Un grupo hacktivista prorruso conocido como CyberVolk (también conocido como GLORIAMIST) ha resurgido con un nuevo producto de ransomware como servicio (RaaS) llamado VolkLocker, que permite a los usuarios descifrar archivos sin pagar tarifas de extorsión, plagado de un error de implementación de artefactos de prueba.
Según SentinelOne, VolkLocker (también conocido como CyberVolk 2.x) aparecerá en agosto de 2025 y puede apuntar tanto a sistemas Windows como Linux. Escrito en Golang.
«Los operadores que crean nuevas cargas útiles de VolkLocker deben proporcionar una dirección de Bitcoin, un ID de token de bot de Telegram, un ID de chat de Telegram, una fecha de vencimiento del cifrado, una extensión de archivo deseada y una opción de autodestrucción», dijo el investigador de seguridad Jim Walter en un informe publicado la semana pasada.
Una vez lanzado, el ransomware intenta escalar privilegios y realiza reconocimiento y enumeración del sistema, incluida la verificación de prefijos de direcciones MAC locales con proveedores de virtualización conocidos como Oracle y VMware. La siguiente etapa es enumerar todas las unidades disponibles y decidir qué archivos cifrar según la configuración integrada.
VolkLocker utiliza AES-256 en modo Galois/Counter (GCM) para el cifrado con el paquete «crypto/rand» de Golang. A todos los archivos cifrados se les asigna una extensión personalizada, como .locked o .cvolk.
Sin embargo, el análisis de las muestras de prueba reveló un error fatal: la clave maestra del casillero no solo está codificada en binario, sino que también se usa para cifrar todos los archivos en el sistema de la víctima. Más importante aún, la clave maestra también se escribe en un archivo de texto sin formato en la carpeta %TEMP% («C:\Users\AppData\Local\Temp\system_backup.key»).
Este archivo de clave de respaldo nunca se elimina, lo que permite la autorreparación debido a un error de diseño. Dicho esto, VolkLocker tiene todas las características típicamente asociadas con el ransomware. Modifica el registro de Windows para interferir con la recuperación y el análisis, eliminar instantáneas de volumen y finalizar procesos relacionados con Microsoft Defender Antivirus y otras herramientas de análisis populares.
Sin embargo, lo que destaca es el uso de un temporizador de fuerza que borra el contenido de las carpetas de los usuarios. Documentos, escritorios, descargas e imágenes si la víctima no paga dentro de las 48 horas o ingresa la clave de descifrado incorrecta tres veces.
Las operaciones RaaS de CyberVolk se gestionan a través de Telegram y cuestan a los clientes potenciales entre 800 y 1100 dólares para las versiones de Windows o Linux, y entre 1600 y 2200 dólares para ambos sistemas operativos. La carga útil VolkLocker incorpora la automatización de Telegram para comando y control, lo que permite a los usuarios enviar mensajes a las víctimas, iniciar el descifrado de archivos, enumerar las víctimas activas y obtener información del sistema.
En noviembre de 2025, los atacantes anuncian troyanos de acceso remoto y registradores de pulsaciones de teclas, ambos con un precio de 500 dólares cada uno, lo que indica una estrategia de monetización creciente.
CyberVolk lanzó su propio RaaS en junio de 2024. Es conocido por realizar ataques distribuidos de denegación de servicio (DDoS) y ransomware contra instituciones públicas e instituciones gubernamentales en apoyo de los intereses del gobierno ruso, y se cree que se originó en la India.
«A pesar de las repetidas prohibiciones y eliminaciones de canales de cuentas de Telegram a lo largo de 2025, Cyberbork restableció su negocio y amplió su oferta de servicios», dijo Walter. «Los defensores deberían ver la adopción de la automatización basada en Telegram por parte de CyberVolk como un reflejo de una tendencia más amplia entre los actores de amenazas con motivación política. Estos grupos continúan reduciendo la barrera para la implementación de ransomware mientras operan en plataformas que brindan una infraestructura conveniente para los servicios criminales».
Source link
