Vulnerabilidade Crítica no Ransomware VolkLocker Permite Descriptografia Gratuita de Arquivos

O ransomware VolkLocker, operado pelo grupo cibercriminoso CyberVolk, foi descoberto com falhas de implementação que permitem às vítimas descriptografar seus arquivos sem a necessidade de pagar o resgate exigido.

De acordo com um relatório recente da SentinelOne, o VolkLocker (também conhecido como CyberVolk 2.x) surgiu em agosto de 2025, visando sistemas Windows e Linux. Desenvolvido em Golang, o ransomware é comercializado com preços que variam de US$ 800 a US$ 2.200, conforme a versão.

Documentado inicialmente em junho de 2024, este serviço de ransomware (RaaS) foi lançado como uma ferramenta de retaliação por um grupo que se autodenominava ‘hacktivista’, mas já apresentava problemas desde sua origem.

À época, a empresa de cibersegurança Rapid7 analisou a ferramenta e rapidamente identificou suas vulnerabilidades. Chaves aleatórias eram suficientes para ativar a rotina de descriptografia, e os arquivos não eram removidos mesmo quando a vítima inseria uma chave incorreta, contrariando as ameaças do grupo.

Análises recentes de amostras de teste revelaram três erros críticos na implementação do VolkLocker:

  • As chaves de criptografia são embutidas diretamente nos binários, permitindo que qualquer analista de segurança as extraia.
  • A mesma chave mestra é utilizada para criptografar todos os arquivos em todos os sistemas das vítimas, em vez de gerar chaves únicas por arquivo.
  • O ransomware salva uma cópia da chave mestra em um arquivo de texto simples (system_backup.key) na pasta temporária (%TEMP% ou C:\Users\AppData\Local\Temp\), e este arquivo nunca é excluído.

A falha crítica reside na função backupMasterKey(), que é ativada durante a inicialização do ransomware. Este comportamento é comparável a um sequestrador que deixa uma foto do próprio rosto na cena do crime, expondo suas chaves de criptografia.

O VolkLocker emprega a criptografia AES-256 no modo GCM (Galois/Counter Mode) para criptografar arquivos. Ao identificar um alvo, ele inicializa um mecanismo de criptografia utilizando uma chave mestra de 32 bytes, decodificada de uma string hexadecimal de 64 caracteres embutida em seu binário.

O problema central é que o VolkLocker utiliza a mesma chave mestra para criptografar todos os arquivos no sistema da vítima. Além disso, essa mesma chave é salva em um arquivo de texto simples, denominado system_backup.key, na pasta temporária do Windows (C:\Users\AppData\Local\Temp\system_backup.key).

Especialistas em segurança cibernética sugerem que a presença da chave de backup em texto simples pode ser um artefato de teste incluído acidentalmente em versões de produção. É possível que os operadores do CyberVolk não saibam que seus afiliados estão implementando versões do ransomware que ainda contêm a função backupMasterKey().

A análise indica que, sendo o VolkLocker um serviço relativamente novo, a funcionalidade de depuração encontrada em implantações ativas sugere dificuldades na manutenção do controle de qualidade, enquanto o grupo recruta agressivamente afiliados com menos experiência.

Os payloads do VolkLocker são desenvolvidos em Golang, com suporte para sistemas Linux e Windows. As compilações básicas são distribuídas sem ofuscação, e os operadores de RaaS são orientados a utilizar o UPX para empacotamento, em vez de recursos de criptografia nativos.

Após o lançamento, o ransomware tenta elevar seus privilégios, contornando o Controle de Conta de Usuário (UAC) do Windows para ser executado com permissões de administrador.

O malware executa a descoberta ambiental e a enumeração do sistema, verificando endereços MAC locais contra prefixos de fornecedores de virtualização como Oracle e VMware, e consultando locais de registro associados ao VirtualBox e VMware.

O VolkLocker seleciona os arquivos a serem criptografados com base em listas de exclusão para caminhos e extensões específicas, configuradas em seu código. Para cada arquivo, o malware gera um nonce aleatório de 12 bytes para o vetor de inicialização, utilizando o pacote crypto/rand do Golang.

O arquivo original é excluído, e a extensão .locked ou .cvolk é anexada à cópia criptografada. Esse processo é similar a uma máquina que, em vez de destruir documentos, os transforma em código ilegível, mas convenientemente guarda a ‘receita de decodificação’ em um local facilmente acessível.

VolkLocker utiliza temporizador para pressionar vítimas

Apesar da vulnerabilidade que permite a descriptografia gratuita, o VolkLocker ainda representa uma ameaça significativa. O ransomware modifica o Registro do Windows para dificultar a recuperação e análise, exclui cópias de sombra de volume e encerra processos de ferramentas de segurança como o Microsoft Defender Antivirus.

Uma característica notável do VolkLocker é seu agressivo temporizador. Se as vítimas não efetuarem o pagamento em 48 horas ou inserirem a chave de descriptografia incorreta três vezes, o malware apaga o conteúdo das pastas do usuário, incluindo Documentos, Desktop, Downloads e Imagens.

Este recurso intensifica a pressão sobre as vítimas para que paguem rapidamente.

Modelo de Negócio Facilitado pelo Telegram

Uma característica distintiva do VolkLocker, em comparação com versões anteriores do ransomware CyberVolk, é sua automação integrada ao Telegram. Isso simplifica toda a comunicação, compra e suporte através do aplicativo de mensagens.

As operações de RaaS do CyberVolk são inteiramente gerenciadas via Telegram, com custos entre US$ 800 e US$ 1.100 para uma única arquitetura de sistema operacional (Windows ou Linux), ou entre US$ 1.600 e US$ 2.200 para ambas. Os interessados podem usar um bot construtor no Telegram para personalizar o encriptador e obter o payload gerado.

O painel de controle do Telegram oferece suporte a comandos para enviar mensagens às vítimas, iniciar a descriptografia de arquivos, listar vítimas ativas, enviar mensagens para vítimas específicas e recuperar informações do sistema da vítima, entre outras funcionalidades.

Em novembro de 2025, os operadores começaram a oferecer ferramentas separadas de trojans e keyloggers, cada uma custando US$ 500. Descontos por pacote estão disponíveis para clientes que adquirem múltiplos serviços.

Grupos Associados e Ferramentas Derivadas

A rede do CyberVolk mantém conexões com outros grupos hacktivistas. O ransomware Invisible ou Doubleface, ligado à ‘Doubleface Team’ (também conhecida como Double Alliance), emergiu entre agosto e setembro de 2024, resultado de uma colaboração entre associados do CyberVolk, Doubleface e Moroccan Black Cyber Army.

Os payloads Invisible/Doubleface operam de forma idêntica às amostras de ransomware da marca CyberVolk, replicando a configuração de tempo limite de 5 horas e a modificação ativa do papel de parede. Ambas as famílias de ransomware são derivadas da mesma base de código AzzaSec Ransomware.

O HexaLocker é outra família de ransomware, surgida em julho de 2024, que possui forte associação com o LAPSUS$ e foi supostamente desenvolvida por ‘ZZART3XX’. Seus payloads também são escritos em Golang.

No final de outubro de 2024, membros da comunidade CyberVolk iniciaram a promoção do lançamento do Parano Ransomware v1. O anúncio indicava que o Parano Ransomware custa US$ 400 por payload único e oferece recursos robustos anti-análise e anti-depuração, utilizando uma combinação de AES-128 e RSA-4096 para gerenciamento de chaves.

Operação #OpJP: Ataques no Japão

Entre setembro e outubro de 2024, o CyberVolk conduziu uma campanha coordenada de ataques contra entidades governamentais e de infraestrutura crítica no Japão, sob o codinome ‘Operação #OpJP’. Essa ofensiva digital reflete as tensões geopolíticas entre Rússia e Japão, decorrentes de disputas territoriais nas Ilhas Curilas, sanções econômicas e o alinhamento crescente de Tóquio com países ocidentais após a invasão russa da Ucrânia.

As vítimas confirmadas da campanha incluem a Japan Foundation, o Japan Oceanographic Data Center (JODC), a Japan Meteorological Agency (JMA) e o Tokyo Global Information System Centre. Os ataques combinaram ransomware com campanhas DDoS para maximizar a interrupção operacional.

O grupo promoveu ativamente a operação em seus canais no Telegram, X (anteriormente Twitter) e Discord, publicando capturas de tela de sistemas comprometidos e mensagens de resgate como evidência dos ataques bem-sucedidos.

Postagens Relacionadas