La aparición de VolkLocker, un nuevo servicio de ransomware-as-a-service (RaaS) operado por la agrupación prorrusa CyberVolk, pone de nuevo el foco en la profesionalización del cibercrimen. Sin embargo, una investigación técnica de SentinelOne ha descubierto errores criptográficos tan severos que, en determinados escenarios, permiten a las víctimas recuperar sus datos sin pagar el rescate, algo inusual en campañas de ransomware modernas.
CyberVolk: de hactivismo y DDoS a operador de ransomware-as-a-service
CyberVolk se presenta públicamente como un colectivo prorruso, pero los analistas sitúan su base operativa probable en India y señalan que actúa de forma independiente, sin vínculos claros con los grandes sindicatos del cibercrimen. Hasta ahora era conocida principalmente por ataques DDoS contra la disponibilidad de servicios, una táctica típica de muchos grupos hactivistas.
Con VolkLocker el grupo da un salto cualitativo y entra de lleno en el modelo de negocio RaaS, ofreciendo a terceros una familia propia de cifradores. El malware está desarrollado en Go y dispone de variantes tanto para Windows como para Linux, incluyendo entornos de virtualización como VMware ESXi, un objetivo muy rentable para los operadores de ransomware por su impacto en infraestructuras completas.
Cómo funciona VolkLocker: constructor en Telegram y modelo de monetización RaaS
CyberVolk comercializa VolkLocker como un servicio: los “afiliados” pagan por acceder a un bot de Telegram que actúa como constructor de ransomware. Desde ese bot pueden generar su propia muestra maliciosa personalizando varios parámetros clave sin necesidad de conocimientos avanzados de programación.
Entre los datos que el afiliado debe introducir figuran el address de bitcoin para cobrar el rescate, el token de un bot de Telegram y el chat ID para recibir mensajes de las víctimas, el plazo límite de pago, la extensión que se añadirá a los archivos cifrados y opciones de autodestrucción del malware. Los precios observados oscilan entre unos 800–1100 dólares por versión para un solo sistema operativo y 1600–2200 dólares por una compilación multiplataforma (Windows + Linux). Complementariamente, el grupo ofrece remote access tools y keyloggers por unos 500 dólares cada uno.
Capacidades de destrucción: componente tipo wiper y riesgo de pérdida total
Una vez ejecutado, VolkLocker intenta elevar privilegios y sortear el Control de Cuentas de Usuario (UAC) en Windows, para maximizar el alcance del ataque. A continuación, recorre el sistema excluyendo ciertos directorios y tipos de archivo predefinidos y cifra la información con AES-256 en modo Galois/Counter Mode (GCM), un esquema criptográfico que, implementado correctamente, ofrece un nivel de seguridad muy elevado.
El cifrador incorpora, además, un componente tipo wiper. El código mantiene un temporizador ligado al deadline de pago configurado por el operador. Si se supera ese plazo, o si la víctima introduce una clave incorrecta en la ventana HTML con la nota de rescate, el malware procede a eliminar directorios de usuario críticos como Documents, Downloads, Pictures y Desktop. Esta funcionalidad incrementa la presión psicológica y, al mismo tiempo, eleva el riesgo de pérdida irreversible de datos ante cualquier intento de recuperación no planificado.
Vulnerabilidad crítica en VolkLocker: clave maestra estática y archivo en %TEMP%
Pese a este diseño agresivo, la mayor debilidad de VolkLocker reside en su implementación criptográfica defectuosa. Los investigadores de SentinelOne han comprobado que el ransomware no genera claves únicas por archivo ni por víctima, sino que emplea un único maestro de cifrado reutilizado en toda la máquina comprometida.
Ese master key está incrustado en el binario como una cadena hexadecimal y, lo que es aún más grave, se guarda en texto plano en el directorio %TEMP% bajo el nombre system_backup.key. La presencia de este archivo proporciona a los analistas toda la información necesaria para revertir el cifrado y restaurar los archivos sin necesidad de pagar el rescate. En el código aparece, además, una función denominada backupMasterKey(), probablemente un artefacto de depuración que los desarrolladores olvidaron eliminar en las compilaciones “listas para producción”.
Impacto para el ecosistema RaaS y debate sobre la divulgación de fallos en ransomware
Errores de este tipo revelan serios problemas de control de calidad y madurez técnica en la operación de CyberVolk. El grupo intenta atraer a numerosos afiliados, incluidos actores con poca experiencia, pero ofrece un “producto” cuyo valor se degrada en cuanto se publican herramientas o métodos de descifrado. Esto reduce los beneficios potenciales del programa RaaS y puede erosionar la confianza de sus propios socios criminales.
El caso reaviva, además, un debate recurrente en la comunidad de ciberseguridad: ¿cuándo debe hacerse pública una vulnerabilidad en campañas activas de ransomware? En muchas ocasiones, los detalles técnicos se comparten inicialmente solo con cuerpos de seguridad y organizaciones especializadas en respuesta a incidentes, para evitar que los delincuentes corrijan el fallo antes de que pueda ayudar a las víctimas. En esta ocasión, SentinelOne ha valorado que la divulgación abierta no obstaculiza las investigaciones y maximiza las posibilidades de recuperación para las organizaciones afectadas.
Lecciones para empresas y usuarios frente al ransomware
Aunque casos como VolkLocker demuestran que incluso grupos activos pueden cometer errores graves, la tendencia global del ransomware sigue siendo preocupante. Informes recientes, como los de Chainalysis, indican que en 2023 los pagos de rescates superaron los mil millones de dólares, un máximo histórico. Con este contexto, confiar en los fallos de los atacantes no es una estrategia aceptable.
Las organizaciones deben reforzar su postura de seguridad aplicando medidas básicas pero decisivas: copias de seguridad fiables y desconectadas, principio de mínimo privilegio para cuentas de usuario y servicios, gestión rigurosa de parches y una defensa en profundidad que combine soluciones EPP/EDR, filtrado de correo, control de aplicaciones y segmentación de red. Para particulares y pymes, es esencial complementar el antivirus tradicional con buenas prácticas de higiene digital y formación en phishing.
Ante signos de infección por ransomware, conviene evitar decisiones precipitadas como el pago inmediato del rescate y contactar cuanto antes con profesionales de ciberseguridad. Iniciativas públicas como los proyectos de descifrado colaborativo han permitido recuperar datos en numerosas familias de ransomware gracias a errores similares al de VolkLocker. Verificar si existe ya un decryptor disponible puede marcar la diferencia entre la pérdida total de la información y una recuperación completa, y recuerda que la preparación previa sigue siendo la defensa más eficaz frente a este tipo de amenazas.
