El grupo hacktivista pro-Rusia CyberVolk ha resurgido con una nueva plataforma de ransomware como servicio llamada VolkLocker, que soporta tanto sistemas Linux como Windows. Documentado por primera vez en 2024 por SentinelOne, el grupo regresó tras un período de inactividad causado por prohibiciones en Telegram. A pesar de la avanzada automatización mediante bots de Telegram, el malware presenta fallos significativos de cifrado que podrían permitir a las víctimas recuperar archivos sin pagar.
CyberVolk, un grupo hacktivista pro-Rusia alineado con intereses rusos, atrajo la atención por primera vez a finales de 2024 mediante ataques con varias familias de ransomware. Tras quedar en silencio debido a acciones de aplicación de Telegram a principios de año, el grupo resurgió en agosto de 2025 con VolkLocker, una operación de ransomware como servicio (RaaS) escrita en Golang. Este malware multiplataforma amplía el alcance del grupo al dirigirse tanto a entornos Windows como Linux, permitiendo a los operadores construir variantes con entradas simples como una dirección de Bitcoin, token de bot de Telegram, ID de chat, plazo de cifrado, extensión de archivo personalizada y opciones de autodestrucción. VolkLocker depende en gran medida de Telegram para la automatización, con el bot 'CyberVolk_Kbot' gestionando las comunicaciones con las víctimas, el control de infecciones y la gestión de descifrados. El ransomware utiliza cifrado AES-256 en modo Galois/Counter (GCM), empleando una clave maestra de 32 bytes codificada como una cadena hexadecimal de 64 caracteres. Sin embargo, persiste un fallo crítico: la misma clave maestra codificada de forma fija se usa para todos los archivos y se guarda en texto plano dentro de un archivo que contiene el ID de la víctima y la dirección de Bitcoin del atacante. Los investigadores de seguridad de SentinelOne atribuyen esto a una función de prueba del desarrollador dejada accidentalmente en las compilaciones de producción, lo que resalta el control de calidad inmaduro del grupo. En Windows, VolkLocker intenta la escalada de privilegios explotando el bypass de User Account Control 'ms-settings', modificando la clave de registro HKCUSoftwareClassesms-settingsshellopencommand para ejecutarse con derechos de administrador. Desactiva Windows Defender y herramientas de recuperación mediante ediciones de registro y PowerShell, bloquea el acceso a Task Manager, Símbolo del sistema y Editor del registro, y asegura la persistencia copiándose a directorios como %APPDATA%, %PUBLIC%Documents y %ProgramData%MicrosoftNetwork. El malware también realiza descubrimiento ambiental, enumerando procesos para detectar máquinas virtuales como VirtualBox, VMware y QEMU, y verificando direcciones MAC contra prefijos de proveedores para evadir cajas de arena. Una nota de rescate HTML dinámica aparece con un temporizador de cuenta regresiva de 48 horas, aunque el visual es cosmético. Después del plazo, una rutina independiente corrompe procesos, elimina directorios de usuario, borra copias de Volumen Shadow y activa una Pantalla Azul de la Muerte usando la API NtRaiseHardError(). Controles de cifrado y Telegram similares se aplican a las variantes de Linux. Las compilaciones base carecen de ofuscación, recomendando empaquetado UPX para operadores. Indicadores de compromiso incluyen hash de muestra Windows dcd859e5b14657b733dfb0c22272b82623466321, muestra Linux 0948e75c94046f0893844e3b891556ea48188608, dirección Bitcoin bc1qujgdzl0v82gh9pvmg3ftgnknl336ku26nnp0vy y bot de Telegram @CyberVolk_Kbot. Aunque los fallos socavan su efectividad, VolkLocker demuestra cómo los actores políticamente motivados están simplificando el ransomware mediante plataformas de mensajería.
