Sabato 04 Luglio 2026 13:40:40 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Ransomware & Extortion

Ransomware Redux: VolkLocker di CyberVolk prende di mira sia Linux che Windows, ma inciampa su un errore fatale

Pubblicato: 15 Dicembre 2025 09:33Categoria: Ransomware & ExtortionArea: EuropeAutore: NEONPALADIN

Un gruppo di hacker filorussi torna alla carica con una campagna ransomware multipiattaforma-ma un errore da principianti potrebbe salvare le vittime dal disastro.

Nel mondo del gatto e del topo dell’estorsione informatica, pochi gruppi riescono a risorgere dalle proprie ceneri come CyberVolk. Dopo mesi di silenzio dovuti a una stretta sui loro canali Telegram, questo collettivo hacktivista filorusso è tornato sul campo di battaglia digitale con VolkLocker-una campagna ransomware-as-a-service (RaaS) che promette devastazione sia su sistemi Linux che Windows. Ma mentre la perizia tecnica del malware desta allarme, una clamorosa svista nel suo codice potrebbe decretarne la fine.

Il ritorno di CyberVolk-e una nuova generazione di ransomware

Un tempo messi da parte dagli interventi di Telegram, i CyberVolk sono riemersi con sete di vendetta. Nell’agosto 2025 hanno lanciato VolkLocker versione 2.x, un raffinato toolkit malware basato su Go che consente agli affiliati di generare nuovi payload ransomware per entrambi i principali sistemi operativi. A differenza di molti concorrenti, VolkLocker non è offuscato di default-sono gli operatori a doverlo “impacchettare” con strumenti come UPX se vogliono evitare il rilevamento.

Gli affiliati devono configurare una vasta gamma di opzioni: wallet Bitcoin, token bot Telegram, estensioni file personalizzate, scadenze per la cifratura e persino preferenze di autodistruzione. Il malware inizia il suo attacco dirottando chiavi del registro di Windows, sfruttando un bypass User Account Control (UAC) (MITRE ATT&CK ID T1548.002) per ottenere privilegi elevati e prendere il controllo.

Furtività, stabilità e una clamorosa svista

VolkLocker è progettato per sfuggire all’analisi. Scansiona indirizzi MAC e voci di registro per individuare macchine virtuali-eludendo così gli ambienti usati dai ricercatori di sicurezza. Una volta certo di non essere osservato, il ransomware cifra i file con AES-256-GCM, risparmiando alcuni percorsi di sistema per evitare di rendere inutilizzabile il computer della vittima.

Eppure, in una svolta degna di una commedia cybercriminale, i ricercatori hanno scoperto una vulnerabilità critica: le chiavi master di decrittazione del ransomware non solo sono hardcoded nel programma, ma vengono anche scritte in chiaro in un file temporaneo nascosto (system_backup.key). Questo file, probabilmente residuo dei test, contiene tutto ciò che serve a una vittima per sbloccare i propri file-senza pagare alcun riscatto.

Persistenza, distruzione e un arsenale in espansione

VolkLocker punta alla persistenza, duplicandosi in diverse posizioni del sistema con nomi che imitano processi legittimi di Windows. Disabilita strumenti di sicurezza, blocca il ripristino del sistema e, se provocato-da scadenze mancate o tentativi di decrittazione falliti-scatena una routine distruttiva che cancella le cartelle utente, elimina i backup e manda in crash il sistema.

Non soddisfatti dal solo ransomware, i CyberVolk hanno iniziato a vendere trojan di accesso remoto e keylogger, con licenze ransomware che arrivano fino a 2.200 dollari per il pieno supporto multipiattaforma. Offerte combinate tentano i cybercriminali a puntare tutto.

Conclusione: una lezione per cybercriminali e difensori

La campagna di VolkLocker è la prova della minaccia in continua evoluzione rappresentata dai ransomware e della corsa agli armamenti tra attaccanti e difensori. Eppure, la sua falla fatale ricorda che anche le armi informatiche più avanzate possono essere annientate da un singolo errore di distrazione. Per i blue team e le potenziali vittime, questa è un’occasione rara-la dimostrazione che vigilanza e analisi tecnica possono ribaltare le sorti, anche contro avversari temibili.

Glossario (WIKICROOK)

Ransomware-as-a-Service (RaaS)
Un modello di business in cui i creatori di malware affittano strumenti ransomware agli affiliati in cambio di una percentuale dei profitti.
Escalation dei privilegi
Il processo di acquisizione di diritti di accesso superiori su un sistema, spesso usato dai malware per aggirare le restrizioni di sicurezza.
UPX Packing
Un metodo per comprimere e offuscare file eseguibili al fine di eludere il rilevamento da parte degli antivirus.
AES-256-GCM
Uno standard avanzato di cifratura che utilizza chiavi a 256 bit e la modalità Galois/Counter per una cifratura sicura e autenticata dei file.
Rilevamento di macchine virtuali
Tecniche utilizzate dai malware per identificare se stanno girando in una sandbox o in un ambiente di analisi, aiutandoli a sfuggire ai ricercatori.