Группа CyberVolk презентовала собственный сервис вымогательства как услугу
Группа CyberVolk, которую западные профильные компании считают пророссийской, презентовала собственный сервис вымогательства как услугу, получивший название VolkLocker. Однако дебют оказался неудачным — продукт содержит критические просчёты, которые позволяют пострадавшим пользователям обойти плату за расшифровку данных.
По информации, опубликованной специалистами компании SentinelOne, исследовавшими особенности вредоносного программного обеспечения, в структуре шифровальщика был обнаружен главный код дешифровки, встроенный непосредственно в исполняемый файл. Кроме того, он дублируется в открытом виде в скрытом системном документе на заражённых устройствах. Такое упущение лишает VolkLocker шансов стать эффективным инструментом в арсенале киберпреступников, поскольку пользователи могут восстановить доступ к зашифрованным данным самостоятельно, без взаимодействия с атакующими.
Эксперты SentinelOne отмечают, что утечка ключа, вероятнее всего, связана с тем, что команда разработчиков по ошибке оставила в рабочем билде элемент из тестовой сборки. Специалисты подчёркивают, что файл с названием system_backup.key, содержащий эту строку, сохраняется в директории временных файлов и не удаляется, что даёт возможность найти его даже после окончания атаки.
После временного перерыва и блокировки Telegram-канала CyberVolk летом 2025 года она возобновила присутствие, представив переработанную версию продукта под названием VolkLocker, относящуюся ко второй ветке. Новый вариант рассчитан на операционные системы Windows и Linux/VMware ESXi, что расширяет потенциальную зону поражения.
Одним из заметных элементов шифровальщика стало использование функции отсчёта времени на языке Golang. При истечении заданного периода или при вводе неправильной строки в HTML-файле с требованиями выкупа запускается процесс уничтожения пользовательских директорий. Под угрозой оказываются файлы в папках «Документы», «Загрузки», «Изображения» и на рабочем столе. Доступ к VolkLocker продаётся в зависимости от конфигурации. За возможность использовать шифровальщик для одной архитектуры ОС запрашивают от 800 до 1100 долларов, а за обе — от 1600 до 2200.