2024年末に初めて確認された親ロシア系ハクティビストグループ「CyberVolk」は、Telegram による取り締まりの影響で数か月間活動を停止していたが、その後、VolkLocker と呼ばれる高度なランサムウェア・アズ・ア・サービス(RaaS)を引っ提げて再登場した。
同グループは 2025年8月にバージョン 2.x を公開し、Telegram ベースの高度な自動化機能と、Linux と Windows の両方を標的にできるクロスプラットフォーム機能を備えている。
VolkLocker は Golang で構築されており、複数のオペレーティングシステムに対応可能となっている。多くの競合 RaaS プラットフォームとは異なり、このマルウェアにはネイティブな難読化機能が搭載されておらず、秘匿性を高めるためにはオペレーターが手動で UPX パッキングを適用する必要がある。
新たなペイロードを生成するために、アフィリエイトは Bitcoin ウォレットアドレス、Telegram ボットのトークン ID、チャット ID、暗号化の期限、カスタム拡張子、自壊オプションなど、複数のパラメータを設定しなければならない。
ランサムウェアは特権昇格を試みるところから攻撃を開始し、「ms-settings」を悪用した UAC バイパス手法を用いて、HKCU\Software\Classes\ms-settings\shell\open\command レジストリキーを乗っ取り、昇格された実行権限を取得する。
この手法は MITRE ATT&CK フレームワークの識別子 T1548.002 に対応しており、同グループが確立された敵対者戦術に従っていることを示している。
VolkLocker ランサムウェア
VolkLocker は、高度な仮想マシン検出機能を組み込み、サンドボックス環境やセキュリティ解析ツールを識別する。
このマルウェアは、MAC アドレスを既知の仮想化ベンダープレフィックスと照合することで環境調査を行い、特に VMware(00:05:69、00:0C:29、00:1C:14、00:50:56)および Oracle VirtualBox(08:00:27、0A:00:27)の識別子を標的とする。
さらに、VirtualBox および VMware のインストールに関連するレジストリ位置を照会し、自身が解析環境で動作しているかどうかを判断する。
環境が検証されると、VolkLocker は A: から Z: までのすべての利用可能なドライブを列挙し、コード内に埋め込まれた事前定義のパスおよび拡張子リストに基づく除外フィルタを適用する。
この選択的な標的化により、システムの安定性を維持しつつ、価値の高いユーザーデータへの暗号化の影響を最大化している。
ランサムウェアはファイル暗号化に AES-256 を GCM(Galois/Counter Mode)で使用し、各ファイルの初期化ベクトル用にランダムな 12 バイトのノンスを生成する。
しかし、セキュリティ研究者らは重大な設計上の欠陥を特定しており、これが作戦全体の有効性を根本から損なっている。
マルウェアはバイナリ内にマスター暗号鍵を 16 進文字列としてハードコードしているうえ、さらに問題なのは、初期化時にこれらの鍵を平文のまま %TEMP%\system_backup.key に書き出してしまう点である。
このバックアップファイルには、被害者の一意の識別子、64 文字のマスター暗号鍵全体、および攻撃者の Bitcoin アドレスが含まれている。
このファイルには、通常のディレクトリ一覧から隠すために Hidden および System 属性が付与されるものの、その存在自体が被害者にとって極めて容易な復号経路を提供してしまう。
この挙動の原因となっている backupMasterKey() 関数は、本来テスト用のアーティファクトでありながら誤って本番ビルドに含まれてしまったものとみられ、アフィリエイトを積極的に勧誘する過程で品質管理に課題を抱えていることを示唆している。
永続化メカニズム
VolkLocker は、システムの復旧および解析機能を妨害するために、広範なレジストリ変更を実行する。
このマルウェアは、Windows Defender のリアルタイム監視、タスクマネージャー、レジストリエディター、コマンドプロンプト、各種システム復旧機能を、レジストリ操作と PowerShell コマンドの両方を用いて無効化する。
さらに、Process Hacker、Process Explorer、タスクマネージャーなどのセキュリティ解析プロセスを taskkill.exe を用いて強制終了する。
永続化のために、ランサムウェアはスタートアップフォルダー、Public Documents、ProgramData、Temp ディレクトリなど、複数のシステムロケーションに自身の同一コピーを作成する。
これらのコピーには、svchost.exe、wlanext.exe、WindowsUpdate.exe といった正規プロセス風のファイル名が与えられる。
VolkLocker は、デフォルトで 48 時間のカウントダウンタイマーを備えた動的 HTML の身代金メモ(cybervolk_ransom.html)を展開する。
JavaScript ベースのタイマーは見た目上の演出に過ぎないが、別途、Golang の time.After() 関数を用いた独立した強制タイマーが動作している。
期限が切れるか、誤った復号試行が設定された最大回数(デフォルト:3 回)を超えると、ランサムウェアは SystemCorruptor() および DestroySystem() 関数を起動する。
破壊メカニズムは、ユーザープロファイル内の Documents、Desktop、Downloads、Pictures フォルダーを削除し、vssadmin を用いてボリュームシャドウコピーを消去し、最終的には 10 秒の遅延後に NtRaiseHardError() を呼び出してブルースクリーン・オブ・デスを発生させる。
ランサムウェア機能にとどまらず、CyberVolk は 2025年11月にスタンドアロンのリモートアクセス型トロイの木馬(RAT)およびキーロガーツールの提供も開始した。
価格モデルは、単一 OS 向け RaaS ライセンスが 800~1,100 米ドル、Linux と Windows の両方をサポートする場合が 1,600~2,200 米ドルであり、スタンドアロンの RAT またはキーロガーツールはそれぞれ 500 米ドルに設定されている。複数サービスをまとめて購入する場合には、バンドル割引が提供されていると報告されている。
翻訳元: https://gbhackers.com/volklocker-ransomware/
