Peneliti SentinelOne mengungkap cacat kritis pada ransomware-as-a-service VolkLocker baru milik CyberVolk: kunci utama yang dikodekan keras disimpan dalam teks biasa, memungkinkan korban mendekripsi file tanpa pembayaran tebusan. Setelah peluncuran ulang kelompok pada Agustus 2025 pasca-larangan Telegram, kelemahan ini menekankan masalah kualitas dalam ekosistem RaaS mereka.
Seperti yang dirinci dalam liputan sebelumnya tentang peluncuran VolkLocker, kelompok hacktivist pro-Rusia CyberVolk—dikenal dengan serangan DDoS dan ransomware sejak 2024—muncul kembali dengan RaaS berbasis Golang yang menargetkan Linux/VMware ESXi dan Windows melalui bot pembuat di Telegram.
Ransomware ini menggunakan AES-256 dalam mode Galois/Counter dengan kunci utama 32-byte dari string heksadesimal 64-karakter, menerapkannya secara seragam pada file (dariulang .locked atau .cvolk) bersama nonce IV acak 12-byte. Kritisnya, ia menyimpan kunci ini dalam file teks biasa, system_backup.key, di folder %TEMP%, yang bertahan dan memungkinkan pemulihan.
«Artefak pengujian yang dikirim secara tidak sengaja dalam build produksi», catat peneliti SentinelOne, menyarankan korban untuk mengekstrak kunci untuk dekripsi.
Akses RaaS biaya $800-$1.100 per arsitektur OS atau $1.600-$2.200 untuk keduanya, dengan bot Telegram untuk kustomisasi. Pada November 2025, CyberVolk juga menawarkan trojan akses jarak jauh dan keylogger seharga $500 masing-masing.
SentinelOne menangani kekhawatiran atas pengungkapan dini: «Ini bukan cacat enkripsi inti tapi artefak pengujian dari operator tidak kompeten, representatif dari ekosistem yang ingin difosterkan CyberVolk. Tidak dapat diandalkan di luar kasus spesifik».
Meskipun membantu korban saat ini, ini mungkin mendorong perbaikan, meningkatkan versi VolkLocker mendatang.