Первая попытка группировки CyberVolk внедрить программу-вымогатель обернулась провалом из-за просчётов в криптографической части
Изображение: recraft
Группа CyberVolk, которая западными профильными компаниями считается пророссийской, презентовала собственный сервис вымогательства как услугу, получивший название VolkLocker. Однако дебют оказался неудачным — продукт содержит критические просчёты, которые позволяют пострадавшим пользователям обойти плату за расшифровку данных.
По информации, опубликованной специалистами компании SentinelOne, исследовавшими особенности вредоносного программного обеспечения, в структуре шифровальщика был обнаружен главный код дешифровки, встроенный непосредственно в исполняемый файл. Кроме того, он дублируется в открытом виде в скрытом системном документе на заражённых устройствах.
Такое упущение лишает VolkLocker шансов стать эффективным инструментом в арсенале киберпреступников, поскольку пользователи могут восстановить доступ к зашифрованным данным самостоятельно, без взаимодействия с атакующими.
Эксперты SentinelOne отмечают, что утечка ключа, вероятнее всего, связана с тем, что команда разработчиков по ошибке оставила в рабочем билде элемент из тестовой сборки. Специалисты подчёркивают, что файл с названием system_backup.key, содержащий эту строку, сохраняется в директории временных файлов и не удаляется, что даёт возможность найти его даже после окончания атаки.
Как указывают исследователи, группировка CyberVolk начала свою активность в прошлом году. Её базу аналитики SentinelOne связывают с Индией. Участники объединения фокусируются на кибератаках против организаций и институтов, связанных с украинской повесткой или критикующих политику Москвы. Первоначально внимание было сосредоточено на DDoS-атаках, но позже появились и программы-вымогатели.
После временного перерыва и блокировки Telegram-канала CyberVolk летом 2025 года она возобновила присутствие, представив переработанную версию продукта под названием VolkLocker, относящуюся ко второй ветке (CyberVolk 2.x). Новый вариант рассчитан на операционные системы Windows и Linux/VMware ESXi, что расширяет потенциальную зону поражения.
Одним из заметных элементов шифровальщика стало использование функции отсчёта времени на языке Golang. При истечении заданного периода или при вводе неправильной строки в HTML-файле с требованиями выкупа запускается процесс уничтожения пользовательских директорий. Под угрозой оказываются файлы в папках «Документы», «Загрузки», «Изображения» и на рабочем столе. Такое поведение программы создаёт дополнительное давление на жертв.
Доступ к VolkLocker продаётся в зависимости от конфигурации. За возможность использовать шифровальщик для одной архитектуры ОС запрашивают от 800 до 1100 долларов, а за обе — от 1600 до 2200. Пользователи получают возможность взаимодействовать с Telegram-ботом, предназначенным для генерации индивидуального пакета вредоносного ПО под заданные параметры.
Помимо VolkLocker, осенью 2025 года та же группа запустила рекламную кампанию, предлагая доступ к кейлоггерам и троянам с удалённым управлением. Оба инструмента оценивались в 500 долларов и распространялись через те же анонимные каналы.
