Пророссийская хактивистская группировка CyberVolk, ранее известная в основном по DDoS-атакам, вывела на рынок собственный Ransomware-as-a-Service (RaaS)-сервис под названием VolkLocker (также фигурирует как CyberVolk 2.x). Однако исследование специалистов SentinelOne показало, что разработчики допустили критические ошибки в криптографической реализации, из-за которых жертвы в ряде случаев могут расшифровать свои данные без уплаты выкупа.
Кто такие CyberVolk и чем опасен их RaaS-сервис
По данным исследователей, CyberVolk позиционирует себя как пророссийская хактивистская группа, предположительно базирующаяся в Индии и действующая самостоятельно, а не в составе крупных киберпреступных синдикатов. В отличие от многих хактивистских объединений, ограничивающихся атакой на доступность сервисов (DDoS), эта группировка пошла дальше и попыталась создать собственную линейку шифровальщиков и полноценную RaaS-платформу.
VolkLocker написан на языке Go и поддерживает как Linux (включая VMware ESXi), так и Windows. Модель монетизации типична для RaaS: за доступ к версии для одной операционной системы злоумышленники запрашивают около 800–1100 долларов, за кроссплатформенную сборку (Linux + Windows) — 1600–2200 долларов. Отдельно предлагаются инструменты удаленного доступа и кейлоггеры стоимостью примерно 500 долларов за экземпляр.
Как работает VolkLocker: конструктор вымогателя через Telegram
Партнёрам CyberVolk предоставляется доступ к боту-конструктору в Telegram, через которого они могут сгенерировать индивидуальную сборку шифровальщика. Для создания полезной нагрузки требуется указать:
- биткоин-адрес для получения выкупа;
- токен Telegram-бота и идентификатор чата (chat ID) для обратной связи;
- срок (дедлайн) оплаты выкупа;
- расширение, которое будет добавлено к зашифрованным файлам;
- настройки самоуничтожения малвари.
После запуска на системе жертвы VolkLocker повышает привилегии, обходя User Account Control (UAC) в Windows, выбирает файлы для шифрования на основе преднастроенного списка исключений и шифрует данные при помощи AES-256 в режиме GCM, который при корректной реализации считается надежным криптоалгоритмом.
Функции вайпера и риск уничтожения данных
Особенностью VolkLocker является наличие встроенного вайпера. В коде реализован таймер, который отслеживает истечение срока оплаты выкупа. Если дедлайн прошел или в HTML-окно с требованием выкупа введен некорректный ключ, активируется механизм удаления пользовательских директорий, включая Documents, Downloads, Pictures, Desktop. Это создает дополнительное давление на жертву и повышает риск безвозвратной потери данных при некорректных действиях.
Критическая уязвимость: статический мастер-ключ в бинарнике и %TEMP%
Несмотря на агрессивное позиционирование, самой слабой частью VolkLocker стала криптография. Исследователи SentinelOne обнаружили, что шифровальщик не генерирует уникальные ключи на лету, а использует один и тот же жестко закодированный мастер-ключ для всех файлов в зараженной системе.
Ключ зашит в исполняемый файл в виде hex-строки, а дополнительно сохраняется в виде обычного текстового файла в каталоге %TEMP% под именем system_backup.key. Наличие этого файла, по сути, дает возможность извлечь все необходимые данные для расшифровки и восстановить файлы без участия вымогателей. В коде замечена функция backupMasterKey(), которая, по мнению экспертов, относится к отладочным артефактам, забытым разработчиками при сборке «боевых» билдов.
Проблемы качества и риск для самих операторов RaaS
Такая реализация указывает на серьезные проблемы с контролем качества внутри CyberVolk. Группировка активно привлекает новых, в том числе малоопытных «партнеров», но при этом допускает ошибки на базовом уровне разработки шифровальщиков. В итоге страдают как пострадавшие организации, так и сами операторы RaaS, поскольку их «продукт» теряет эффективность при появлении публичных методов дешифрования.
Раскрытие уязвимостей в вымогательском ПО: баланс между пользой и риском
В профессиональном сообществе кибербезопасности давно ведется дискуссия: когда уместно публично раскрывать уязвимости в активных кампаниях ransomware. Часто технические детали передаются только правоохранительным органам и специализированным компаниям по переговорам с вымогателями, чтобы злоумышленники не успели исправить ошибки.
В случае с CyberVolk и VolkLocker специалисты SentinelOne считают, что публикация информации об уязвимости не помешает работе правоохранителей и коллег по отрасли, а позволит как можно большему числу пострадавших восстановить данные без выкупа. При этом сам факт наличия такого дефекта подчеркивает незрелость ряда RaaS-платформ и показывает, что даже «боевые» шифровальщики далеки от идеала.
Для организаций и частных пользователей инцидент с VolkLocker — напоминание о необходимости (EPP/EDR, фильтрация почты, контроль запуска приложений). При обнаружении признаков инфекции важно не торопиться с оплатой выкупа, обратиться к специалистам по кибербезопасности и проверить наличие доступных инструментов дешифрования — как показывает пример VolkLocker, технические ошибки злоумышленников могут стать шансом полностью восстановить данные.
