平文マスターキーの欠陥でCyberVolkのVolkLockerが妨げられる

2025年12月13日(土)

AIによるレポート

SentinelOneの研究者らがCyberVolkの新RaaSランサムウェアVolkLockerに重大な欠陥を公開：ハードコードされた平文保存のマスターキーにより、被害者は身代金支払いなしでファイルを復号可能。Telegram禁止後の2025年8月のグループ再始動後、この弱点は彼らのRaaSエコシステムの品質問題を浮き彫りにする。

VolkLockerのローンチに関するこれまでの報道で詳述された通り、2024年以降DDoSおよびランサムウェア攻撃で知られるロシア支持ハクティビストグループCyberVolkが、Telegramビルダーボット経由でLinux/VMware ESXiおよびWindowsを標的としたGolangベースのRaaSで再登場した。

ランサムウェアは64文字の16進文字列から生成される32バイトのマスターキーを用い、Galois/CounterモードのAES-256をファイル（.lockedまたは.cvolkに改名）全体に一律適用し、ランダム12バイトのnonce IVを併用する。致命的なのは、このキーを%TEMP%フォルダ内の平文ファイルsystem_backup.keyに保存し、永続化して復元を可能にしている点だ。

「本番ビルドに誤って含まれたテストアーティファクト」とSentinelOne研究者らは指摘、被害者にキーの抽出による復号を勧告した。

RaaSアクセスはOSアーキテクチャあたり800-1100ドル、両方で1600-2200ドルで、Telegramボットでカスタマイズ可能。2025年11月にはCyberVolkがリモートアクセストロイの木馬とキーロガーを各500ドルで提供した。

SentinelOneは早期公開への懸念に応じ：「これは暗号化の中核欠陥ではなく、無能なオペレーターのテストアーティファクトで、CyberVolkが育もうとするエコシステムを象徴する。特定ケース以外では信頼できない。」

現被害者の支援となる一方、今後のVolkLockerバージョンの修正を促す可能性がある。

Realistic illustration of a computer screen showing the VanHelsing ransomware attack targeting multiple operating systems, suitable for a cybersecurity news article.

VanHelsing ransomware RaaS が複数のプラットフォームを標的に

2025年11月11日(火) AIによるレポート AIによって生成された画像

VanHelsing と呼ばれる新しいランサムウェア・アズ・ア・サービス運用が 2025 年 3 月 7 日に登場し、迅速に少なくとも 3 人の被害者を主張しました。Windows、Linux、BSD、ARM、ESXi システムへの攻撃をサポートし、アフィリエイトは 5,000 ドルのデポジット後に身代金の 80% を保持します。グループは独立国家共同体内のエンティティを標的にすることを禁止しています。

CyberVolkがLinuxとWindowsを標的としたVolkLockerランサムウェアを公開

ロシア支持のハクティビストグループCyberVolkが、LinuxとWindowsの両システムをサポートする新しいransomware-as-a-serviceプラットフォームVolkLockerで再登場した。2024年にSentinelOneによって初めて文書化された同グループは、Telegramの禁止による非活動期間の後復帰した。Telegramボットの高度な自動化にもかかわらず、マルウェアには被害者が支払わずにファイルを回復できる重大な暗号化の欠陥がある。

新しい gentlemen の RaaS が地下フォーラムで広告される

2025年10月29日(水) AIによるレポート

脅威アクター zeta88 が、ハッキングフォーラムで The Gentlemen's RaaS という新しい ransomware-as-a-service 運用を宣伝しており、Windows、Linux、ESXi システムを標的にしています。このプラットフォームは、アフィリエイトに身代金支払いの 90 パーセントを提供し、Go と C で開発されたクロスプラットフォームの暗号化ツールを備えています。この進展は、エンタープライズ環境を標的とした洗練されたランサムウェアの継続的な商業化を強調しています。

Linux