O VolkLocker Ransomware apresenta um defeito que contradiz seu propósito. A ferramenta, mantida pelo grupo cibercriminoso CyberVolk, enfrenta falhas de implementação e permite que os usuários descriptografem arquivos sem ter que pagar o resgate.
Segundo relatório da SentinelOne publicado na semana passada, o VolkLocker (também conhecido como CyberVolk 2.x) surgiu em agosto de 2025 e atinge sistemas Windows e Linux. O ransomware é escrito em Golang e vendido entre US$ 800 e US$ 2.200, dependendo da versão.
Documentado pela primeira vez em junho de 2024, o serviço de ransomware (RaaS) surgiu como uma forma de retaliação para o grupo, que se intitulava ‘hacktivista’. Contudo, desde que o RaaS nasceu, ele já apresentava problemas.
Na época, a empresa de cibersegurança Rapid7 estudou a ferramenta e não demorou para encontrar falhas. Chaves aleatórias eram suficientes para que a rotina de descriptografia fosse acionada, e os arquivos não eram excluídos caso a vítima tentasse inserir uma chave incorreta, apesar das ameaças do grupo.
Agora, a análise de amostras de teste revelou três erros críticos na implementação do VolkLocker:
- As chaves de criptografia estão escritas diretamente nos binários, permitindo extração por qualquer analista de segurança;
- A chave mestra é utilizada para criptografar todos os arquivos em todos os sistemas de vítimas, ao invés de gerar chaves únicas por arquivo;
- O ransomware salva uma cópia da chave mestra em arquivo de texto simples (system_backup.key) na pasta %TEMP% (C:UsersAppDataLocalTemp), que nunca é deletado.
Onde o VolkLocker está falhando
A falha crítica existe na função backupMasterKey(), que é executada durante a inicialização do ransomware. Imagine um sequestrador que fotografa o próprio rosto e deixa a foto no local do crime – é exatamente o que o VolkLocker faz com suas chaves de criptografia.
O VolkLocker usa criptografia AES-256 no modo GCM (Galois/Counter Mode) para criptografia de arquivos. Quando o ransomware identifica um arquivo alvo, ele inicializa um mecanismo de criptografia usando uma chave mestra de 32 bytes decodificada de uma string hexadecimal de 64 caracteres embutida no binário.
O problema é que o VolkLocker usa a mesma chave mestra para criptografar todos os arquivos no sistema da vítima, e essa mesma chave também é gravada em um arquivo de texto simples (system_backup.key) na pasta %TEMP%. Especificamente, o arquivo é salvo em “C:UsersAppDataLocalTempsystem_backup.key” no Windows.
Especialistas acreditam que a chave de backup em texto simples provavelmente representa um artefato de teste inadvertidamente enviado em builds de produção. Os operadores do CyberVolk podem não estar cientes de que afiliados estão implantando builds com a função backupMasterKey() ainda incorporada.
Segundo a análise, dado que o VolkLocker é um serviço relativamente novo, a presença do que parece ser funcionalidade de depuração em implantações ativas sugere que a operação está lutando para manter o controle de qualidade enquanto recruta agressivamente afiliados menos qualificados.
Os payloads do VolkLocker são escritos em Golang, com versões que suportam tanto Linux quanto Windows. As builds básicas são enviadas sem ofuscação, e os operadores RaaS são encorajados a usar UPX para empacotamento em vez de receberem recursos nativos de criptografia.
Uma vez lançado, o ransomware tenta escalar privilégios, contornando o Controle de Conta de Usuário (UAC) do Windows para executar o malware com privilégios de nível de administrador.
O malware realiza descoberta ambiental e enumeração do sistema, incluindo verificação do endereço MAC local contra prefixos de fornecedores de virtualização conhecidos como Oracle e VMware. Locais de registro associados ao VirtualBox e VMware também são consultados.
O VolkLocker determina quais arquivos criptografar com base em listas de exclusão para caminhos e extensões específicas configuradas no código. Para cada arquivo, o malware gera um nonce aleatório de 12 bytes para o vetor de inicialização usando o pacote crypto/rand do Golang.
O arquivo original é deletado e a extensão .locked ou .cvolk é anexada à cópia criptografada. Funciona como uma máquina de triturar documentos que, em vez de destruir o papel, transforma tudo em código ilegível — mas que mantém uma cópia da “receita de destrituração” guardada em local visível.
VolkLocker usa temporizador para amedrontar vítimas
Apesar da vulnerabilidade que beneficia as vítimas, o VolkLocker não deixa de ser uma ameaça perigosa. O ransomware faz modificações no Registro do Windows para frustrar recuperação e análise, deleta cópias de sombra de volume e encerra processos associados ao Microsoft Defender Antivirus e outras ferramentas comuns de análise.
O que destaca o VolkLocker é o uso de um temporizador de aplicação agressivo. Se as vítimas falharem em pagar dentro de 48 horas ou inserirem a chave de descriptografia errada três vezes, o malware apaga o conteúdo das pastas do usuário: Documentos, Desktop, Downloads e Imagens.
Este recurso aumenta significativamente a pressão sobre as vítimas para pagarem rapidamente.
Modelo de negócio via Telegram
Uma característica distintiva do VolkLocker sobre versões anteriores do ransomware CyberVolk é a automação integrada ao Telegram que facilita toda a comunicação, compra e suporte através do aplicativo de mensagens.
As operações RaaS do CyberVolk são gerenciadas inteiramente através do Telegram, custando entre 800 e 1.100 dólares para uma única arquitetura de sistema operacional (Windows ou Linux), ou entre 1.600 e 2.200 dólares para ambas. Os compradores podem acessar um bot construtor no Telegram para personalizar o encriptador e receber o payload gerado.
O painel de controle do Telegram suporta comandos que enviam mensagens às vítimas infectadas, iniciam descriptografia de arquivos, listam vítimas ativas, enviam mensagens para vítimas específicas e recuperam informações do sistema da vítima, entre outros.
Em novembro de 2025, os operadores começaram a anunciar ferramentas separadas de trojans e keylogger, ambas com preço de 500 dólares cada. Descontos em pacotes estão disponíveis para clientes que compram múltiplos serviços.
Grupos associados e ferramentas derivadas
A rede do CyberVolk está interconectada com outros grupos hacktivistas. O ransomware Invisible ou Doubleface, associado à “Doubleface Team” (também conhecida como Double Alliance), surgiu em agosto-setembro de 2024 como uma convergência de associados dentro do CyberVolk, Doubleface e Moroccan Black Cyber Army.
Os payloads Invisible/Doubleface funcionam de maneira idêntica às amostras de ransomware de marca CyberVolk, incluindo a duplicação da configuração de tempo limite de 5 horas e modificação ativa do papel de parede. Ambas as famílias de ransomware são derivadas da mesma base de código AzzaSec Ransomware.
O HexaLocker é outra família de ransomware que apareceu pela primeira vez em julho de 2024, estreitamente associada ao LAPSUS$ e supostamente desenvolvida originalmente por “ZZART3XX”. Os payloads HexaLocker são escritos em Golang.
No final de outubro de 2024, várias identidades na comunidade CyberVolk começaram a promover o lançamento do Parano Ransomware v1. Segundo o anúncio, o Parano Ransomware tem preço de 400 dólares por payload único e apresenta recursos robustos anti-análise e anti-depuração, usando uma combinação de AES-128 e RSA-4096 para gerenciamento de chaves.
Operação #OpJP
Entre setembro e outubro de 2024, o CyberVolk executou uma campanha coordenada de ataques contra entidades governamentais e de infraestrutura crítica no Japão, sob a denominação “Operação #OpJP”. A ofensiva digital reflete tensões geopolíticas entre Rússia e Japão relacionadas a disputas territoriais nas Ilhas Curilas, sanções econômicas e o alinhamento crescente de Tóquio com países ocidentais após a invasão russa da Ucrânia.
As vítimas confirmadas da campanha incluem a Japan Foundation, o Japan Oceanographic Data Center (JODC), a Japan Meteorological Agency (JMA) e o Tokyo Global Information System Centre. Os ataques combinaram ransomware com campanhas DDoS para maximizar a disrupção operacional.
O grupo promoveu ativamente a operação em seus canais do Telegram, X (antigo Twitter) e Discord, publicando capturas de tela de sistemas comprometidos e mensagens de resgate como prova dos ataques bem-sucedidos.