SentinelOneの研究者らがCyberVolkの新RaaSランサムウェアVolkLockerに重大な欠陥を公開:ハードコードされた平文保存のマスターキーにより、被害者は身代金支払いなしでファイルを復号可能。Telegram禁止後の2025年8月のグループ再始動後、この弱点は彼らのRaaSエコシステムの品質問題を浮き彫りにする。
VolkLockerのローンチに関するこれまでの報道で詳述された通り、2024年以降DDoSおよびランサムウェア攻撃で知られるロシア支持ハクティビストグループCyberVolkが、Telegramビルダーボット経由でLinux/VMware ESXiおよびWindowsを標的としたGolangベースのRaaSで再登場した。
ランサムウェアは64文字の16進文字列から生成される32バイトのマスターキーを用い、Galois/CounterモードのAES-256をファイル(.lockedまたは.cvolkに改名)全体に一律適用し、ランダム12バイトのnonce IVを併用する。致命的なのは、このキーを%TEMP%フォルダ内の平文ファイルsystem_backup.keyに保存し、永続化して復元を可能にしている点だ。
「本番ビルドに誤って含まれたテストアーティファクト」とSentinelOne研究者らは指摘、被害者にキーの抽出による復号を勧告した。
RaaSアクセスはOSアーキテクチャあたり800-1100ドル、両方で1600-2200ドルで、Telegramボットでカスタマイズ可能。2025年11月にはCyberVolkがリモートアクセストロイの木馬とキーロガーを各500ドルで提供した。
SentinelOneは早期公開への懸念に応じ:「これは暗号化の中核欠陥ではなく、無能なオペレーターのテストアーティファクトで、CyberVolkが育もうとするエコシステムを象徴する。特定ケース以外では信頼できない。」
現被害者の支援となる一方、今後のVolkLockerバージョンの修正を促す可能性がある。
