Den rysslandsstödjande hacktivistgruppen CyberVolk har dykt upp igen med en ny ransomware-as-a-service-plattform kallad VolkLocker, som stödjer både Linux- och Windows-system. Först dokumenterad 2024 av SentinelOne återvände gruppen efter en period av inaktivitet orsakad av Telegram-förbud. Trots avancerad automatisering via Telegram-botsar har malware betydande krypteringsbrister som kan låta offer återställa filer utan betalning.
CyberVolk, en rysslandsstödjande hacktivistgrupp i linje med ryska intressen, väckte uppmärksamhet första gången sent 2024 genom attacker med olika ransomware-familjer. Efter att ha tystnat på grund av Telegrams verkställandeåtgärder tidigare i år dök gruppen upp igen i augusti 2025 med VolkLocker, en ransomware-as-a-service (RaaS)-operation skriven i Golang. Denna plattformsövergripande malware utökar gruppens räckvidd genom att rikta sig mot både Windows- och Linux-miljöer, och gör det möjligt för operatörer att bygga varianter med enkla inmatningar som en Bitcoin-adress, Telegram-bot-token, chatt-ID, krypteringsfrist, anpassad filändelse och självförstörelsalternativ. VolkLocker förlitar sig tungt på Telegram för automatisering, där boten 'CyberVolk_Kbot' hanterar kommunikation med offer, infektionskontroll och dekrypteringshantering. Ransomware använder AES-256-kryptering i Galois/Counter Mode (GCM) med en 32-byte masternyckel kodad som en 64-tecken hex-sträng. En kritisk brist kvarstår dock: samma hårdkodade masternyckel används för alla filer och sparas i klartext i en fil som innehåller offer-ID och angriparens Bitcoin-adress. Säkerhetsforskare från SentinelOne tillskriver detta en utvecklar-testfunktion som oavsiktligt lämnats kvar i produktionsbyggen, vilket belyser gruppens omogna kvalitetskontroll. På Windows försöker VolkLocker privilegieskalning genom att utnyttja 'ms-settings' User Account Control-bypass, och modifierar registernyckeln HKCUSoftwareClassesms-settingsshellopencommand för att köras med administratörsrättigheter. Det inaktiverar Windows Defender och återställningsverktyg via registerändringar och PowerShell, blockerar åtkomst till Aktivitetshanteraren, Kommandotolken och Registerredigeraren, samt säkerställer persistens genom att kopiera sig själv till kataloger som %APPDATA%, %PUBLIC%Documents och %ProgramData%MicrosoftNetwork. Malware utför också miljöupptäckt, räknar processer för att upptäcka virtuella maskiner som VirtualBox, VMware och QEMU, samt kontrollerar MAC-adresser mot leverantörsprefix för att undvika sandlådor. En dynamisk HTML-lösenote visas med en 48-timmars nedräkningstimern, även om det visuella är kosmetiskt. Efter fristen korrumperar en oberoende rutin processer, raderar användarkataloger, torkar Volume Shadow Copies och utlöser Blue Screen of Death med NtRaiseHardError() API. Liknande kryptering och Telegram-kontroller gäller för Linux-varianter. Basbyggen saknar obfuskering och rekommenderar UPX-packning för operatörer. Indikatorer på kompromiss inkluderar Windows-provhash dcd859e5b14657b733dfb0c22272b82623466321, Linux-prov 0948e75c94046f0893844e3b891556ea48188608, Bitcoin-adress bc1qujgdzl0v82gh9pvmg3ftgnknl336ku26nnp0vy och Telegram-bot @CyberVolk_Kbot. Även om bristerna underminerar dess effektivitet visar VolkLocker hur politiskt motiverade aktörer förenklar ransomware via meddelandeplattformar.
