo con la integración de nuevas capacidades en su arsenal y una mayor orientación a sectores críticos europeos, especialmente infraestructuras de TI, manufactura avanzada y empresas del sector financiero.

La aparición de una nueva versión de VolkLocker ha sido detectada por múltiples equipos de Threat Intelligence, que han observado campañas activas de distribución mediante phishing dirigido (spear phishing) y explotación de vulnerabilidades en servicios expuestos (principalmente RDP, VPN y servidores con software desactualizado).

Detalles Técnicos

La versión más reciente de VolkLocker introduce varias mejoras técnicas destinadas a evadir las detecciones tradicionales y optimizar su capacidad de cifrado:

– **Cifrado mejorado**: Utiliza el algoritmo AES-256 en modo CTR para el cifrado de archivos, con la clave maestra protegida mediante RSA-4096. El proceso se realiza de forma multi-hilo, acelerando la afectación de grandes volúmenes de datos.
– **Persistencia**: Incorpora técnicas para modificar claves de registro y crear tareas programadas, logrando persistir tras reinicios del sistema.
– **Elusión de EDR**: Emplea ofuscación avanzada y carga reflectiva en memoria, dificultando la detección por soluciones EDR y antivirus tradicionales.
– **Comunicación C2**: Integra canales cifrados basados en HTTP/2 y WebSocket para la exfiltración de información y la recepción de comandos.
– **Vectores de ataque**: Las infecciones iniciales documentadas utilizan exploits para CVE-2023-34362 (MOVEit Transfer) y CVE-2022-1388 (F5 BIG-IP), además de campañas de phishing con documentos maliciosos (macros en Excel y scripts PowerShell).

Sin embargo, los analistas han identificado un fallo crítico en la gestión de claves de cifrado: en determinadas condiciones, la clave AES generada localmente no se elimina tras el cifrado y puede ser recuperada del espacio de memoria, permitiendo el descifrado sin necesidad de pagar el rescate.

En cuanto a TTPs (TACTICS, TECHNIQUES AND PROCEDURES) mapeadas en MITRE ATT&CK, destacan las siguientes:

– Initial Access: Spearphishing Attachment (T1566.001), Exploit Public-Facing Application (T1190)
– Execution: Command and Scripting Interpreter (T1059), Scheduled Task (T1053)
– Defense Evasion: Obfuscated Files or Information (T1027), Inhibit System Recovery (T1490)
– Impact: Data Encrypted for Impact (T1486)

Impacto y Riesgos

Aunque la nueva versión de VolkLocker demuestra mejoras técnicas considerables, el error en la gestión de claves supone una debilidad significativa que podría ser aprovechada por los equipos de respuesta. No obstante, se han reportado ya incidentes que han afectado a varias empresas medianas y grandes en la Unión Europea y Reino Unido, con pérdidas económicas asociadas a tiempos de inactividad y costes de remediación superiores a los 2 millones de euros en casos individuales.

La capacidad de cifrado rápido y la evasión de controles de seguridad aumentan el riesgo para organizaciones con infraestructuras críticas. El uso del ransomware en modalidad RaaS multiplica el alcance de la amenaza, permitiendo que actores menos sofisticados desplieguen variantes personalizadas con rapidez.

Medidas de Mitigación y Recomendaciones

Los equipos de seguridad deben priorizar las siguientes acciones:

– Actualización inmediata de sistemas vulnerables, especialmente aquellos afectados por CVE-2023-34362 y CVE-2022-1388.
– Implementación estricta de MFA en accesos remotos y VPNs.
– Monitorización de comportamientos anómalos, como la creación de tareas programadas y la modificación de claves de registro.
– Detección proactiva de IoCs asociados a VolkLocker, incluyendo hashes de archivos (SHA256) y dominios de C2 observados en campañas recientes.
– Copias de seguridad offline y pruebas periódicas de restauración.
– Uso de soluciones avanzadas de EDR con capacidades de análisis en memoria.

Opinión de Expertos

Expertos del sector, como Marta Fernández (CISO en una multinacional española de telecomunicaciones) y el equipo de Threat Intelligence de S21sec, coinciden en que “la profesionalización del ransomware RaaS no debe subestimarse, pero la existencia de errores de implementación como el de VolkLocker demuestra que incluso las amenazas avanzadas pueden ser mitigadas con una respuesta técnica adecuada y capacidades de análisis forense”.

Implicaciones para Empresas y Usuarios

Este incidente pone de relieve la necesidad de una vigilancia continua, inversión en formación y actualización de los planes de respuesta ante incidentes. Las organizaciones afectadas por VolkLocker deberán considerar, además, las obligaciones en materia de notificación de incidentes según la Directiva NIS2 y el Reglamento General de Protección de Datos (GDPR), dado el potencial impacto en la confidencialidad e integridad de la información personal.

Conclusiones

La nueva versión de VolkLocker representa un avance en las capacidades de los grupos RaaS, pero su defecto crítico subraya la importancia de la supervisión técnica y la respuesta coordinada. Los profesionales de la ciberseguridad deben mantenerse alerta ante la evolución de estas amenazas, reforzando controles y compartiendo información sobre IoCs y técnicas emergentes para limitar su impacto.

(Fuente: www.darkreading.com)