ロシア支持のハクティビストグループCyberVolkが、LinuxとWindowsの両システムをサポートする新しいransomware-as-a-serviceプラットフォームVolkLockerで再登場した。2024年にSentinelOneによって初めて文書化された同グループは、Telegramの禁止による非活動期間の後復帰した。Telegramボットの高度な自動化にもかかわらず、マルウェアには被害者が支払わずにファイルを回復できる重大な暗号化の欠陥がある。
ロシア支持のハクティビストグループCyberVolkは、ロシアの利益に沿ったもので、2024年末にさまざまなransomwareファミリーを使用した攻撃で初めて注目を集めた。年始めのTelegramの執行措置により沈黙した後、2025年8月にGolangで書かれたransomware-as-a-service(RaaS)操作であるVolkLockerで復活した。このクロスプラットフォームマルウェアは、WindowsとLinux環境の両方を標的にすることでグループの範囲を拡大し、Bitcoinアドレス、Telegramボットトークン、チャットID、暗号化期限、カスタムファイル拡張子、自己破壊オプションなどの簡単な入力でオペレーターがバリアントを構築できる。 VolkLockerは自動化にTelegramに大きく依存し、'CyberVolk_Kbot'ボットが被害者通信、感染制御、デクリプション管理を扱う。ransomwareはGalois/Counter Mode(GCM)のAES-256暗号化を使用し、64文字の16進文字列としてエンコードされた32バイトのマスターキーを用いる。しかし、重要な欠陥が残る:すべてのファイルに同じハードコードされたマスターキーが使用され、被害者IDと攻撃者のBitcoinアドレスを含むファイル内に平文で保存される。SentinelOneのセキュリティ研究者は、これを開発者のテスト関数が本番ビルドに誤って残されたものとみなし、グループの未熟な品質管理を指摘している。 Windowsでは、VolkLockerは'ms-settings' User Account Controlバイパスを悪用して特権昇格を試み、レジストリキーHKCUSoftwareClassesms-settingsshellopencommandを変更して管理者権限で実行する。レジストリ編集とPowerShellでWindows Defenderと回復ツールを無効化し、タスクマネージャー、コマンドプロンプト、レジストリエディタへのアクセスをブロックし、%APPDATA%、%PUBLIC%Documents、%ProgramData%MicrosoftNetworkなどのディレクトリに自身をコピーして永続性を確保する。マルウェアは環境発見も行い、VirtualBox、VMware、QEMUなどの仮想マシンを検出するためプロセスを列挙し、サンドボックス回避のためMACアドレスをベンダープレフィックスに対してチェックする。 48時間のカウントダウンタイマーが付いた動的HTMLランサムノートが表示されるが、視覚効果は化粧的なもの。期限後、独立したルーチンがプロセスを破損し、ユーザーディレクトリを削除、Volume Shadow Copiesを消去し、NtRaiseHardError() APIでブルースクリーン・オブ・デスを引き起こす。Linuxバリアントにも同様の暗号化とTelegram制御が適用される。ベースビルドには難読化がなく、オペレーター向けにUPXパッキングを推奨。 侵害指標にはWindowsサンプルハッシュdcd859e5b14657b733dfb0c22272b82623466321、Linuxサンプル0948e75c94046f0893844e3b891556ea48188608、Bitcoinアドレスbc1qujgdzl0v82gh9pvmg3ftgnknl336ku26nnp0vy、Telegramボット@CyberVolk_Kbotが含まれる。欠陥が有効性を損なうものの、VolkLockerは政治的に動機づけられたアクターがメッセージングプラットフォームでransomwareを効率化していることを示している。
