Kelompok hacktivist pro-Rusia CyberVolk muncul kembali dengan platform ransomware-as-a-service baru bernama VolkLocker, yang mendukung sistem Linux dan Windows. Didokumentasikan pertama kali pada 2024 oleh SentinelOne, kelompok ini kembali setelah periode tidak aktif akibat larangan Telegram. Meskipun otomatisasi canggih melalui bot Telegram, malware ini memiliki kekurangan enkripsi signifikan yang memungkinkan korban memulihkan file tanpa pembayaran.
CyberVolk, kelompok hacktivist pro-Rusia yang selaras dengan kepentingan Rusia, pertama kali menarik perhatian pada akhir 2024 melalui serangan menggunakan berbagai keluarga ransomware. Setelah diam karena tindakan penegakan Telegram di awal tahun, kelompok ini muncul kembali pada Agustus 2025 dengan VolkLocker, operasi ransomware-as-a-service (RaaS) yang ditulis dalam Golang. Malware lintas-platform ini memperluas jangkauan kelompok dengan menargetkan lingkungan Windows dan Linux, memungkinkan operator membangun varian dengan input sederhana seperti alamat Bitcoin, token bot Telegram, ID obrolan, tenggat enkripsi, ekstensi file khusus, dan opsi penghancuran diri. VolkLocker sangat bergantung pada Telegram untuk otomatisasi, dengan bot 'CyberVolk_Kbot' menangani komunikasi korban, kontrol infeksi, dan manajemen dekripsi. Ransomware ini menggunakan enkripsi AES-256 dalam mode Galois/Counter (GCM), menggunakan kunci utama 32-byte yang dikodekan sebagai string hex 64-karakter. Namun, ada kekurangan kritis: kunci utama yang sama hardcoded digunakan untuk semua file dan disimpan dalam teks biasa di dalam file yang berisi ID korban dan alamat Bitcoin penyerang. Peneliti keamanan dari SentinelOne mengaitkannya dengan fungsi tes pengembang yang secara tidak sengaja ditinggalkan dalam build produksi, menyoroti kontrol kualitas yang belum matang dari kelompok tersebut. Pada Windows, VolkLocker mencoba eskalasi hak istimewa dengan mengeksploitasi bypass User Account Control 'ms-settings', memodifikasi kunci registry HKCUSoftwareClassesms-settingsshellopencommand untuk dijalankan dengan hak admin. Ia menonaktifkan Windows Defender dan alat pemulihan melalui edit registry dan PowerShell, memblokir akses ke Task Manager, Command Prompt, dan Registry Editor, serta memastikan persistensi dengan menyalin dirinya ke direktori seperti %APPDATA%, %PUBLIC%Documents, dan %ProgramData%MicrosoftNetwork. Malware juga melakukan penemuan lingkungan, mendaftarkan proses untuk mendeteksi mesin virtual seperti VirtualBox, VMware, dan QEMU, serta memeriksa alamat MAC terhadap prefiks vendor untuk menghindari sandbox. Catatan tebusan HTML dinamis muncul dengan timer hitung mundur 48 jam, meskipun tampilan visual hanya kosmetik. Setelah batas waktu, rutinitas independen merusak proses, menghapus direktori pengguna, menghapus Volume Shadow Copies, dan memicu Blue Screen of Death menggunakan API NtRaiseHardError(). Enkripsi dan kontrol Telegram serupa berlaku untuk varian Linux. Build dasar tidak memiliki obfuscation, merekomendasikan pengemasan UPX untuk operator. Indikator kompromi termasuk hash sampel Windows dcd859e5b14657b733dfb0c22272b82623466321, sampel Linux 0948e75c94046f0893844e3b891556ea48188608, alamat Bitcoin bc1qujgdzl0v82gh9pvmg3ftgnknl336ku26nnp0vy, dan bot Telegram @CyberVolk_Kbot. Meskipun kekurangannya melemahkan efektivitasnya, VolkLocker menunjukkan bagaimana aktor yang termotivasi secara politik menyederhanakan ransomware melalui platform pesan.
