【安全资讯】CyberVolk：从黑客主义到勒索软件的新威胁揭露

概要：

Rapid7 Labs的网络安全研究人员发布了一份关于CyberVolk的详细报告，揭露了这一政治动机的黑客组织如何从黑客主义转变为使用勒索软件作为主要工具。自2024年6月以来，CyberVolk迅速崛起，对西班牙构成重大威胁，尤其是在地缘政治事件的背景下。该组织最初进行DDoS攻击，但随着成员被捕，该策略发生重大转变。

主要内容：

CyberVolk起初是一个亲俄的黑客主义组织，以DDoS攻击开始其行动。在NoName57(16)组织成员被捕后，CyberVolk转向勒索软件攻击，针对西班牙的关键基础设施和政府实体进行一系列协同攻击。这一新的攻击策略标志着该组织在手段上的演变，给西班牙的重要部门带来了显著风险。

根据Rapid7的分析，CyberVolk的勒索软件具备一些独特的技术特征。比如，在加密文件之前，勒索软件会更改受害者的桌面壁纸。同时，CyberVolk会监控任务管理器的状态，通过终止其进程来避免被检测到。在文件加密完成后，它会生成赎金通知，并要求以比特币或USDT支付。虽然其解密过程存在关键验证弱点，但没有正确密钥的文件仍无法使用。

进一步的代码分析表明，CyberVolk的加密过程与著名的Babuk勒索软件具有相似性。研究人员使用BinDiff工具发现加密例程的重叠部分，暗示CyberVolk的开发者可能重用了Babuk的加密框架，同时添加了AES加密以及反分析技术以规避检测。尽管存在技术瑕疵，CyberVolk作为一种威胁，已对西班牙造成了显著损害，自行动开始以来，已有27个实体受其攻击影响。