El grupo hacktivista prorruso conocido como CyberVolk (también conocido como GLORIAMIST) ha resurgido con una nueva oferta de ransomware como servicio (RaaS) llamada VolkLocker que sufre fallas de implementación en los artefactos de prueba, lo que permite a los usuarios descifrar archivos sin pagar una tarifa de extorsión.
Según SentinelOne, VolkLocker (también conocido como CyberVolk 2.x) surgió en agosto de 2025 y es capaz de apuntar a sistemas Windows y Linux. Está escrito en Golang.
«Los operadores que crean nuevas cargas útiles de VolkLocker deben proporcionar una dirección de bitcoin, un ID de token de bot de Telegram, un ID de chat de Telegram, una fecha límite de cifrado, la extensión de archivo deseada y opciones de autodestrucción», dijo el investigador de seguridad Jim Walter. dicho en un informe publicado la semana pasada.
Una vez lanzado, el ransomware intenta escalar privilegios, realiza reconocimiento y enumeración del sistema, incluida la verificación de prefijos de direcciones MAC locales con proveedores de virtualización conocidos como Oracle y VMware. En la siguiente etapa, enumera todas las unidades disponibles y determina los archivos que se cifrarán en función de la configuración integrada.
VolkLocker usa AES-256 en modo Galois/Contador (GCM) para el cifrado a través del paquete «crypto/rand» de Golang. A cada archivo cifrado se le asigna una extensión personalizada, como .locked o .cvolk.
Sin embargo, un análisis de las muestras de prueba ha descubierto una falla fatal en la que las claves maestras del casillero no solo están codificadas en binarios, sino que también se usan para cifrar todos los archivos en el sistema víctima. Más importante aún, la clave maestra también se escribe en un archivo de texto sin formato en la carpeta %TEMP% («C:\Users\AppData\Local\Temp\system_backup.key»).
Dado que este archivo de clave de respaldo nunca se elimina, el error de diseño permite la autorrecuperación. Dicho esto, VolkLocker tiene todas las características típicamente asociadas con una variedad de ransomware. Realiza modificaciones en el Registro de Windows para frustrar la recuperación y el análisis, elimina instantáneas de volumen y finaliza procesos asociados con Microsoft Defender Antivirus y otras herramientas de análisis comunes.
Sin embargo, donde se destaca es en el uso de un temporizador de aplicación, que borra el contenido de las carpetas de los usuarios, a saber. Documentos, escritorio, descargas e imágenes, si las víctimas no pagan dentro de las 48 horas o ingresan la clave de descifrado incorrecta tres veces.
Las operaciones RaaS de CyberVolk se gestionan a través de Telegram, lo que cuesta a los clientes potenciales entre 800 y 1100 dólares para una versión de Windows o Linux, o entre 1600 y 2200 dólares para ambos sistemas operativos. Las cargas útiles de VolkLocker vienen con automatización de Telegram incorporada para comando y control, lo que permite a los usuarios enviar mensajes a las víctimas, iniciar el descifrado de archivos, enumerar víctimas activas y obtener información del sistema.
En noviembre de 2025, los actores de amenazas anunciaron un troyano de acceso remoto y un registrador de teclas, ambos con un precio de 500 dólares cada uno, lo que indica una ampliación de su estrategia de monetización.
CyberVolk lanzó su propio RaaS en junio de 2024. Conocido por realizar ataques distribuidos de denegación de servicio (DDoS) y ransomware a entidades públicas y gubernamentales para apoyar los intereses del gobierno ruso, es Se cree que es de origen indio..
«A pesar de las repetidas prohibiciones de cuentas de Telegram y eliminaciones de canales a lo largo de 2025, CyberVolk ha restablecido sus operaciones y ampliado su oferta de servicios», dijo Walter. «Los defensores deberían ver la adopción de la automatización basada en Telegram por parte de CyberVolk como un reflejo de tendencias más amplias entre los actores de amenazas con motivaciones políticas. Estos grupos continúan reduciendo las barreras para la implementación de ransomware mientras operan en plataformas que brindan una infraestructura conveniente para los servicios criminales».
Fuente