На тлі зростання ринку ransomware-as-a-service (RaaS) на сцені з’явився новий гравець — шифрувальник VolkLocker, який розповсюджується проросійською хактивістською групою CyberVolk. Попри агресивне позиціонування та наявність функцій вайпера, дослідження SentinelOne показало: критичні помилки в криптографії дають змогу в низці випадків відновити зашифровані дані без сплати викупу.
Група CyberVolk та її модель Ransomware-as-a-Service
За оцінками дослідників, CyberVolk позиціонує себе як проросійська хактивістська структура, що ймовірно базується в Індії та діє автономно, поза великими кіберзлочинними картелями. Раніше група була відома насамперед DDoS-атаками, однак тепер вийшла на прибутковіший сегмент — ransomware-as-a-service, запропонувавши партнерам власну лінійку шифрувальників.
VolkLocker написаний мовою Go і підтримує операційні системи Windows та Linux (включно з VMware ESXi). Модель монетизації типова для RaaS: доступ до версії під одну ОС коштує близько 800–1100 доларів США, а кросплатформенна збірка (Windows + Linux) оцінюється у 1600–2200 доларів. Додатково пропонуються інструменти віддаленого доступу та кейлоггери орієнтовною вартістю 500 доларів за екземпляр.
Конструктор VolkLocker у Telegram: як формуються атаки
Партнери CyberVolk отримують доступ до Telegram-бота-конструктора, через який формують індивідуальні збірки шифрувальника. Для генерації payload необхідно вказати біткоїн-адресу для отримання викупу, токен Telegram-бота та chat ID для зворотного зв’язку, дедлайн оплати, розширення для зашифрованих файлів, а також параметри самознищення шкідливого ПЗ. Такий підхід спрощує використання VolkLocker навіть для технічно малодосвідчених зловмисників.
Після запуску на машині жертви VolkLocker намагається обійти User Account Control (UAC) у Windows для отримання підвищених привілеїв, сканує файлову систему з урахуванням вбудованих списків виключень і шифрує вибрані файли за допомогою AES-256 у режимі GCM. У разі коректної реалізації AES-256-GCM вважається криптостійким стандартом, що унеможливлює дешифрування без ключа навіть при повному доступі до зашифрованих даних.
Функції вайпера: тиск на жертву та ризик незворотної втрати даних
Ключова відмінність VolkLocker від багатьох інших шифрувальників — наявність вбудованого вайпера. У коді реалізовано таймер, який контролює завершення строку сплати викупу. Якщо дедлайн минув або користувач вводить некоректний ключ розшифрування в HTML-вікні з вимогою викупу, активується механізм видалення критичних користувацьких каталогів, зокрема Documents, Downloads, Pictures, Desktop. Це суттєво підвищує психологічний тиск і створює високий ризик безповоротної втрати інформації у випадку некваліфікованих дій.
Криптографічна уразливість: статичний майстер-ключ та system_backup.key
Попри використання AES-256-GCM, саме криптографічна частина стала найслабшою ланкою VolkLocker. Аналітики SentinelOne виявили, що шифрувальник не генерує унікальні ключі шифрування під час кожної атаки. Замість цього застосовується один і той самий жорстко закодований майстер-ключ для всіх файлів у межах сесії зараження.
Більше того, цей ключ не лише вшитий у виконуваний файл у вигляді hex-рядка, а й додатково зберігається у каталозі %TEMP% у звичайному текстовому файлі system_backup.key. Наявність такого файлу фактично дає можливість витягнути всі необхідні параметри для дешифрування даних без участі зловмисників. У коді зафіксована функція backupMasterKey(), що, ймовірно, є відлагоджувальним артефактом, який розробники забули прибрати з «бойових» збірок.
Наслідки для операторів RaaS та індикатор низької зрілості
Подібна помилка свідчить про серйозні проблеми з контролем якості розробки усередині CyberVolk. Попри активний набір нових, зокрема малодосвідчених «партнерів», автори не дотрималися базових практик безпечної реалізації криптографії. У результаті страждають і жертви атак, і самі оператори RaaS: щойно з’являються публічні методики дешифрування, «продукт» втрачає ефективність, а репутація групи серед злочинців — привабливість.
Розкриття уразливостей у ransomware та уроки для захисту
У професійному середовищі кібербезпеки триває дискусія, коли варто публічно розкривати технічні деталі уразливостей у діючих кампаніях ransomware. Нерідко інформацію спершу передають лише правоохоронним органам та спеціалізованим компаніям-посередникам, аби не дати групам швидко виправити помилки. У випадку з VolkLocker фахівці SentinelOne дійшли висновку, що публікація технічних деталей не завадить розслідуванням, зате дозволить максимально широкому колу жертв відновити дані без оплати викупу.
Історія з VolkLocker є нагадуванням: навіть сучасні шифрувальники, що продаються як сервіс, часто реалізовані з критичними недоліками. Тому при виявленні ознак атаки не варто поспішати платити. Натомість доцільно ізолювати уражені системи від мережі, залучити фахівців з кібербезпеки, перевірити наявність безкоштовних інструментів дешифрування та провести форензичний аналіз. У поєднанні з регулярними резервними копіями (зокрема офлайн), мінімізацією прав користувачів, своєчасним оновленням ПЗ, використанням EPP/EDR-рішень, фільтрацією пошти та контролем запуску додатків це істотно знижує наслідки атак ransomware і дає бізнесу шанс повністю відновити роботу без фінансування злочинних схем.
