Ransomware ca serviciu (RaaS) reîntoarce grupul pro‑rus CyberVolk, oferind un kit de exploatare integrat în Telegram. După luni de tăcere, atacatorii pun la dispoziție VolkLocker, un payload care poate fi generat fără cunoștințe tehnice avansate. Vulnerabilitatea majoră constă în faptul că cheia de criptare este lăsată în clar, permițând recuperarea fișierelor fără plată.
Ransomware în Telegram: cum funcționează „VolkLocker”
VolkLocker se bazează pe Telegram pentru marketing, suport și comandă‑control (C2). Kitul este scris în Go și suportă Windows și Linux. Pentru a crea un executabil, utilizatorul introduce adresa Bitcoin, datele botului Telegram, chat‑ID, termenul limită și extensia fișierelor vizate.
Principalele caracteristici ale VolkLocker sunt:
– Automatizări prin API‑Telegram pentru transmiterea comenzilor.
– Opțiuni de auto‑ștergere a binarului după criptare.
– Extensii suplimentare (keylogger, RAT) vândute separat.
Greșeala care poate salva victimele: cheia păstrată în clar
Spre deosebire de ransomware‑urile tipice, VolkLocker folosește o cheie „master” hardcodată. Analizele SentinelOne arată că aceeași cheie este scrisă în hexazecimal în binar și salvată în %TEMP% ca fișier text. Această eroare de debugging permite decriptarea fără a plăti cererea de răscumpărare, afectând eficiența atacului.
Trendul RaaS: „mai ușor de folosi” nu înseamnă „mai bine făcut”
Reapariția CyberVolk evidențiază o schimbare de la DDoS spre ransomware ca serviciu. În august 2025, grupul a lansat licențe pentru Windows și Linux, cu prețuri separate pentru RAT și keylogger. Deși vulnerabilitatea cheii reduce profitul, modelul RaaS reduce barierele de intrare pentru afiliați non‑tehnici.
Impactul utilizării Telegram în operațiuni criminale
Telegram devine infrastructură „la cheie” pentru grupuri de tip RaaS. Platforma oferă canale securizate, automatizări ușor de configurat și este greu de blocat complet. Acest mediu simplifică comunicarea și livrarea de malware, crescând viteza apariției și dispariției serviciilor ransomware.
Monitorizarea continuă a evoluțiilor în ransomware și a utilizării Telegram este esențială pentru a anticipa noi metode de atac și pentru a proteja sistemele vulnerabile.
