Um caso recente ilustra como uma única linha de código feita com descuido consegue transformar um ransomware “de última geração” numa oportunidade inesperada para um investigador de segurança - e, por vezes, numa verdadeira tábua de salvação para vítimas que se recusam a pagar.
CyberVolk, VolkLocker e o negócio de ransomware-as-a-service via Telegram
O CyberVolk, um grupo de cibercrime acompanhado por investigadores de ameaças desde o final de 2024, move-se numa zona cinzenta entre hacktivismo e lucro. Os seus operadores apresentam-se como motivados por razões políticas, apontando frequentemente a instituições públicas e a organizações com ligação ao Estado. A narrativa que divulgam apoia-se em tensões geopolíticas para justificar ataques que, na prática, continuam a ter o perfil típico de crime organizado.
Depois de vários meses discretos, o grupo voltou a dar sinais em agosto de 2025 com uma versão renovada do seu ransomware, o VolkLocker. A novidade não esteve tanto no código em si, mas sobretudo na forma de distribuição e de gestão da operação. O VolkLocker passou a ser disponibilizado como ransomware-as-a-service, alugado a afiliados, enquanto o CyberVolk coordena tudo através de um painel de controlo assente no Telegram.
O Telegram, amplamente usado tanto em coordenação de ativismo como em atividades criminosas, encaixa na estratégia do grupo. Através de uma interface em estilo de bot, os operadores conseguem:
- Gerar novos executáveis maliciosos a pedido.
- Enviar comandos para máquinas infetadas.
- Recolher informação do sistema das vítimas.
- Registar cada intrusão como se fosse um número de encomenda numa loja.
Este modelo industrializa o ransomware para utilizadores com pouca capacidade técnica. Um afiliado consegue lançar um ataque sem dominar criptografia, mecanismos de persistência ou movimento lateral em rede. É uma lógica de serviço que já transformou kits de phishing e ferramentas de roubo de credenciais em produtos de “apontar e clicar”.
O VolkLocker aproxima o ransomware de um produto por subscrição, em vez de uma ciberarma feita à medida, baixando a fasquia para quem quer extorquir.
No entanto, esta corrida à automação e à facilidade de utilização abriu espaço para aquilo que o CyberVolk provavelmente não antecipou: código frágil, funcionalidades apressadas e um erro grosseiro que enfraqueceu toda a operação.
A chave de encriptação partilhada no centro do VolkLocker
As famílias modernas de ransomware tendem a apoiar-se em desenho criptográfico robusto. Regra geral, cada vítima recebe um par de chaves único (muitas vezes gerado por sessão), e a chave privada de desencriptação nunca é escrita na máquina da vítima. Os atacantes guardam-na remotamente e só a disponibilizam após pagamento. Este modelo torna quase impossível a desencriptação “em massa”, a menos que as autoridades apreendam os servidores dos criminosos.
O VolkLocker foge a esse padrão. Em vez de gerar uma chave por vítima, o malware inclui uma única chave principal de encriptação compilada diretamente no executável. Na prática, isto significa que múltiplos ataques acabam por partilhar o mesmo segredo criptográfico.
Do ponto de vista de um ator malicioso, esta opção já introduz risco. Uma equipa de segurança que faça engenharia reversa a uma amostra pode extrair a chave partilhada e reutilizá-la para apoiar outras vítimas. Ainda assim, os operadores do CyberVolk agravaram o perigo ao deixarem escapar para o “mundo real” uma função de depuração que nunca deveria ter saído do laboratório.
A funcionalidade de depuração esquecida que expôs tudo
Durante a infeção, o VolkLocker cria um ficheiro temporário no sistema da vítima. Esse ficheiro reúne três elementos:
- A chave principal de encriptação usada para bloquear os ficheiros.
- Um identificador único da vítima.
- O endereço de Bitcoin para o pagamento do resgate.
O ficheiro fica gravado em disco em texto simples. Sem ofuscação. Sem encriptação local. Sem limpeza automática quando o malware termina. Para equipas de resposta a incidentes familiarizadas com padrões de ransomware, isto equivale a um “código de batota” deixado em cima da mesa.
A mesma nota que ameaça destruir dados para sempre acaba por partilhar, discretamente, a combinação do cadeado - se souber onde procurar na máquina.
Esta “registação” terá quase de certeza começado como uma ferramenta interna de testes. É comum os programadores guardarem chaves e parâmetros em disco durante a depuração e removerem essas rotinas das versões finais. Aqui, a remoção nunca aconteceu. Quando o CyberVolk empacotou o VolkLocker para afiliados, o rasto de depuração seguiu no mesmo pacote.
Investigadores que analisaram infeções ativas suspeitam que o grupo tenha perdido controlo do seu processo de compilação ou, em alternativa, não tenha considerado que parceiros com competências medianas continuariam a distribuir o que, na prática, parece uma versão beta. Seja qual for a causa, o efeito é o mesmo: algumas organizações atingidas pelo VolkLocker conseguem recuperar a chave desse ficheiro temporário e restaurar dados sem pagar resgate.
Porque é que muitas vítimas continuam a sofrer danos severos
À primeira vista, uma chave exposta parece um golpe de sorte para os defensores. Na realidade, o benefício é incerto, porque cada incidente tem a sua própria cronologia caótica.
Há vários cenários que anulam essa vantagem:
- Ferramentas automáticas de limpeza podem apagar ficheiros temporários antes de chegarem os investigadores.
- Funcionários podem reiniciar ou reinstalar sistemas, eliminando vestígios da chave.
- Em algumas configurações, o ficheiro de chave pode existir apenas em armazenamento volátil.
- Corrupção parcial pode deixar parte dos dados encriptados irrecuperáveis.
Ao mesmo tempo, o VolkLocker continua a comportar-se como malware competente. Em sistemas Windows, ele eleva privilégios, contorna avisos normais de controlo de conta de utilizador e dá prioridade a ficheiros de maior valor. Documentos, bases de dados e recursos de rede partilhados acabam frequentemente atingidos antes de alguém detetar comportamento anómalo.
Depois de executado, o ransomware passa a dominar efetivamente a máquina. Os atacantes podem ainda colocar ferramentas adicionais ao lado do encriptador - por exemplo, ladrões de credenciais ou shells remotas - para expandirem a sua presença. Mesmo quando a desencriptação é possível, o comprometimento não desaparece por magia: o endpoint infetado precisa de isolamento, análise forense e, por vezes, reconstrução completa.
Recuperar ficheiros não apaga o facto de os atacantes terem tido tempo para circular na rede e, possivelmente, copiar dados sensíveis.
Este caso também expõe uma mentalidade perigosa: acreditar que algumas operações de ransomware são “amadoras” ao ponto de poderem ser ignoradas. Embora o erro criptográfico ajude algumas vítimas, o modelo global continua destrutivo. O ransomware-as-a-service permite ataques repetíveis e escaláveis por pessoas sem verdadeira experiência em intrusão.
Como o ransomware-as-a-service está a transformar a ameaça
O modelo do VolkLocker, coordenado no Telegram, insere-se numa tendência mais ampla em que a economia do cibercrime se divide por funções. Os programadores centrais tratam do código de encriptação, técnicas anti-análise e infraestrutura. Outros intervenientes operam como afiliados, comprando ou alugando acesso às ferramentas e concentrando-se no compromisso inicial: emails de phishing, credenciais de VPN roubadas, configurações fracas de ambiente de trabalho remoto.
Para muitos aspirantes a criminosos, este arranjo traz vantagens tentadoras:
- Baixo custo de entrada: não é preciso escrever malware nem gerir servidores.
- Iteração rápida: as equipas centrais lançam atualizações que os afiliados recebem automaticamente.
- “Manual” partilhado: tutoriais e canais no Telegram (ou noutras plataformas) orientam até utilizadores pouco cuidadosos.
O erro do CyberVolk na gestão da chave de encriptação mostra o que acontece quando este ecossistema acelera funcionalidades em nome da conveniência. Um programador pode acrescentar registos locais, gestão simplificada de chaves ou compatibilidade ampla para facilitar a vida aos “clientes”. Cada atalho destes pode abrir, silenciosamente, uma oportunidade para os defensores.
Um ponto adicional, muitas vezes negligenciado, é o impacto operacional e reputacional: mesmo quando existe hipótese de desencriptar, as organizações enfrentam interrupções prolongadas, pressão mediática, custos de resposta e decisões difíceis sobre divulgação. Em Portugal, isto cruza-se ainda com obrigações de reporte e com a gestão do risco de exposição de dados, o que exige coordenação entre TI, jurídico, comunicação e direção.
Outra dimensão crítica é a prevenção de reincidência. Se a intrusão inicial ocorreu por credenciais reutilizadas, acesso remoto mal protegido ou falta de segmentação, a recuperação dos ficheiros - com ou sem pagamento - não impede um regresso do mesmo afiliado (ou de outro) dias depois. A correção da causa-raiz tem de avançar em paralelo com a recuperação.
Como as equipas de resposta a incidentes podem explorar erros deste tipo
Perante uma suspeita de infeção por VolkLocker, as equipas de segurança passam a ter uma tarefa adicional na lista: procurar ficheiros residuais que possam conter a chave partilhada. Essa pesquisa deve acontecer o mais cedo possível, idealmente antes de qualquer limpeza automática ou reinstalação em massa.
Num fluxo típico de investigação, as equipas podem:
| Passo | Objetivo |
|---|---|
| Isolar sistemas afetados | Travar movimento lateral e exfiltração de dados. |
| Preservar dados voláteis e de disco | Manter intactos ficheiros temporários e artefactos de memória. |
| Procurar padrões conhecidos do ficheiro de chave | Localizar chaves de encriptação armazenadas e/ou identificadores. |
| Testar a desencriptação em cópias | Validar chaves recuperadas sem agravar perdas. |
| Reconstruir e endurecer sistemas | Remover backdoors e reforçar controlos de acesso. |
A mesma lógica vai além do CyberVolk. Analistas fazem frequentemente engenharia reversa a novas famílias de ransomware à procura de geradores de números aleatórios defeituosos, trocas de chaves mal implementadas ou armazenamento local descuidado. Quando grupos tratam malware como produtos de software de evolução rápida, bugs lógicos e más configurações acabam por emergir.
Porque é que os defensores não devem depender de erros dos atacantes
Embora a história do CyberVolk tenha um lado quase irónico, basear a defesa na incompetência criminosa seria uma aposta perigosa. Outros grupos refinam continuamente o código, testam contra ferramentas forenses e adotam esquemas de encriptação mais distribuídos, sem caminho de recuperação que não passe por pagar ou por apreender servidores de comando e controlo.
Para as organizações, o caminho mais fiável continua a ser outro: cópias de segurança offline ou logicamente separadas, patching rigoroso, privilégios limitados para contas do dia a dia e autenticação forte no acesso remoto. Exercícios de simulação (tabletop) que percorrem um incidente hipotético de VolkLocker ajudam equipas a identificar falhas em deteção, escalonamento e comunicação antes de um ataque real forçar decisões sob pressão.
Do lado técnico, o erro do VolkLocker pode ser aproveitado como caso de treino. Analistas em início de carreira na engenharia reversa podem praticar com amostras conhecidas por conterem chaves embebidas ou artefactos de depuração. Essa prática acelera a capacidade de detetar falhas semelhantes em futuras famílias de ransomware, onde o benefício pode ser ainda maior.
Para decisores políticos e reguladores, a ascensão de ransomware-as-a-service orquestrado via Telegram levanta uma preocupação paralela: a facilidade com que atores de baixa competência conseguem “alugar” disrupção. Mesmo grupos trapalhões que tropeçam na própria encriptação conseguem, ainda assim, paralisar autarquias, hospitais ou escolas durante dias. O ransomware deixou de ser um ataque raro e de elite para se tornar numa perturbação recorrente e escalável, alimentada por ferramentas baratas e engenharia social.
Comentários
Ainda não há comentários. Seja o primeiro!
Deixar um comentário