- CyberVolk がランサムウェア・アズ・ア・サービス(RaaS)モデルを刷新して再登場したが、その暗号化ツールは根本的に破綻している
- VolkLocker のハードコードされた暗号鍵により、被害者は無料でデータを復元でき、作戦は骨抜きになっている
- このグループは完全に Telegram 上で活動しており、ハクティビズムと金銭目的のランサムウェア活動を混在させている
2025年のほとんどの期間休眠状態だったロシアのハクティビスト集団 CyberVolk が復活し、アフィリエイト向けに更新版の RaaS モデルを提供している。しかし、暗号化ツールにはモデル全体を無力化してしまう重大な構造的欠陥があるようだ。
CyberVolk は比較的新しい親ロシア系ハクティビスト集団で、2024年に登場した。グループのインフラはすべて Telegram 上に構築されており、アフィリエイトは高度な技術知識がなくても、簡単にファイルをロックして身代金を要求できる。
2024年にプラットフォーム側がこのグループを標的とし、いくつかのチャンネルを閉鎖した際、グループは姿を消した。現在、彼らは戻ってきたが、同じ原則で動いているようだ――すべては Telegram を通じて管理され、見込み客や運用に関する問い合わせはメインのボットに誘導される。
戦争に反対する Google 社員
ほとんどのハクティビストは、分散型サービス妨害(DDoS)攻撃、サイバースパイ活動、データ窃取に従事している。
しかし CyberVolk は、そこにランサムウェアを加えたことで、彼らが本当にハクティビストなのか、それとも親ロシア的な立場を隠れ蓑にした単なる金銭目的のサイバー犯罪者なのかが不明瞭になっている。これはサイバーセキュリティ企業 SentinelOne の研究者によって裏付けられており、同社の最新レポートでは、このグループとその活動様式についてより深く掘り下げている。
暗号化ツール VolkLocker には、コマンド&コントロール用の Telegram 自動化機能が組み込まれており、C2 はカスタマイズ可能だ。「一部の CyberVolk オペレーターは、キーロギング制御などの追加機能を含むサンプルを公開しています」と研究者らは説明している。
また、新たな感染が発生した際にオペレーターへ通知する機能も備えており、Telegram 対応のインフォスティーラーに似ている。ホストが感染すると、基本的なシステム情報とスクリーンショットが、設定された Telegram チャットに送信される。
しかし、このツールの暗号鍵は動的に生成されない。バイナリ内に 16 進文字列としてハードコードされており、被害者は抽出料金を支払うことなく、暗号化されたすべてのデータを復元できる。SentinelOne は、この鍵はおそらく誤って残されたものだと考えており、正規ソフトウェア開発者が製品内にパスワードをうっかり残してしまうケースに似ていると指摘している――そのため、このグループの復活は期待外れなものとなっている。
翻訳元: https://www.techradar.com/pro/security/notorious-russian-cybercriminals-return-with-new-ransomware
