После почти годичного перерыва группа CyberVolk возобновила активность. В августе 2025 года она представила новую услугу Ransomware-as-a-Service (RaaS) под названием VolkLocker. Анализ специалистов по кибербезопасности выявил противоречивую картину: с одной стороны, группа внедрила сложную телеграм-автоматизацию, а с другой - допустила грубейшие ошибки в коде, позволяющие жертвам восстанавливать файлы без выплаты выкупа.
Описание
VolkLocker, также известный как CyberVolk 2.x, представляет собой вредоносное ПО (malware), написанное на языке Golang с поддержкой Windows и Linux. В отличие от многих других RaaS-платформ, сервис не предоставляет встроенных средств обфускации, вместо этого рекомендуя партнерам-аффилиатам использовать публичный упаковщик UPX. Для сборки полезной нагрузки (payload) оператору необходимо указать биткоин-адрес, данные Telegram-бота, срок шифрования и расширение для зашифрованных файлов.
После запуска программа пытается повысить привилегии, используя известную технику обхода UAC (User Account Control), манипулируя ключом реестра "ms-settings". Затем она проводит разведку окружения, включая проверку MAC-адресов и записей реестра для обнаружения виртуальных машин (VM). Шифрование файлов осуществляется с помощью алгоритма AES-256 в режиме GCM. Для каждого файла генерируется случайный одноразовый номер (nonce), а исходный файл помечается на удаление.
Критический просчет: ключ шифрования в открытом виде
Главная уязвимость VolkLocker кроется в статичном подходе к управлению ключами. Мастер-ключ для шифрования жестко прописан в бинарном файле в виде шестнадцатеричной строки и используется для всех файлов на зараженной системе. Более того, функция "backupMasterKey()" во время инициализации создает в папке "%TEMP%" текстовый файл "system_backup.key" со скрытыми атрибутами. В этом файле в открытом виде хранятся идентификатор жертвы, полный мастер-ключ и биткоин-адрес злоумышленника.
Этот фатальный недостаток, вероятно, является артефактом отладки, по ошибке попавшим в производственные сборки. Его наличие указывает на проблемы с контролем качества в быстро растущей операции, которая активно привлекает менее квалифицированных аффилиатов. Обнаружив этот файл, жертва может самостоятельно извлечь ключ и расшифровать данные, полностью нивелируя угрозу.
Меры против восстановления и установление постоянного присутствия
Несмотря на фатальную ошибку с ключами, другие компоненты вредоносного ПО демонстрируют более продуманный подход. VolkLocker вносит множество изменений в реестр Windows для блокировки системного восстановления: отключает Диспетчер задач, редактор реестра, командную строку и меню "Выполнить". С помощью PowerShell он останавливает и отключает Защитник Windows (Windows Defender), а также принудительно завершает процессы, связанные с популярными инструментами анализа вроде Process Hacker.
Для обеспечения постоянного присутствия (persistence) на системе программа создает свои копии в нескольких критически важных локациях, включая автозагрузку и системные каталоги.
Динамический выкуп и механизм уничтожения
Уведомление о выкупе выполнено в виде динамического HTML-приложения с JavaScript-таймером обратного отсчета, обычно установленным на 48 часов. Однако этот интерфейс носит чисто косметический характер. Параллельно в фоне работает отдельный "силовой" таймер на языке Go. По его истечении или после нескольких попыток ввода неверного ключа активируются функции "SystemCorruptor()" и "DestroySystem()".
Деструктивная рутина удаляет ключевые пользовательские папки (Документы, Загрузки, Изображения), стирает теневые копии томов (Volume Shadow Copies) и в конечном итоге вызывает "синий экран смерти" (BSOD) через вызов функции "NtRaiseHardError()".
Telegram как центр управления
Отличительной чертой CyberVolk является глубокая интеграция с мессенджером Telegram, который группа позиционирует как ключевое конкурентное преимущество. Через Telegram-бота осуществляется весь цикл: от привлечения клиентов и техподдержки до управления вредоносными кампаниями.
Встроенный в VolkLocker модуль командования и управления (C2) через Telegram позволяет операторам получать уведомления о новых заражениях вместе со скриншотом экрана и системной информацией, выводить список всех жертв, рассылать сообщения и инициировать дешифровку. Некоторые операторы публиковали кастомизированные версии бота с расширенным функционалом, включая управление RAT (Remote Access Trojan) и кейлоггером.
Расширение бизнес-модели
К ноябрю 2025 года CyberVolk расширил линейку услуг, начав продавать трояны удаленного доступа и кейлоггеры как отдельные продукты. Согласно рекламным материалам, стоимость RaaS-сборки для одной ОС составляет $800-$1100, для связки Linux и Windows - $1600-$2200. Отдельные инструменты RAT или кейлоггер предлагаются по $500 каждый, при этом доступны скидки за комплексный заказ.
Выводы
Возвращение CyberVolk с обновленной платформой демонстрирует устойчивость хактивистских групп, которые продолжают снижать порог входа в киберпреступность. Использование популярных мессенджеров в качестве инфраструктуры стало трендом. Однако критическая ошибка с открытым хранением ключей шифрования в VolkLocker подчеркивает трудности, с которыми сталкиваются такие группы при масштабировании операций. Для защитников это служит напоминанием, что даже продвинутые с точки зрения автоматизации угрозы могут содержать примитивные уязвимости, открывающие путь для восстановления без выплаты выкупа.
Индикаторы компрометации
SHA1
- 0948e75c94046f0893844e3b891556ea48188608
- dcd859e5b14657b733dfb0c22272b82623466321
Bitcoin Address
- bc1qujgdzl0v82gh9pvmg3ftgnknl336ku26nnp0vy (CyberVolk)
Telegram Bot Token
- 8368663132:AAHBfe3xYPtg1IMynKhQy1BRzuF5UZRZspw (CyberVolk)
