Investigadores de SentinelOne han divulgado una falla crítica en el nuevo ransomware-as-a-service VolkLocker de CyberVolk: una clave maestra codificada de forma fija almacenada en texto plano, que permite a las víctimas descifrar archivos sin pagar el rescate. Tras el relanzamiento del grupo en agosto de 2025 después de las prohibiciones en Telegram, esta debilidad pone de manifiesto problemas de calidad en su ecosistema RaaS.
Como se detalló en la cobertura previa del lanzamiento de VolkLocker, el grupo hacktivista pro-Rusia CyberVolk —conocido por ataques DDoS y de ransomware desde 2024— ha resurgido con este RaaS basado en Golang que apunta a Linux/VMware ESXi y Windows mediante bots constructores en Telegram.
El ransomware utiliza AES-256 en modo Galois/Counter con una clave maestra de 32 bytes generada a partir de una cadena hexadecimal de 64 caracteres, aplicándola de manera uniforme a los archivos (renombrados a .locked o .cvolk) junto con un nonce IV aleatorio de 12 bytes. Críticamente, guarda esta clave en un archivo en texto plano, system_backup.key, en la carpeta %TEMP%, que persiste y permite la recuperación.
«Un artefacto de prueba enviado inadvertidamente en las compilaciones de producción», señalaron los investigadores de SentinelOne, recomendando a las víctimas extraer la clave para la desencriptación.
El acceso a RaaS cuesta entre 800 y 1100 dólares por arquitectura de SO o entre 1600 y 2200 dólares por ambas, con un bot de Telegram para personalización. En noviembre de 2025, CyberVolk también ofreció un troyano de acceso remoto y un keylogger por 500 dólares cada uno.
SentinelOne abordó las preocupaciones por la divulgación temprana: «No es una falla central de cifrado, sino un artefacto de pruebas de operadores incompetentes, representativo del ecosistema que CyberVolk pretende fomentar. No es fiable más allá de casos específicos».
Aunque ayuda a las víctimas actuales, esto podría impulsar correcciones, mejorando futuras versiones de VolkLocker.
