O grupo hacktivista pró-Rússia CyberVolk lançou um serviço de ransomware como serviço (RaaS) chamado VolkLocker, que apresenta graves falhas de implementação, permitindo que vítimas recuperem seus arquivos gratuitamente.
Pesquisadores da SentinelOne que analisaram essa nova família de ransomware identificaram que o encryptor utiliza uma chave mestre hardcoded no binário, que também é armazenada em texto claro em um arquivo oculto nas máquinas infectadas.
Essa vulnerabilidade permite que as empresas vítimas usem essa chave para recuperar seus arquivos sem pagar o resgate, comprometendo o potencial do VolkLocker no cenário do cibercrime.
O CyberVolk, supostamente um coletivo hacktivista pró-Rússia com base na Índia, iniciou suas operações no ano passado, com ataques DDoS e ransomware contra entidades públicas e governamentais contrárias à Rússia ou favoráveis à Ucrânia.
Apesar de ter sido removido do Telegram, o grupo retornou em agosto de 2025 com um novo programa RaaS, o VolkLocker (versão CyberVolk 2.x), que ataca sistemas Linux/VMware ESXi e Windows.
Uma característica notável do VolkLocker é o uso de uma função timer em Golang que, ao expirar ou quando uma chave incorreta é inserida na nota HTML do ransomware, aciona a exclusão de pastas do usuário, como Documentos, Downloads, Imagens e Área de Trabalho.
O acesso ao RaaS custa entre US$ 800 e US$ 1.100 para uma arquitetura de sistema operacional, ou entre US$ 1.600 e US$ 2.200 para ambas.
Os clientes recebem acesso a um bot construtor no Telegram, que permite personalizar o encryptor e gerar o payload.
Em novembro de 2025, o mesmo grupo passou a anunciar um Trojan de acesso remoto e um keylogger, cada um pelo custo de US$ 500.
O VolkLocker utiliza criptografia AES-256 no modo GCM (Galois/Counter Mode), com uma chave mestre de 32 bytes derivada de uma string hexadecimal de 64 caracteres embutida no binário.
Cada arquivo é criptografado usando um nonce aleatório de 12 bytes como vetor de inicialização (IV); o arquivo original é deletado, e a extensão .locked ou .cvolk é adicionada à cópia criptografada.
O problema crucial é que o VolkLocker usa a mesma chave mestre para todos os arquivos do sistema da vítima, e essa chave está escrita em texto claro em um arquivo chamado system_backup.key dentro da pasta %TEMP%.
“Como o ransomware nunca apaga esse arquivo de backup da chave, as vítimas podem tentar a recuperação dos arquivos extraindo os valores necessários dele”, explica a SentinelOne.
“Essa chave em texto claro provavelmente é um artefato de teste que foi acidentalmente incluído nas versões de produção.”
Embora essa falha possa ajudar as vítimas atuais, a divulgação pública da vulnerabilidade deve incentivar os criminosos a corrigirem o problema para evitar futuros abusos.
Especialistas recomendam que, enquanto o ransomware estiver ativo, não se divulguem falhas publicamente, preferindo-se compartilhar essas informações apenas com autoridades e empresas especializadas em negociação de resgates para apoiar as vítimas.
A reportagem do BleepingComputer questionou a SentinelOne sobre a decisão de divulgar publicamente a falha do VolkLocker, e um porta-voz respondeu:
“A razão pela qual não hesitamos é que essa não é uma falha fundamental na criptografia, mas sim um artefato de teste que, por incompetência, está sendo enviado em algumas versões de produção e não representa um mecanismo confiável de descriptografia além desses casos.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...