Un grup hacktivist pro‑rus, cunoscut sub numele de CyberVolk, a revenit după luni de tăcere lansând un serviciu ransomware ca serviciu (RaaS) integrat în Telegram. Oferta permite oricui plătește să genereze rapid un payload, să îl exploateze și să gestioneze comunicarea cu victimele prin boți și scripturi automatizate, fără a necesita cunoștințe tehnice avansate.
Ransomware în Telegram: cum funcționează VolkLocker
CyberVolk 2.x, denumit și VolkLocker, folosește Telegram nu doar pentru promovare, ci și pentru comandă și control (C2). Platforma permite afiliatului să introducă o adresă Bitcoin, datele unui bot Telegram, un deadline pentru criptare și extensia fișierelor vizate, apoi generează un executabil pentru Windows sau Linux scris în Go.
- Automatizări Telegram pentru C2
- Configurare prin chat simplu
Greșeala care poate salva victimele: cheia în clar
Analiza realizată de SentinelOne a identificat o vulnerabilitate majoră: cheia principală de criptare este hardcodată în binar și salvată accidental în folderul temporar (%TEMP%) ca fișier text. Acest artefact de debugging poate fi exploatat pentru a recupera fișierele criptate fără a plăti răscumpărarea.
- Cheie „master” în hexazecimal
- Copie a cheii în folderul temporar
Trendul RaaS: „mai ușor de folosit” nu înseamnă și „mai bine realizat”
Reapariția CyberVolk subliniază evoluția serviciilor ransomware în ecosistemul Telegram, unde barierele logistice scad semnificativ. Grupul a început să vândă licențe RaaS pentru Windows, Linux și pachete suplimentare, cum ar fi RAT și keylogger, începând din noiembrie 2023. Deși VolkLocker conține o eroare critică, modelul RaaS demonstrează că platforme de mesagerie pot deveni infrastructură “la cheie” pentru activități ilegale, facilitând accesul unui public larg la instrumente de ransomware.
Monitorizarea continuă a evoluțiilor în domeniul ransomware și a utilizării Telegram în acest context rămâne esențială pentru prevenirea și răspunsul la amenințări.
