Clave Maestra para el Ransomware VolkLocker y su descifrado gratuito

Iniciado por AXCESS, Diciembre 15, 2025, 11:36:16 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 15, 2025, 11:36:16 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El grupo de hacktivistas prorrusos conocido como CyberVolk (también llamado GLORIAMIST) ha reaparecido con un nuevo servicio de ransomware como servicio (RaaS) llamado VolkLocker, que presenta fallos de implementación en los archivos de prueba, lo que permite a los usuarios descifrar los archivos sin pagar el rescate.

Según SentinelOne, VolkLocker (también conocido como CyberVolk 2.x) surgió en agosto de 2025 y es capaz de atacar sistemas Windows y Linux. Está escrito en Golang.

"Los operadores que crean nuevas versiones de VolkLocker deben proporcionar una dirección de Bitcoin, un token de bot de Telegram, un ID de chat de Telegram, la fecha límite para el cifrado, la extensión de archivo deseada y las opciones de autodestrucción", afirmó el investigador de seguridad Jim Walter en un informe publicado la semana pasada.

Una vez ejecutado, el ransomware intenta escalar privilegios, realiza un reconocimiento y una enumeración del sistema, incluyendo la comprobación de los prefijos de las direcciones MAC locales con respecto a proveedores de virtualización conocidos como Oracle y VMware. En la siguiente etapa, enumera todas las unidades disponibles y determina los archivos que se van a cifrar basándose en la configuración integrada.

VolkLocker utiliza AES-256 en modo Galois/Counter (GCM) para el cifrado a través del paquete "crypto/rand" de Golang. A cada archivo cifrado se le asigna una extensión personalizada, como .locked o .cvolk.

Sin embargo, un análisis de las muestras de prueba ha revelado una vulnerabilidad crítica: las claves maestras del ransomware no solo están codificadas en los binarios, sino que también se utilizan para cifrar todos los archivos en el sistema de la víctima. Más importante aún, la clave maestra también se escribe en un archivo de texto plano en la carpeta %TEMP% ("C:\Users\AppData\Local\Temp\system_backup.key").

Dado que este archivo de clave de respaldo nunca se elimina, este error de diseño permite la autorrecuperación. Dicho esto, VolkLocker presenta todas las características típicas de un ransomware. Realiza modificaciones en el Registro de Windows para dificultar la recuperación y el análisis, elimina las copias de seguridad de volumen y finaliza los procesos asociados con Microsoft Defender Antivirus y otras herramientas de análisis comunes.

Sin embargo, lo que lo distingue es el uso de un temporizador de ejecución, que borra el contenido de las carpetas de usuario, como Documentos, Escritorio, Descargas e Imágenes, si las víctimas no pagan en un plazo de 48 horas o introducen la clave de descifrado incorrecta tres veces.

Las operaciones de RaaS (Ransomware as a Service) de CyberVolk se gestionan a través de Telegram, con un costo para los clientes potenciales de entre 800 y 1100 dólares por la versión para Windows o Linux, o entre 1600 y 2200 dólares por ambas versiones. Los paquetes de VolkLocker incluyen automatización integrada de Telegram para el control y la gestión, lo que permite a los usuarios enviar mensajes a las víctimas, iniciar el descifrado de archivos, ver la lista de víctimas activas y obtener información del sistema.

En noviembre de 2025, los ciberdelincuentes anunciaron la venta de un troyano de acceso remoto y un registrador de pulsaciones de teclado, ambos con un precio de 500 dólares cada uno, lo que indica una ampliación de su estrategia de monetización.

CyberVolk lanzó su propio servicio de ransomware como servicio (RaaS) en junio de 2024. Conocido por realizar ataques de denegación de servicio distribuido (DDoS) y ransomware contra entidades públicas y gubernamentales para apoyar los intereses del gobierno ruso, se cree que es de origen indio.

"A pesar de las repetidas suspensiones de cuentas de Telegram y la eliminación de canales a lo largo de 2025, CyberVolk ha restablecido sus operaciones y ampliado su oferta de servicios", declaró Walter. "Los expertos en ciberseguridad deberían considerar la adopción de la automatización basada en Telegram por parte de CyberVolk como un reflejo de las tendencias generales entre los ciberdelincuentes con motivaciones políticas. Estos grupos continúan reduciendo las barreras para el despliegue de ransomware, operando en plataformas que proporcionan una infraestructura conveniente para los servicios delictivos".

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario