Des chercheurs de SentinelOne ont divulgué une faille critique dans le nouveau ransomware-as-a-service VolkLocker de CyberVolk : une clé maître codée en dur stockée en clair, permettant aux victimes de déchiffrer les fichiers sans payer de rançon. Suite au relancement du groupe en août 2025 après les interdictions sur Telegram, cette faiblesse souligne des problèmes de qualité dans leur écosystème RaaS.
Comme détaillé dans la couverture précédente du lancement de VolkLocker, le groupe hacktiviste pro-russe CyberVolk —connu pour des attaques DDoS et ransomware depuis 2024— a réémergé avec ce RaaS basé sur Golang ciblant Linux/VMware ESXi et Windows via des bots constructeurs Telegram.
Le ransomware utilise AES-256 en mode Galois/Counter avec une clé maître de 32 octets issue d’une chaîne hexadécimale de 64 caractères, l’appliquant uniformément aux fichiers (renommés .locked ou .cvolk) avec un nonce IV aléatoire de 12 octets. De manière critique, il enregistre cette clé dans un fichier en clair, system_backup.key, dans le dossier %TEMP%, qui persiste et permet la récupération.
«Un artefact de test envoyé par inadvertance dans les builds de production», ont noté les chercheurs de SentinelOne, conseillant aux victimes d’extraire la clé pour le déchiffrement.
L’accès au RaaS coûte 800-1 100 $ par architecture OS ou 1 600-2 200 $ pour les deux, avec un bot Telegram pour la personnalisation. En novembre 2025, CyberVolk a également proposé un cheval de Troie d’accès à distance et un keylogger à 500 $ chacun.
SentinelOne a répondu aux préoccupations sur la divulgation précoce : «Ce n’est pas une faille de chiffrement centrale mais un artefact de test d’opérateurs incompétents, représentatif de l’écosystème que CyberVolk vise à promouvoir. Il n’est pas fiable au-delà de cas spécifiques».
Bien qu’aidant les victimes actuelles, cela pourrait inciter à des correctifs, améliorant les futures versions de VolkLocker.
