Nhóm tin tặc thân Nga CyberVolk (hay GLORIAMIST) đã tái xuất với dịch vụ ransomware-as-a-service (RaaS) mới mang tên VolkLocker. Dịch vụ này mắc phải những sai sót trong triển khai ở các mẫu thử nghiệm, cho phép người dùng giải mã tập tin mà không cần trả tiền chuộc.
Theo SentinelOne, VolkLocker (hay CyberVolk 2.x) xuất hiện vào tháng 8 năm 2025 và có khả năng nhắm mục tiêu vào cả hệ thống Windows và Linux. Nó được viết bằng Golang.
“Các nhà điều hành tạo payload VolkLocker mới phải cung cấp địa chỉ bitcoin, ID Telegram bot token, ID Telegram chat, thời hạn mã hóa, phần mở rộng tệp mong muốn và tùy chọn tự hủy,” nhà nghiên cứu bảo mật Jim Walter cho biết trong một báo cáo được công bố tuần trước.
Sau khi khởi chạy, ransomware cố gắng leo thang đặc quyền, thực hiện reconnaissance và system enumeration, bao gồm kiểm tra các tiền tố địa chỉ MAC cục bộ so với các nhà cung cấp ảo hóa nổi tiếng như Oracle và VMware. Ở giai đoạn tiếp theo, nó liệt kê tất cả các ổ đĩa khả dụng và xác định các tập tin sẽ được mã hóa dựa trên cấu hình được nhúng.
VolkLocker sử dụng thuật toán mã hóa AES-256 trong chế độ Galois/Counter Mode (GCM) thông qua gói "crypto/rand" của Golang. Mỗi tệp được mã hóa được gán một phần mở rộng tùy chỉnh như .locked hoặc .cvolk.
Tuy nhiên, phân tích các mẫu thử nghiệm đã phát hiện ra một lỗ hổng nghiêm trọng: các khóa chính (master keys) của locker không chỉ được mã hóa cứng trong các file nhị phân mà còn được sử dụng để mã hóa tất cả các tệp trên hệ thống nạn nhân. Quan trọng hơn, khóa chính này cũng được ghi vào một tệp văn bản thuần túy trong thư mục %TEMP% ("C:\Users\AppData\Local\Temp\system_backup.key").
Do tệp khóa sao lưu này không bao giờ bị xóa, lỗi thiết kế này cho phép tự phục hồi. Tuy nhiên, VolkLocker vẫn mang tất cả các đặc điểm điển hình liên quan đến một chủng ransomware. Nó thực hiện các sửa đổi Windows Registry để ngăn chặn phục hồi và phân tích, xóa các bản sao lưu Volume Shadow Copy và chấm dứt các tiến trình liên quan đến Microsoft Defender Antivirus và các công cụ phân tích phổ biến khác.
Tuy nhiên, điểm nổi bật của nó là việc sử dụng bộ hẹn giờ thực thi, sẽ xóa nội dung các thư mục người dùng, cụ thể là Documents, Desktop, Downloads và Pictures, nếu nạn nhân không trả tiền trong vòng 48 giờ hoặc nhập sai khóa giải mã ba lần.
Các hoạt động RaaS của CyberVolk được quản lý thông qua Telegram, với chi phí cho khách hàng tiềm năng dao động từ 800 đến 1.100 USD cho phiên bản Windows hoặc Linux, hoặc từ 1.600 đến 2.200 USD cho cả hai hệ điều hành. Các payload của VolkLocker đi kèm với tính năng tự động hóa Telegram tích hợp cho command-and-control, cho phép người dùng nhắn tin cho nạn nhân, khởi tạo giải mã tệp, liệt kê nạn nhân đang hoạt động và lấy thông tin hệ thống.
Tính đến tháng 11 năm 2025, các tác nhân đe dọa đã quảng cáo một remote access trojan và keylogger, cả hai đều có giá 500 USD mỗi loại, cho thấy sự mở rộng chiến lược kiếm tiền của chúng.
CyberVolk đã ra mắt RaaS của riêng mình vào tháng 6 năm 2024. Nổi tiếng với việc thực hiện các cuộc tấn công distributed denial-of-service (DDoS) và ransomware nhằm vào các thực thể công cộng và chính phủ để hỗ trợ lợi ích của chính phủ Nga, nhóm này được cho là có nguồn gốc từ Ấn Độ.
“Mặc dù các tài khoản Telegram bị cấm và kênh bị xóa nhiều lần trong suốt năm 2025, CyberVolk đã tái thiết lập hoạt động và mở rộng các dịch vụ của mình,” Walter cho biết. “Các nhà phòng thủ nên xem việc CyberVolk áp dụng tự động hóa dựa trên Telegram như một sự phản ánh các xu hướng rộng hơn trong số các tác nhân đe dọa có động cơ chính trị. Các nhóm này tiếp tục hạ thấp rào cản cho việc triển khai ransomware trong khi hoạt động trên các nền tảng cung cấp cơ sở hạ tầng tiện lợi cho các dịch vụ tội phạm.”
