Die bisher vor allem durch DDoS-Attacken bekannte, prorussische Hacktivisten-Gruppe CyberVolk hat mit VolkLocker (auch als CyberVolk 2.x bezeichnet) einen eigenen Ransomware-as-a-Service (RaaS)-Dienst gestartet. Eine technische Analyse von SentinelOne zeigt jedoch gravierende Schwachstellen in der kryptografischen Umsetzung, die es Betroffenen in vielen Fällen ermöglichen können, ihre Daten ohne Zahlung eines Lösegelds wiederherzustellen.
Hintergrund: CyberVolk und die Rolle von VolkLocker im RaaS-Ökosystem
CyberVolk präsentiert sich als prorussische Hacktivisten-Gruppierung, die nach Erkenntnissen von Forschern vermutlich aus Indien operiert und nicht direkt mit etablierten Untergrund-Syndikaten verbunden ist. Während viele Hacktivisten auf Störungen der Verfügbarkeit – etwa durch DDoS – fokussiert bleiben, versucht CyberVolk mit VolkLocker, in das lukrative Geschäftsfeld professioneller RaaS-Plattformen vorzudringen.
Die Malware ist in Go entwickelt und unterstützt Windows sowie Linux-Systeme, einschließlich VMware ESXi-Hypervisoren, die häufig in Unternehmensumgebungen eingesetzt werden. Das Geschäftsmodell folgt gängigen RaaS-Strukturen: Für eine Variante, die nur eine Plattform angreift, verlangen die Betreiber rund 800–1100 US-Dollar, für eine plattformübergreifende Version (Linux + Windows) etwa 1600–2200 US-Dollar. Ergänzend werden Remote-Access-Tools und Keylogger für circa 500 US-Dollar pro Exemplar angeboten.
Funktionsweise: Ransomware-Baukasten über Telegram
Partner von CyberVolk erhalten Zugang zu einem Telegram-Bot, der als Baukasten für maßgeschneiderte VolkLocker-Varianten dient. Über diesen Bot lassen sich unter anderem konfigurieren:
- der Bitcoin-Adresse für den Zahlungseingang,
- Token und Chat-ID eines Telegram-Bots zur Kommunikation mit dem Opfer,
- die Zahlungsfrist (Deadline) für das Lösegeld,
- das Dateierweiterungssuffix für verschlüsselte Dateien,
- Parameter für das Selbstlöschen der Malware.
Nach der Ausführung auf einem kompromittierten System versucht VolkLocker, seine Rechte zu erhöhen und die Windows-UAC abzu umgehen, um vollen Zugriff zu erhalten. Anschließend werden auf Basis einer vordefinierten Ausschlussliste relevante Dateien identifiziert und mit AES-256 im GCM-Modus verschlüsselt. Dieser Algorithmus gilt bei korrekter Implementierung als sicherer Industriestandard; viele moderne Ransomware-Familien setzen genau darauf.
Integrierte Wiper-Funktion: Erpressung mit dem Risiko totaler Datenvernichtung
Besonders kritisch ist die in VolkLocker enthaltene Wiper-Komponente. Ein interner Timer überwacht, ob die vorgegebene Zahlungsfrist überschritten wird oder ob das Opfer einen falschen Entschlüsselungsschlüssel eingibt. In diesen Fällen löscht die Malware zentrale Benutzerverzeichnisse wie Documents, Downloads, Pictures, Desktop. Dies erhöht den psychologischen Druck massiv und kann zu einer irreversiblen Datenvernichtung führen, wenn keine belastbaren Backups vorhanden sind.
Schwere Krypto-Fehler: Statischer Master-Key und Klartext im %TEMP%-Verzeichnis
Trotz dieses aggressiven Funktionsumfangs offenbart die kryptografische Implementierung eklatante Defizite. Laut SentinelOne generiert VolkLocker keine individuellen Schlüssel pro Datei oder pro Opfer, sondern nutzt einen einheitlichen, hartkodierten Master-Schlüssel für sämtliche Verschlüsselungsvorgänge auf einem System.
Dieser Master-Key ist im Binary als Hex-String hinterlegt und wird zusätzlich als Klartextdatei system_backup.key im Windows-Verzeichnis %TEMP% abgelegt. Wer Zugriff auf diese Datei hat, besitzt damit de facto alle Informationen, die für eine vollständige Entschlüsselung der betroffenen Daten erforderlich sind. Im Code findet sich zudem eine Funktion backupMasterKey(), die stark darauf hindeutet, dass es sich um ein Debug-Artefakt handelt, das versehentlich in die produktiven Builds übernommen wurde.
Für Incident-Response-Teams und Forensiker eröffnet dies eine wichtige Option: Durch das gezielte Suchen nach der Datei system_backup.key im %TEMP%-Verzeichnis können zahlreiche Systeme gerettet werden, ohne auf die Erpresser angewiesen zu sein. Gleichzeitig zeigt der Vorfall, dass grundlegende Prinzipien sicherer Softwareentwicklung – etwa das Vermeiden statischer Schlüssel und das Entfernen von Debug-Funktionen – bei CyberVolk offensichtlich nicht etabliert sind.
Folgen für RaaS-Betreiber und Opferorganisationen
Die Schwächen in VolkLocker untergraben die Vertrauenswürdigkeit des „Produkts“ aus Sicht krimineller Partner. RaaS-Ökosysteme funktionieren nur, wenn Affiliates sich auf die technische Zuverlässigkeit ihrer Werkzeuge verlassen können. Werden öffentliche Entschlüsselungsmethoden bekannt, sinkt die Erfolgsquote, und mit ihr Einnahmen und Reputation der Betreiber.
Für betroffene Unternehmen und Behörden bleibt das Risiko jedoch hoch: Bereits der Verschlüsselungsversuch führt in produktiven Umgebungen oft zu Unterbrechungen, Ausfällen und Wiederherstellungskosten. Die integrierte Wiper-Funktion verstärkt dieses Schadenspotenzial zusätzlich, selbst wenn eine nachträgliche Entschlüsselung prinzipiell möglich wäre.
Veröffentlichung von Schwachstellen in Ransomware: Abwägung zwischen Nutzen und Risiko
In der Sicherheitscommunity wird seit Jahren diskutiert, wann Details zu Schwachstellen in aktiven Ransomware-Kampagnen öffentlich gemacht werden sollten. Üblich ist es, technische Informationen zunächst nur mit Strafverfolgungsbehörden und spezialisierten Incident-Response-Teams zu teilen, um Angreifern keine Gelegenheit zur Fehlerbehebung zu geben.
Im Fall von VolkLocker bewerten die Forschenden von SentinelOne die Lage so, dass eine breite Veröffentlichung den Nutzen maximiert: Je schneller Unternehmen, CERTs und Projekte wie „No More Ransom“ über den statischen Master-Key und den Dateipfad informiert sind, desto mehr Opfer können ihre Daten ohne Lösegeldzahlung retten. Gleichzeitig macht der Fall deutlich, dass auch „moderne“ RaaS-Angebote technisch unausgereift sein können – ein wichtiger Hinweis für Organisationen, die in Krisensituationen unter Druck stehen, Lösegeld zu zahlen.
Für Unternehmen und Privatpersonen ist der Vorfall ein klarer Hinweis auf die Notwendigkeit robuster Cyber-Resilienz: regelmäßige, offline getestete Backups, konsequente Least-Privilege-Konzepte, aktuelles Patch-Management sowie mehrschichtige Schutzmechanismen (EPP/EDR, E-Mail-Filter, Applikationskontrolle). Wird ein Ransomware-Vorfall vermutet, sollte keinesfalls vorschnell gezahlt, sondern umgehend professionelle Hilfe hinzugezogen und nach verfügbaren Entschlüsselungstools recherchiert werden. Der Fall VolkLocker zeigt eindrücklich, dass technische Fehler der Angreifer eine reale Chance bieten können, Daten vollständig wiederherzustellen – vorausgesetzt, man weiß, wie man sie nutzt.
