CyberVolk a revenit pe scena cibercrimei oferind un ransomware ca serviciu (RaaS) construit în jurul Telegram, iar prima analiză subliniază atât ușurința de utilizare, cât și o eroare critică de criptare. Grupul pro‑rus, activ din 2023, a lansat în august 2025 versiunea 2.x, cunoscută sub numele de VolkLocker, destinată atât sistemelor Windows, cât și Linux.

Ransomware ca serviciu în Telegram – modul de operare al VolkLocker

VolkLocker folosește Telegram nu doar pentru promovare, ci și pentru comandă și control (C2). Utilizatorii plătesc o licență și primesc acces la un bot Telegram care generează rapid payload‑ul. Prin intermediul chat‑ului pot seta adresa Bitcoin, deadline‑ul de criptare, extensiile de fișiere și opțiuni de auto‑ștergere.

Implementarea tehnică a ransomware‑ului

– Scris în limbajul Go, cu suport pentru Windows și Linux.
– Integrare directă cu API‑ul Telegram pentru trimiterea comenzilor.
– Parametri introduși prin mesajul botului: adresă BTC, ID bot, ID chat, data limită.

Greșeala de implementare a cheii de criptare

Analiza SentinelOne a descoperit că VolkLocker include o cheie „master” hardcoded în binar, stocată ca șir hexazecimal. În plus, executabilul scrie acea cheie într-un fișier text temporar (%TEMP%) – probabil un artifact de debugging care a rămas în versiunea de producție. Această eroare permite recuperarea fișierelor fără plata răscumpărării, atenuând principalul mecanism de șantaj al ransomware‑ului.

Implicații pentru trendul RaaS și securitatea cibernetică

Reapariția CyberVolk arată cum platformele de mesagerie, în special Telegram, pot deveni infrastructură completă pentru servicii criminale. Modelul RaaS simplifică intrarea în fraudă pentru afiliatii cu puține cunoștințe tehnice, reducând barierele logistice. Chiar dacă VolkLocker prezintă o vulnerabilitate internă, conceptul de ransomware ca serviciu rămâne o amenințare în creștere, cu potențial de adaptare rapidă la noi canale de comunicare.

Informațiile actuale subliniază necesitatea monitorizării continue a evoluțiilor din spațiul ransomware ca serviciu și a platformelor utilizate pentru comandă și control.