圈小蛙
“CyberVolk”是一个著名的亲俄黑客组织和勒索软件即服务(RaaS)提供商的名称,该组织于2024年初出现。该组织以其政治和经济动机的结合而闻名,主要针对被视为俄罗斯敌对国家的政府实体、关键基础设施和科研机构,例如北约成员国、乌克兰和日本。
CyberVolk在沉寂数月后携新的勒索软件服务卷土重来。这其中既有坏消息,也有好消息。
首先是坏消息:CyberVolk 2.x(又名VolkLocker)勒索软件即服务行动于夏末启动。该行动完全通过 Telegram运行,这使得技术水平不高的同伙可以非常轻松地锁定文件并索要赎金。
CyberVolk的成员可以利用该平台的内置自动化功能生成有效载荷、协调勒索软件攻击以及管理他们的非法商业活动,所有操作都通过Telegram完成。
但也有好消息:勒索软件攻击者在调试代码时疏忽大意,将主密钥(用于加密受害者系统上的所有文件)硬编码到了可执行文件中。据SentinelOne高级威胁研究员吉姆·沃尔特(Jim Walter)称,这可能使受害者无需支付赎金即可恢复加密数据。沃尔特在周四的一份报告中详细介绍了该团伙的死灰复燃及其代码缺陷。
这家信息安全公司和其他安全研究人员去年首次记录了这个亲俄黑客组织。与美国政府已认定与俄罗斯军事情报机构格鲁乌(GRU)和弗拉基米尔·普京本人有关联的、具有类似政治倾向的组织(例如 CyberArmyofRussia_Reborn 和 NoName057(16))不同,CyberVolk似乎与克里姆林宫没有直接联系。
与其他主要依靠骚扰级别的分布式拒绝服务(DDoS) 攻击来攻击受害者的黑客行动主义团伙不同,CyberVolk 还使用勒索软件。
据沃尔特称,在Telegram多次封禁该团伙后,他们在2025年的大部分时间里都蛰伏于隐秘的数字地下世界。然而,CyberVolk在8月份卷土重来,并推出了一项新的勒索软件即服务(RaaS)行动。
认识 VolkLocker
“我们的分析揭示了该行动在扩张过程中面临的挑战:一方面,它利用复杂的 Telegram 自动化向前迈了一步;另一方面,它又因为有效载荷保留了测试痕迹,使受害者能够自行恢复,而退了一步。”沃尔特写道。
VolkLocker的有效载荷是用Go编写的,恶意软件的版本可以在Linux和Windows机器上运行,它们都包含用于命令和控制 (C2) 的内置Telegram自动化功能。
构建新的VolkLocker有效载荷的操作者需要提供比特币地址、Telegram机器人令牌ID、Telegram聊天ID、加密截止日期、所需的文件扩展名和自毁选项。
事实上,CyberVolk的所有通信、采购和支持都通过Telegram进行。默认的Telegram C2服务器支持多种命令,包括向受感染的受害者发送消息、启动文件解密、列出活跃受害者、向特定受害者发送消息以及检索受害者系统信息等等。
Telegram C2是可定制的,但据我们了解,一些勒索软件运营商已经开发了额外的功能,包括键盘记录和远程访问木马 (RAT) 命令。
11月,勒索软件运营者开始宣传独立的远程访问木马(RAT)和键盘记录器工具,并宣传了以下定价模式:
- RaaS(单操作系统):800-1100 美元
- RaaS(Linux + Windows):1600-2200 美元
- 独立式远程访问木马或键盘记录器:每个 500 美元
勒索软件一旦部署到受害者的系统上,就会提升权限,绕过 Windows 用户帐户控制 (UAC) 以管理员权限执行恶意软件。它会根据恶意软件代码中配置的特定路径和扩展名的排除列表来确定要加密的文件,并使用GCM模式(伽罗瓦/计数器模式)的 AES-256 算法进行文件加密。
但是,恶意软件开发者在这里犯了错误:VolkLocker 不会动态生成加密密钥,而是将它们硬编码为十六进制字符串,并在 %TEMP% 文件夹中写入一个包含完整主加密密钥的明文文件。
沃尔特写道:“明文主密钥很可能是一个测试工件,被无意中混入了生产版本中。CyberVolk的运营者可能并不知道,他们的关联公司正在部署的版本中仍然嵌入了 backupMasterKey() 函数。”
他补充说:“这表明该运营部门在积极招募技能较低的加盟商的同时,难以维持质量控制。”
尽管存在主密钥监管漏洞,沃尔特表示,网络防御者应将“CyberVolk 采用基于 Telegram 的自动化技术视为政治动机威胁行为者更广泛趋势的体现。这些组织不断降低勒索软件部署的门槛,同时利用为犯罪服务提供便捷基础设施的平台开展活动。”