كشف باحثو SentinelOne عن ثغرة خطيرة في ransomware-as-a-service الجديد VolkLocker الخاص بـ CyberVolk: مفتاح رئيسي مشفر بشكل ثابت مخزن كنص عادي، مما يمكن الضحايا من فك تشفير الملفات دون دفع الفدية. بعد إعادة إطلاق المجموعة في أغسطس 2025 عقب حظر تيليغرام، تبرز هذه الضعف مشكلات الجودة في نظامها RaaS.
كما تفصل التغطية السابقة لإطلاق VolkLocker، عاد مجموعة الهاكتيفيزم المؤيدة لروسيا CyberVolk —المعروفة بهجمات DDoS والرنسوموير منذ 2024— مع هذا RaaS المبني على Golang يستهدف Linux/VMware ESXi وWindows عبر بوتات بناء في تيليغرام.
يستخدم الرنسوموير AES-256 في وضع Galois/Counter مع مفتاح رئيسي طوله 32 بايت من سلسلة هيكساديسيمالية 64 حرفًا، يطبقها بشكل موحد على الملفات (التي يعاد تسميتها .locked أو .cvolk) إلى جانب nonce IV عشوائي طوله 12 بايت. بحرجية، يحفظ هذا المفتاح في ملف نص عادي، system_backup.key، في مجلد %TEMP%، الذي يستمر ويسمح بالاسترداد.
«عينة اختبار أُرسلت عن طريق الخطأ في بنى الإنتاج»، لاحظ باحثو SentinelOne، ناصحين الضحايا باستخراج المفتاح لفك التشفير.
تكلفة الوصول إلى RaaS تتراوح بين 800-1100 دولار لكل معمارية نظام تشغيل أو 1600-2200 دولار لكليهما، مع بوت تيليغرام للتخصيص. في نوفمبر 2025، عرض CyberVolk أيضًا حصان طروادة وصول عن بعد ومسجل مفاتيح بـ500 دولار لكل.
ردت SentinelOne على مخاوف الكشف المبكر: «ليس عيبًا أساسيًا في التشفير بل عينة اختبار من مشغلين غير كفؤين، تمثل النظام البيئي الذي يهدف CyberVolk إلى تنميته. غير موثوق خارج حالات محددة».
بينما يساعد الضحايا الحاليين، قد يحفز هذا على إصلاحات، مما يحسن إصدارات VolkLocker المستقبلية.