Aquesta amenaça va sorgir el maig de l’any passat, i ja ha provocat interrupcions operatives importants al Regne Unit, França i al Japó.

Cada cert temps emergeix una nova variant o cep de programari de segrest que té al punt de mira diferents empreses o institucions.

 Els investigadors de seguretat han informat sobre CyberVolk, un nou programari de segrest que va aparèixer per primera vegada el maig del 2024 i va evolucionar ràpidament per transformar-se en una sofisticada amenaça que fa anar de corcoll a moltes víctimes avui dia.

Aquest programari de segrest s’ha adreçat, principalment, a agències governamentals i infraestructures crítiques als països hostils als interessos russos.

CyberVolk ja ha ocasionat interrupcions operatives importants en institucions científiques i serveis públics al Japó, França i al Regne Unit.

El grup que es troba darrere del codi maliciós es comunica mitjançant el Telegram exclusivament. Mitjançant aquest canal emet demandes de 20.000 dòlars a Bitcoin i adverteix que qualsevol temptativa de recuperar fitxers xifrats provocarà la destrucció de les dades.

Com es colen?

Un cop més els ciberdelinqüents busquen aprofitar-se del factor humà, i solen dur a terme campanyes de pesca dirigides a credencials administratives compromeses. D’aquesta manera, el programari de segrest s’executa amb privilegis d’usuari estàndard abans de reiniciar-se amb drets elevats.

Quan s’obté accés administratiu, el codi maliciós (malware) exclou de manera sistemàtica directoris i arxius crítics del sistema, i fa coincidir cadenes de rutes predefinides com ara «Windows» i «Fitxers de programa». Així, l’ordinador continua encès i la víctima pot llegir la nota de rescat.

L’exclusió també permet que els components essencials del sistema continuïn intactes, per evitar falles no desitjades que podrien frustrar les negociacions.

El gran problema és que el sistema que fa servir per tancar els fitxers no guarda una peça clau (una cosa anomenada nonce, semblant a una contrasenya temporal). Això vol dir que ni tan sols pagant hi ha forma real de recuperar els arxius, perquè falta la informació necessària.

D’altra banda, per despistar, els actors d’amenaces mostren pantalles falses com si estiguessin desxifrant.