CyberVolk, пророссийская хакерская группировка, вернулась после многомесячного молчания с новым сервисом программ-вымогателей. Здесь есть и плохие, и хорошие новости.
Во-первых, плохие новости: операция по предоставлению программ-вымогателей как услуги CyberVolk 2.x (также известная как VolkLocker), запущенная поздним летом. Она полностью осуществляется через Telegram, что значительно упрощает работу для не слишком технически подкованных участников, позволяя им блокировать файлы и требовать выкуп.
«Солдаты» CyberVolk могут использовать встроенную автоматизацию платформы для генерации вредоносных программ, координации атак с использованием программ-вымогателей и управления своей незаконной деятельностью, осуществляя всё через Telegram.
Но вот и хорошие новости: злоумышленники, распространяющие программы-вымогатели, проявили небрежность при отладке своего кода и жестко закодировали мастер-ключи — этот же ключ шифрует все файлы в системе жертвы — в исполняемые файлы. Это может позволить жертвам восстановить зашифрованные данные без уплаты выкупа, согласно заявлению старшего исследователя угроз SentinelOne Джима Уолтера, который в четверг подробно описал возрождение банды и её ошибочный код.
Информационная служба безопасности и другие исследователи безопасности впервые задокументировали пророссийский хакерский коллектив в прошлом году. В отличие от аналогичных политически мотивированных группировок, таких как CyberArmyofRussia_Reborn и NoName057(16), которые правительство США связывало с российским ГРУ и самим Владимиром Путиным, CyberVolk, по-видимому, не имеет прямых связей с Кремлем.
В отличие от других хакерских банд, которые в основном полагаются на распределенные атаки типа «отказ в обслуживании» (DDoS) для нападения на своих жертв, CyberVolk также использует программы-вымогатели.
По словам Уолтера, банда скрывалась в теневом цифровом подполье большую часть 2025 года после того, как Telegram несколько раз блокировал её. Однако в августе CyberVolk вернулась с новой операцией по предоставлению программ-вымогателей как услуги.
Знакомьтесь, VolkLocker
«Наш анализ выявил операцию, испытывающую трудности с расширением: делая шаг вперед с помощью сложной автоматизации Telegram и шаг назад с вредоносными программами, которые сохраняют тестовые артефакты, позволяющие жертвам самостоятельно восстановиться», — написал Уолтер.
Вредоносные программы VolkLocker написаны на Go, существуют версии вредоносного ПО, работающие как на Linux, так и на Windows, и все они включают встроенную автоматизацию Telegram для управления и контроля (C2).
Операторы, создающие новые вредоносные программы VolkLocker, должны предоставить биткоин-адрес, идентификатор токена Telegram-бота, идентификатор чата Telegram, срок шифрования, желаемое расширение файла и опции самоуничтожения.
Фактически, все коммуникации, покупки и поддержка CyberVolk осуществляются через Telegram. Стандартный Telegram C2 поддерживает команды, которые отправляют сообщения зараженным жертвам, инициируют расшифровку файлов, перечисляют активных жертв, отправляют сообщения конкретным жертвам и извлекают информацию о системе жертвы, среди прочих.
Однако Telegram C2 настраивается, и, по нашим данным, некоторые операторы программ-вымогателей разработали дополнительные возможности, включая кейлоггеры и команды удаленного доступа (RAT).
В ноябре операторы программ-вымогателей начали рекламировать автономные инструменты RAT и кейлоггеры, а также следующие модели ценообразования:
- RaaS (одна ОС): 800–1100 долларов США
- RaaS (Linux + Windows): 1600–2200 долларов США
- Автономный RAT или кейлоггер: 500 долларов США за каждый
После развертывания программы-вымогателя в системах жертв она повышает привилегии, обходя контроль учетных записей пользователей Windows (UAC) для выполнения вредоносного ПО с правами администратора. Она определяет, какие файлы шифровать, на основе списков исключений для определенных путей и расширений, настроенных в коде вредоносного ПО, а для шифрования файлов использует AES-256 в режиме GCM (Galois/Counter Mode).
Но вот где разработчики вредоносного ПО допустили ошибку: VolkLocker не генерирует ключи шифрования динамически, а жестко кодирует их в виде шестнадцатеричных строк и записывает файл в открытом тексте с полным мастер-ключом шифрования в папку %TEMP%.
«Мастер-ключ в открытом тексте, вероятно, представляет собой тестовый артефакт, непреднамеренно включенный в производственные сборки», — написал Уолтер. «Операторы CyberVolk могут не знать, что участники развертывают сборки с все еще встроенной функцией backupMasterKey()».
«Это предполагает, что операция испытывает трудности с поддержанием контроля качества при агрессивном наборе менее квалифицированных участников», — добавил он.
The Register обратился в SentinelOne с вопросами о масштабах новой операции RaaS, включая количество зараженных организаций с момента ее возрождения, и обновит эту статью, когда получит ответ от фирмы по безопасности. ®
Автор – Jessica Lyons
