De pro-Russische hacktivistische groepering bekend als CyberVolk (ook bekend als GLORIAMIST) is weer opgedoken met een nieuw ransomware-as-a-service (RaaS)-aanbod genaamd VolkLocker dat last heeft van implementatiefouten in testartefacten, waardoor gebruikers bestanden kunnen decoderen zonder afpersingskosten te betalen.
Volgens SentinelOne is VolkLocker (ook bekend als CyberVolk 2.x) in augustus 2025 op de markt gekomen en kan het zich zowel op Windows- als Linux-systemen richten. Het is geschreven in het Golang.
“Exploitanten die nieuwe VolkLocker-payloads bouwen, moeten een bitcoin-adres, een Telegram-bot-token-ID, een Telegram-chat-ID, een deadline voor versleuteling, de gewenste bestandsextensie en opties voor zelfvernietiging opgeven”, zei beveiligingsonderzoeker Jim Walter in een vorige week gepubliceerd rapport.
Eenmaal gelanceerd probeert de ransomware de privileges te escaleren, voert verkenningen en systeemopsommingen uit, inclusief het controleren van lokale MAC-adresvoorvoegsels ten opzichte van bekende virtualisatieleveranciers zoals Oracle en VMware. In de volgende fase worden alle beschikbare schijven weergegeven en worden de bestanden bepaald die moeten worden gecodeerd op basis van de ingebouwde configuratie.
VolkLocker gebruikt AES-256 in Galois/Counter Mode (GCM) voor codering via Golang’s “crypto/rand” -pakket. Aan elk gecodeerd bestand wordt een aangepaste extensie toegewezen, zoals .locked of .cvolk.
Een analyse van de testmonsters heeft echter een fatale fout aan het licht gebracht waarbij de hoofdsleutels van het kluisje niet alleen hardgecodeerd zijn in de binaire bestanden, maar ook worden gebruikt om alle bestanden op een slachtoffersysteem te versleutelen. Belangrijker nog is dat de hoofdsleutel ook wordt geschreven naar een tekstbestand in de map %TEMP% (“C:UsersAppDataLocalTempsystem_backup.key”).
Omdat dit back-upsleutelbestand nooit wordt verwijderd, maakt de ontwerpblunder zelfherstel mogelijk. Dat gezegd hebbende, heeft VolkLocker alle kenmerken die doorgaans worden geassocieerd met ransomware. Het brengt wijzigingen in het Windows-register aan om herstel en analyse te dwarsbomen, verwijdert schaduwkopieën van volumes en beëindigt processen die verband houden met Microsoft Defender Antivirus en andere veelgebruikte analysehulpmiddelen.
Waar het echter opvalt is het gebruik van een handhavingstimer, die de inhoud van gebruikersmappen wist, namelijk. Documenten, desktop, downloads en afbeeldingen, als slachtoffers niet binnen 48 uur betalen of drie keer de verkeerde decoderingssleutel invoeren.
De RaaS-activiteiten van CyberVolk worden beheerd via Telegram, wat potentiële klanten tussen de $800 en $1.100 kost voor een Windows- of Linux-versie, of tussen $1.600 en $2.200 voor beide besturingssystemen. De payloads van VolkLocker worden geleverd met ingebouwde Telegram-automatisering voor command-and-control, waardoor gebruikers slachtoffers kunnen berichten, decodering van bestanden kunnen starten, actieve slachtoffers kunnen weergeven en systeeminformatie kunnen opvragen.
Vanaf november 2025 hebben de bedreigingsactoren geadverteerd met een trojan voor externe toegang en een keylogger, beide geprijsd op $ 500 per stuk, wat duidt op een verbreding van hun strategie voor het genereren van inkomsten.
CyberVolk lanceerde zijn eigen RaaS in juni 2024. Het staat bekend om het uitvoeren van gedistribueerde denial-of-service (DDoS) en ransomware-aanvallen op publieke en overheidsinstanties om de belangen van de Russische overheid te ondersteunen, en wordt verondersteld van Indiase afkomst te zijn.
“Ondanks herhaalde Telegram-accountverboden en kanaalverwijderingen in 2025 heeft CyberVolk zijn activiteiten hersteld en zijn dienstenaanbod uitgebreid”, aldus Walter. “Verdedigers zouden de adoptie van op Telegram gebaseerde automatisering door CyberVolk moeten zien als een weerspiegeling van bredere trends onder politiek gemotiveerde bedreigingsactoren. Deze groepen blijven de barrières voor de inzet van ransomware verlagen terwijl ze opereren op platforms die een handige infrastructuur bieden voor criminele diensten.”
