Pesquisadores da SentinelOne divulgaram uma falha crítica no novo ransomware-as-a-service VolkLocker da CyberVolk: uma chave mestra codificada de forma fixa armazenada em texto plano, permitindo que as vítimas descriptografem arquivos sem pagamento de resgate. Após o relançamento do grupo em agosto de 2025 após proibições no Telegram, essa fraqueza destaca problemas de qualidade em seu ecossistema RaaS.
Como detalhado na cobertura anterior do lançamento do VolkLocker, o grupo hacktivista pró-Rússia CyberVolk —conhecido por ataques DDoS e ransomware desde 2024— ressurgiu com este RaaS baseado em Golang direcionado a Linux/VMware ESXi e Windows via bots construtores no Telegram.
O ransomware usa AES-256 no modo Galois/Counter com uma chave mestra de 32 bytes de uma string hex de 64 caracteres, aplicando-a uniformemente nos arquivos (renomeados para .locked ou .cvolk) junto com um nonce IV aleatório de 12 bytes. Crítica, salva essa chave em um arquivo em texto plano, system_backup.key, na pasta %TEMP%, que persiste e permite recuperação.
«Um artefato de teste enviado inadvertidamente nas builds de produção», notaram pesquisadores da SentinelOne, aconselhando vítimas a extrair a chave para descriptografia.
Acesso ao RaaS custa US$ 800-1.100 por arquitetura de SO ou US$ 1.600-2.200 para ambos, com um bot do Telegram para personalização. Em novembro de 2025, a CyberVolk também ofereceu um trojan de acesso remoto e keylogger por US$ 500 cada.
A SentinelOne abordou preocupações com divulgação precoce: «Não é uma falha central de criptografia, mas um artefato de teste de operadores incompetentes, representativo do ecossistema que a CyberVolk pretende fomentar. Não é confiável além de casos específicos».
Embora ajude vítimas atuais, isso pode estimular correções, aprimorando versões futuras do VolkLocker.