Дебито на CyberVolk против ransomware се сопнува на слабост во криптографијата

Проруската хактивистичка група CyberVolk лансираше ransomware-како-услуга (RaaS) наречена VolkLocker, која има сериозни пропусти во имплементацијата, што им овозможува на жртвите потенцијално бесплатно да ги дешифрираат своите датотеки.

Според истражувачите од SentinelOne, кои ја анализирале новата ransomware фамилија, енкрипторот користи хардкодираn мастер-клуч во самата бинарна датотека, кој исто така се запишува како обичен текст во скриена датотека на заразените машини.

Ова им овозможува на таргетираните компании да го користат клучот за бесплатно дешифрирање на датотеките, со што сериозно се поткопува потенцијалот на VolkLocker во просторот на сајбер-криминалот.

Хактивизам и сајбер-криминал

Наводно, CyberVolk е хактивистички колектив со седиште во Индија, со проруски ставови, кој започнал со работа минатата година, изведувајќи DDoS и ransomware напади врз јавни и државни институции кои се противат на Русија или ја поддржуваат Украина.

Иако групата била нарушена на Telegram, таа повторно се појави во август 2025 година со нова RaaS програма – VolkLocker (CyberVolk 2.x), која таргетира и Linux/VMware ESXi и Windows системи.

Интересна карактеристика на VolkLocker е употребата на тајмер-функција од Golang во кодот, која, кога ќе истече или кога ќе се внесе погрешен клуч во HTML ransomware пораката, предизвикува бришење на корисничките папки (Documents, Downloads, Pictures и Desktop).

Пристапот до RaaS чини меѓу 800 и 1.100 американски долари за една OS архитектура, или од 1.600 до 2.200 американски долари за двете.

Купувачите можат да пристапат до „builder“ бот на Telegram за да го прилагодат енкрипторот и да го добијат генерираниот payload.

Во ноември 2025 година, истата заканувачка група започна да рекламира тројанец за далечински пристап (RAT) и keylogger, при што и двата се продаваа по цена од 500 американски долари секој.

Критична криптографска слабост

VolkLocker користи AES‑256 енкрипција во GCM режим (Galois/Counter Mode), со 32-битен мастер-клуч изведен од 64-карактерен хексадецимален стринг вметнат во бинарната датотека.

За секоја датотека се користи случаен 12-бајтен nonce како иницијализациски вектор (IV), при што оригиналната датотека се брише, а на енкриптираната копија ѝ се додава наставката .locked или .cvolk.

Проблемот е што VolkLocker го користи истиот мастер-клуч за енкрипција на сите датотеки на системот на жртвата, а истиот клуч исто така се запишува во датотека со обичен текст (system_backup.key) во папката %TEMP%.

„Бидејќи ransomware-от никогаш не ја брише оваа резервна датотека со клучот, жртвите би можеле да се обидат со враќање на датотеките со извлекување на потребните вредности од датотеката“, објаснува SentinelOne.

„Резервната копија на клучот во обичен текст најверојатно претставува тестен артефакт кој ненамерно бил вклучен во продукциските изданија.“

Иако овој пропуст може да помогне на постоечките жртви, откривањето на криптографската слабост на VolkLocker веројатно ќе ги поттикне напаѓачите да го исправат багот и да спречат негово злоупотребување во иднина.

Се смета за подобра практика да не се откриваат слабости на ransomware додека напаѓачот активно ја извршува операцијата, туку тие да се споделуваат приватно со органите на прогонот и фирмите за преговарање со ransomware кои можат приватно да им помогнат на жртвите.

BleepingComputer се контактирал со SentinelOne за да праша за нивната одлука јавно да ја објават слабоста на VolkLocker, а портпаролот испратил следното објаснување:

„Причината поради која не се двоумевме е што ова не е основен криптографски пропуст, туку тестен артефакт кој ненамерно се испраќа во некои продукциски изданија од неспособни оператори и не претставува сигурен механизам за дешифрирање надвор од тие случаи. Повеќе ја прикажува екосистемската средина што CyberVolk се обидува да ја овозможи преку оваа RaaS понуда.“ – портпарол на SentinelOne

Извори:

• Bleeping Computer– CyberVolk’s ransomware debut stumbles on cryptography weakness Bleeping Computer