O grupo hacktivista pró-Rússia CyberVolk ressurgiu com uma nova plataforma de ransomware como serviço chamada VolkLocker, suportando sistemas Linux e Windows. Documentado pela primeira vez em 2024 pela SentinelOne, o grupo retornou após um período de inatividade causado por proibições no Telegram. Apesar da automação avançada via bots do Telegram, o malware apresenta falhas significativas de criptografia que podem permitir que as vítimas recuperem arquivos sem pagamento.
CyberVolk, um grupo hacktivista pró-Rússia alinhado com interesses russos, chamou a atenção pela primeira vez no final de 2024 por meio de ataques usando várias famílias de ransomware. Após ficar em silêncio devido a ações de execução do Telegram no início do ano, o grupo ressurgiu em agosto de 2025 com o VolkLocker, uma operação de ransomware como serviço (RaaS) escrita em Golang. Esse malware multiplataforma expande o alcance do grupo ao mirar ambientes Windows e Linux, permitindo que operadores criem variantes com entradas simples como um endereço Bitcoin, token de bot do Telegram, ID de chat, prazo de criptografia, extensão de arquivo personalizada e opções de autodestruição. O VolkLocker depende fortemente do Telegram para automação, com o bot 'CyberVolk_Kbot' gerenciando comunicações com vítimas, controle de infecção e gerenciamento de descriptografia. O ransomware usa criptografia AES-256 no modo Galois/Counter (GCM), empregando uma chave mestra de 32 bytes codificada como uma string hex de 64 caracteres. No entanto, persiste uma falha crítica: a mesma chave mestra hardcoded é usada para todos os arquivos e salva em texto plano dentro de um arquivo contendo o ID da vítima e o endereço Bitcoin do atacante. Pesquisadores de segurança da SentinelOne atribuem isso a uma função de teste do desenvolvedor deixada acidentalmente nas builds de produção, destacando o controle de qualidade imaturo do grupo. No Windows, o VolkLocker tenta escalada de privilégios explorando o bypass de User Account Control 'ms-settings', modificando a chave de registro HKCUSoftwareClassesms-settingsshellopencommand para executar com direitos de administrador. Ele desativa o Windows Defender e ferramentas de recuperação via edições de registro e PowerShell, bloqueia o acesso ao Gerenciador de Tarefas, Prompt de Comando e Editor do Registro, e garante persistência copiando-se para diretórios como %APPDATA%, %PUBLIC%Documents e %ProgramData%MicrosoftNetwork. O malware também realiza descoberta ambiental, enumerando processos para detectar máquinas virtuais como VirtualBox, VMware e QEMU, e verificando endereços MAC contra prefixos de fornecedores para evadir sandboxes. Uma nota de resgate HTML dinâmica aparece com um temporizador de contagem regressiva de 48 horas, embora o visual seja cosmético. Após o prazo, uma rotina independente corrompe processos, exclui diretórios de usuário, apaga Volume Shadow Copies e aciona uma Tela Azul da Morte usando a API NtRaiseHardError(). Criptografia e controles do Telegram semelhantes se aplicam às variantes Linux. Builds base carecem de ofuscação, recomendando empacotamento UPX para operadores. Indicadores de comprometimento incluem hash de amostra Windows dcd859e5b14657b733dfb0c22272b82623466321, amostra Linux 0948e75c94046f0893844e3b891556ea48188608, endereço Bitcoin bc1qujgdzl0v82gh9pvmg3ftgnknl336ku26nnp0vy e bot Telegram @CyberVolk_Kbot. Embora as falhas comprometam sua efetividade, o VolkLocker demonstra como atores politicamente motivados estão simplificando ransomware via plataformas de mensagens.
