O grupo hacktivista pró-Rússia, CyberVolk, lançou um novo ransomware chamado VolkLocker, que apresenta falhas de implementação que possibilitam a descriptografia de arquivos sem pagamento. Segundo a SentinelOne, o VolkLocker, também conhecido como CyberVolk 2.x, surgiu em agosto de 2025 e atinge sistemas Windows e Linux, sendo desenvolvido em Golang.
Para criar novos payloads do VolkLocker, os operadores devem fornecer um endereço de bitcoin, token de bot do Telegram, ID de chat do Telegram, prazo de criptografia, extensão de arquivo desejada e opções de autodestruição. Após ser ativado, o ransomware tenta elevar privilégios, realiza reconhecimento e enumeração do sistema, verificando endereços MAC locais contra fornecedores de virtualização conhecidos como Oracle e VMware. Em seguida, lista todas as unidades disponíveis e determina os arquivos a serem criptografados com base na configuração incorporada.
Uma análise das amostras de teste revelou uma falha crítica: as chaves mestres do locker estão codificadas nos binários e são usadas para criptografar todos os arquivos de um sistema vítima. Além disso, a chave mestre é gravada em um arquivo de texto simples na pasta %TEMP% (“C:UsersAppDataLocalTempsystem_backup.key”), que nunca é deletado, permitindo a recuperação dos arquivos.
As operações do RaaS do CyberVolk são geridas via Telegram, com custos entre $800 e $1.100 para versões Windows ou Linux, ou entre $1.600 e $2.200 para ambas. Os payloads do VolkLocker incluem automação integrada do Telegram para comando e controle, permitindo que os usuários enviem mensagens às vítimas, iniciem a descriptografia de arquivos, listem vítimas ativas e obtenham informações do sistema. Em novembro de 2025, os atores da ameaça anunciaram um trojan de acesso remoto e um keylogger, ambos a $500 cada, indicando uma ampliação de sua estratégia de monetização.
O CyberVolk lançou seu próprio RaaS em junho de 2024, conhecido por ataques de negação de serviço distribuído (DDoS) e ransomware contra entidades públicas e governamentais para apoiar interesses do governo russo. Apesar de repetidas proibições de contas no Telegram e remoções de canais ao longo de 2025, o CyberVolk restabeleceu suas operações e ampliou suas ofertas de serviços.
Fonte:https://thehackernews.com/2025/12/volklocker-ransomware-exposed-by-hard.html
Slug: ransomware-volklocker-vulnerabilidade-descriptografia
