أعادت مجموعة الهاكتيفيست المؤيدة لروسيا CyberVolk الظهور بمنصة ransomware-as-a-service جديدة تُدعى VolkLocker، تدعم كلاً من أنظمة Linux و Windows. وثّقت للمرة الأولى في 2024 بواسطة SentinelOne، عادت المجموعة بعد فترة من الخمول الناجم عن حظر Telegram. رغم التلقائية المتقدمة عبر bots Telegram، يحتوي البرمجيات الضارة على عيوب تشفير كبيرة قد تسمح للضحايا باستعادة الملفات دون دفع.
CyberVolk، مجموعة هاكتيفيست مؤيدة لروسيا متحالفة مع المصالح الروسية، لفتت الانتباه لأول مرة في أواخر 2024 من خلال هجمات باستخدام عائلات ransomware متنوعة. بعد الصمت بسبب إجراءات تنفيذ Telegram في وقت سابق من العام، عادت المجموعة في أغسطس 2025 بـ VolkLocker، عملية ransomware-as-a-service (RaaS) مكتوبة بلغة Golang. يوسع هذا البرمجيات الضارة متعدد المنصات نطاق المجموعة من خلال استهداف بيئات Windows و Linux، مما يمكن المتشغلين من بناء المتغيرات بمدخلات بسيطة مثل عنوان Bitcoin، رمز bot Telegram، معرف الدردشة، موعد التشفير، امتداد ملف مخصص، وخيارات التدمير الذاتي. يعتمد VolkLocker بشكل كبير على Telegram للتلقائية، مع bot 'CyberVolk_Kbot' الذي يدير الاتصالات مع الضحايا، والسيطرة على العدوى، وإدارة الفك التشفير. يستخدم الـ ransomware تشفير AES-256 في وضع Galois/Counter Mode (GCM)، مستخدماً مفتاح رئيسي بـ 32 بايت مشفر كسلسلة هيكساديسيمالية مكونة من 64 حرفاً. ومع ذلك، يستمر خطأ حرج: يُستخدم نفس المفتاح الرئيسي المشفر بشكل ثابت لجميع الملفات ويُحفظ كنص عادي داخل ملف يحتوي على معرف الضحية وعنوان Bitcoin للمهاجم. يعزو باحثو الأمان من SentinelOne ذلك إلى دالة اختبار مطور تركت عن طريق الخطأ في الإصدارات الإنتاجية، مما يبرز سيطرة الجودة غير الناضجة للمجموعة. على Windows، يحاول VolkLocker تصعيد الامتيازات من خلال استغلال تجاوز User Account Control 'ms-settings'، مع تعديل مفتاح السجل HKCUSoftwareClassesms-settingsshellopencommand للتشغيل بصلاحيات المسؤول. يعطل Windows Defender وأدوات الاسترداد عبر تعديلات السجل و PowerShell، يحجب الوصول إلى Task Manager و Command Prompt و Registry Editor، ويضمن الاستمرارية بنسخ نفسه إلى مجلدات مثل %APPDATA%، %PUBLIC%Documents، و %ProgramData%MicrosoftNetwork. كما يقوم البرمجيات الضارة باكتشاف البيئة، محصلاً العمليات للكشف عن الآلات الافتراضية مثل VirtualBox و VMware و QEMU، وفحص عناوين MAC مقابل بادئات البائعين لتجنب صناديق الرمل. تظهر مذكرة فدية HTML ديناميكية مع مؤقت عد تنازلي لمدة 48 ساعة، على الرغم من أن العرض البصري تجميلي. بعد الموعد النهائي، تقوم روتين مستقل بفساد العمليات، حذف مجلدات المستخدم، مسح نسخ Volume Shadow، وإثارة شاشة الموت الزرقاء باستخدام API NtRaiseHardError(). تنطبق آليات التشفير والتحكم في Telegram المشابهة على المتغيرات Linux. الإصدارات الأساسية تفتقر إلى التشويش، مع توصية بتعبئة UPX للمتشغلين. تشمل مؤشرات الاختراق هاش عينة Windows dcd859e5b14657b733dfb0c22272b82623466321، عينة Linux 0948e75c94046f0893844e3b891556ea48188608، عنوان Bitcoin bc1qujgdzl0v82gh9pvmg3ftgnknl336ku26nnp0vy، وبوت Telegram @CyberVolk_Kbot. بينما تعيق العيوب فعاليته، يظهر VolkLocker كيف يبسط الجهات السياسية المتحمسة ransomware عبر منصات الرسائل.
