Le groupe hacktiviste pro-russe CyberVolk est réapparu avec une nouvelle plateforme ransomware-as-a-service nommée VolkLocker, compatible avec les systèmes Linux et Windows. Documenté pour la première fois en 2024 par SentinelOne, le groupe est revenu après une période d'inactivité due à des interdictions sur Telegram. Malgré une automatisation avancée via des bots Telegram, le malware présente des failles d'encryption significatives qui pourraient permettre aux victimes de récupérer leurs fichiers sans payer.
CyberVolk, un groupe hacktiviste pro-russe aligné sur les intérêts russes, a attiré l'attention pour la première fois fin 2024 via des attaques utilisant diverses familles de ransomwares. Après un silence dû aux actions d'application de Telegram début de l'année, le groupe a refait surface en août 2025 avec VolkLocker, une opération ransomware-as-a-service (RaaS) écrite en Golang. Ce malware multiplateforme étend la portée du groupe en ciblant les environnements Windows et Linux, permettant aux opérateurs de créer des variantes avec des entrées simples comme une adresse Bitcoin, un token de bot Telegram, un ID de chat, un délai de chiffrement, une extension de fichier personnalisée et des options d'auto-destruction. VolkLocker repose fortement sur Telegram pour l'automatisation, le bot 'CyberVolk_Kbot' gérant les communications avec les victimes, le contrôle d'infection et la gestion de déchiffrement. Le ransomware utilise le chiffrement AES-256 en mode Galois/Counter (GCM), avec une clé maître de 32 octets encodée en chaîne hexadécimale de 64 caractères. Cependant, une faille critique persiste : la même clé maître codée en dur est utilisée pour tous les fichiers et sauvegardée en clair dans un fichier contenant l'ID de la victime et l'adresse Bitcoin de l'attaquant. Les chercheurs en sécurité de SentinelOne l'attribuent à une fonction de test de développeur laissée par erreur dans les builds de production, soulignant le contrôle qualité immature du groupe. Sur Windows, VolkLocker tente une escalade de privilèges en exploitant le contournement User Account Control 'ms-settings', modifiant la clé de registre HKCUSoftwareClassesms-settingsshellopencommand pour s'exécuter avec des droits administrateur. Il désactive Windows Defender et les outils de récupération via des modifications de registre et PowerShell, bloque l'accès au Gestionnaire des tâches, Invite de commandes et Éditeur du Registre, et assure la persistance en se copiant dans des répertoires comme %APPDATA%, %PUBLIC%Documents et %ProgramData%MicrosoftNetwork. Le malware effectue également une découverte d'environnement, énumérant les processus pour détecter les machines virtuelles comme VirtualBox, VMware et QEMU, et vérifiant les adresses MAC contre les préfixes de fournisseurs pour éviter les sandboxes. Une note de rançon HTML dynamique apparaît avec un compte à rebours de 48 heures, bien que visuellement cosmétique. Après l'échéance, une routine indépendante corrompt les processus, supprime les répertoires utilisateur, efface les Volume Shadow Copies et déclenche un Écran Bleu de la Mort via l'API NtRaiseHardError(). Des contrôles de chiffrement et Telegram similaires s'appliquent aux variantes Linux. Les builds de base manquent d'obfuscation, recommandant l'empaquetage UPX pour les opérateurs. Les indicateurs de compromission incluent le hash d'échantillon Windows dcd859e5b14657b733dfb0c22272b82623466321, échantillon Linux 0948e75c94046f0893844e3b891556ea48188608, adresse Bitcoin bc1qujgdzl0v82gh9pvmg3ftgnknl336ku26nnp0vy et bot Telegram @CyberVolk_Kbot. Bien que les failles en minent l'efficacité, VolkLocker illustre comment les acteurs politiquement motivés rationalisent les ransomwares via les plateformes de messagerie.
