Hackerii ruși de la CyberVolk lansează un ransomware pe Telegram

Un grup pro-rus de hacktiviști cunoscut sub numele CyberVolk a revenit după luni de tăcere cu o ofertă de tip „ransomware ca serviciu” (RaaS), construită aproape integral în jurul Telegram. Ideea e simplă: oricine plătește și primește acces poate genera rapid un „payload”, îl poate folosi într-un atac și poate gestiona apoi comunicarea cu victima prin boți și automatizări, fără să aibă neapărat cunoștințe tehnice avansate.

Partea ironică (și importantă pentru potențialele victime) este că, deși operațiunea arată ca un pas înainte la capitolul „ușurință de folosit”, codul are o greșeală majoră de implementare: cheia principală de criptare ar fi fost „împachetată” în mod neglijent, astfel încât poate exista o cale de recuperare a fișierelor fără plată, în anumite condiții.

Ransomware în Telegram: cum funcționează „VolkLocker”

Conform analizei publicate de SentinelOne și relatărilor din presa de securitate, CyberVolk 2.x (cunoscut și ca VolkLocker) se bazează pe Telegram nu doar pentru „marketing”, ci și pentru administrarea efectivă a operațiunii: comunicare, vânzare, suport și, mai ales, comandă și control. Asta coboară drastic pragul de intrare pentru afiliați: în loc de panouri web pe dark web sau infrastructură proprie, totul se mută într-un mediu familiar, cu automatizări la îndemână.

Tehnic, VolkLocker are versiuni pentru Windows și Linux și este scris în Go, iar „pachetul” include automatizări Telegram pentru C2 (command and control). Cei care generează un nou executabil trebuie să introducă, între altele, o adresă de bitcoin, datele unui bot Telegram și ale unui chat, un „deadline” pentru criptare, extensia dorită pentru fișierele afectate și opțiuni de auto-ștergere. În unele cazuri, același ecosistem a fost promovat și cu funcții suplimentare (de tip keylogger sau RAT), ca extensii vândute separat.

Doliu în lumea muzicii. Artista care cucerea scenele lumii la 13 ani, a murit la doar 26 de ani. Era pe o trotinetă când a fost lovită de o maşină

Horoscop 12 decembrie 2025: ce surprize și oportunități aduce această zi pentru fiecare zodie

Greșeala care poate salva victimele: cheia păstrată în clar

De obicei, ransomware-ul serios generează chei diferite (măcar per victimă, uneori chiar per fișier), astfel încât decriptarea fără cooperarea atacatorului să fie extrem de dificilă. În cazul VolkLocker, cercetătorii spun că operațiunea a făcut exact opusul: ar fi folosit o cheie „master” introdusă direct în binar (hardcoded) ca șir hexazecimal, iar aceeași cheie ar cripta fișierele de pe sistemul victimei.

Mai mult, analiza indică faptul că executabilul lasă o copie a cheii master într-un fișier de tip text, în folderul temporar (%TEMP%), printr-o funcție care pare să fi rămas din etapa de testare (un „artifact” de debugging) și care ar fi ajuns din greșeală în build-urile „de producție”. Pe scurt: dacă acest comportament e prezent pe un sistem infectat, poate exista o cale directă de recuperare, ceea ce lovește fix în mecanismul de șantaj pe care se bazează astfel de atacuri.

Ce arată cazul despre trendul RaaS: „mai ușor de folosit” nu înseamnă și „mai bine făcut”

Reapariția CyberVolk e relevantă și dincolo de acest bug spectaculos. Grupul fusese observat și anterior ca o entitate „hacktivistă” pro-rusă care, spre deosebire de alte colective orientate în principal pe DDoS, a împins și zona de ransomware. În 2025, activitatea lor ar fi fost fragmentată, inclusiv din cauza banărilor repetate pe Telegram, dar revenirea din august cu un model RaaS sugerează o încercare de „scalare” prin recrutarea de afiliați mai puțin tehnici.

În noiembrie, operatorii au început să promoveze și prețuri pentru „pachete” (licențe RaaS pentru un singur sistem de operare sau pentru Windows + Linux), plus un tarif separat pentru RAT și keylogger. Chiar dacă VolkLocker are o hibă care îi poate submina eficiența, direcția generală rămâne îngrijorătoare: platforme precum Telegram pot deveni infrastructură „la cheie” pentru servicii criminale, reducând barierele logistice și crescând viteza cu care astfel de operațiuni pot apărea, dispărea și reapărea sub altă formă.