VolkLocker RaaS: уязвимость жёстко закодированного AES-256 мастер-ключа

Пророссийская хактивистская группировка CyberVolk вновь активировалась после периода бездействия в 2025 году и представила новую «Программа-вымогатель как услуга» (RaaS) под названием VolkLocker. По итогам анализа, новый вариант — также обозначаемый как CyberVolk 2.x — сочетает кроссплатформенные полезные нагрузки и агрессивные меры по препятствованию восстановления, но при этом содержит принципиально важную ошибку в реализации шифрования, которая ослабляет эффективность атаки.

Ключевые особенности VolkLocker

• Полезные нагрузки написаны на Golang и совместимы с Linux и Windows;
• Дистрибуция выполняется без сложного обфускационного слоя — операторы полагаются на упаковку UPX вместо встроенных средств шифрования/обфускации;
• Шифрование реализовано на основе AES-256 в режиме GCM;
• Мастер-ключ генерируется как 32-байтовая последовательность и жестко кодируется в бинарнике в виде шестнадцатеричной строки длиной 64 символа;
• После шифрования развертывается динамическое HTML-приложение с уведомлением о выкупе, сохраняемое в каталоге %TEMP% и запускаемое автоматически; по умолчанию таймер обратного отсчёта составляет 48 часов (операторы могут менять значение);
• VolkLocker выполняет изменения в реестре Windows с целью затруднить системный анализ и восстановление;
• Наличие деструктивного механизма, нацеленного на каталоги профилей пользователей, включая удаление отдельных папок, что может привести к утрате резервных копий;
• Оперативное управление и взаимодействие с клиентами RaaS осуществляется через Telegram с использованием специального бота;
• К концу 2025 года CyberVolk расширил портфель: помимо вымогателя, в предложение включены автономные трояны удалённого доступа (RAT) и клавиатурные шпионы.

Критическая уязвимость: жёстко закодированный мастер-ключ

Наиболее серьёзный недостаток VolkLocker заключается в том, что мастер-ключ (32 байта) жестко закодирован в исполняемом файле в виде 64-символьной hex-строки. Это означает, что один и тот же мастер-ключ используется для шифрования файлов всех жертв, вместо того чтобы генерировать уникальные ключи для каждой сессии компрометации.

Последствия:

• Критическое снижение криптостойкости: при обнаружении мастер-ключа аналитики и защитные решения получают возможность расшифровать файлы множества жертв;
• Упрощение для правоохранительных органов и исследователей: статический ключ существенно облегчает создание утилит для массовой дешифровки;
• Техническая противоречивость: использование AES-256 GCM само по себе адекватно, но реализация генерации и хранения ключей делает систему уязвимой.

Меры против восстановления и воздействие на инфраструктуру жертвы

VolkLocker ориентирован не только на шифрование данных, но и на активное препятствование восстановлению:

• Изменения нескольких ключевых разделов реестра Windows затрудняют анализ и запуск средств восстановления;
• Деструктивный компонент целится в каталоги профилей пользователей — удаляются отдельные папки, что может уничтожить локальные и некоторые резервные копии;
• Динамическое HTML-уведомление о выкупе, сохраняемое в %TEMP%, запускается автоматически и при старте системы, что повышает давление на жертву через отсчёт времени (по умолчанию 48 часов).

Инфраструктура управления и коммерческая модель

Организация RaaS у CyberVolk типична для рынка: операторы получают технический продукт, а взаимодействие с «клиентами» и поддержка осуществляется через Telegram. В данном случае задействован специализированный бот, который обрабатывает заявки и вопросы клиентов платформы.

Несмотря на многочисленные блокировки в Telegram в 2025 году, группировка сумела восстановить свою активность и продолжает продвигать расширенный набор услуг.

Эволюция услуг: от RaaS к RAT и кейлоггерам

К концу 2025 года наблюдается расширение спектра предлагаемых продуктов: помимо вымогателя CyberVolk предлагает автономные RAT и клавиатурные шпионы. Это указывает на стратегический сдвиг от узконаправленных атак к многофункциональному набору киберкриминальных сервисов, что повышает риски для организаций и частных пользователей.

Выводы

Возвращение CyberVolk с VolkLocker демонстрирует сочетание прагматичного подхода (кроссплатформенные Golang-пейлоады, Telegram-инфраструктура для RaaS) и серьёзной ошибки в криптографической реализации — жёстко закодированного мастер-ключа. С одной стороны, это позволяет атакующим быстро разворачивать кампании; с другой — даёт исследователям и защитным командам важную возможность для разработки средств дешифровки и защиты пострадавших.

Для организаций и специалистов по безопасности ключевые выводы таковы:

• необходимо быстро выявлять и анализировать образцы VolkLocker, чтобы извлечь статический мастер-ключ и оценить масштаб компрометации;
• важно контролировать целостность резервных копий и изолировать их от пользовательских профилей, чтобы снизить риск их уничтожения;
• следует мониторить активность в Telegram-каналах, связанных с RaaS, и блокировать взаимодействия с подозрительными ботами;
• обновление средств обнаружения и исполняемых политик по защите конечных точек (EPP/EDR) остаётся приоритетом.

VolkLocker демонстрирует, что даже при использовании современных криптографических алгоритмов уязвимости в реализации могут превратить сильное средство в слабое звено.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.