Forskare på SentinelOne har avslöjat en kritisk brist i CyberVolks nya ransomware-as-a-service VolkLocker: en hårdkodad huvudnyckel lagrad i klartext, som gör det möjligt för offer att dekryptera filer utan att betala lösensumma. Efter gruppens omstart i augusti 2025 efter Telegram-förbud understryker denna svaghet kvalitetsproblem i deras RaaS-ekosystem.
Som beskrevs i tidigare rapportering om VolkLockers lansering har den pro-ryska hacktivistgruppen CyberVolk – känd för DDoS- och ransomwareattacker sedan 2024 – återuppstått med denna Golang-baserade RaaS som riktar sig mot Linux/VMware ESXi och Windows via Telegram-builderbots.
Ransomware använder AES-256 i Galois/Counter-läge med en 32-byte huvudnyckel från en 64-tecken hex-sträng, som appliceras enhetligt på filer (omdöpta till .locked eller .cvolk) tillsammans med en slumpmässig 12-byte nonce IV. Kritiskt nog sparar den denna nyckel i en klartextfil, system_backup.key, i %TEMP%-mappen, som kvarstår och tillåter återställning.
«En testartefakt som oavsiktligt skickades med i produktionsbyggen», noterade SentinelOne-forskare och rekommenderade offer att extrahera nyckeln för dekryptering.
RaaS-åtkomst kostar 800–1 100 USD per OS-arkitektur eller 1 600–2 200 USD för båda, med en Telegram-bot för anpassning. I november 2025 erbjöd CyberVolk även en fjärråtkomsttrojan och keylogger för 500 USD vardera.
SentinelOne bemötte farhågor kring tidig offentliggörande: «Detta är inte en kärnfel i kryptering utan en testartefakt från inkompetenta operatörer, representativt för det ekosystem CyberVolk vill främja. Det är inte tillförlitligt bortom specifika fall.»
Medan det hjälper nuvarande offer kan det leda till rättelser och förbättra framtida versioner av VolkLocker.
