Ransomware Redux: VolkLocker di CyberVolk prende di mira sia Linux che Windows, ma inciampa su un errore fatale
Un gruppo di hacker filorussi torna alla carica con una campagna ransomware multipiattaforma-ma un errore da principianti potrebbe salvare le vittime dal disastro.
Nel mondo del gatto e del topo dell’estorsione informatica, pochi gruppi riescono a risorgere dalle proprie ceneri come CyberVolk. Dopo mesi di silenzio dovuti a una stretta sui loro canali Telegram, questo collettivo hacktivista filorusso è tornato sul campo di battaglia digitale con VolkLocker-una campagna ransomware-as-a-service (RaaS) che promette devastazione sia su sistemi Linux che Windows. Ma mentre la perizia tecnica del malware desta allarme, una clamorosa svista nel suo codice potrebbe decretarne la fine.
Il ritorno di CyberVolk-e una nuova generazione di ransomware
Un tempo messi da parte dagli interventi di Telegram, i CyberVolk sono riemersi con sete di vendetta. Nell’agosto 2025 hanno lanciato VolkLocker versione 2.x, un raffinato toolkit malware basato su Go che consente agli affiliati di generare nuovi payload ransomware per entrambi i principali sistemi operativi. A differenza di molti concorrenti, VolkLocker non è offuscato di default-sono gli operatori a doverlo “impacchettare” con strumenti come UPX se vogliono evitare il rilevamento.
Gli affiliati devono configurare una vasta gamma di opzioni: wallet Bitcoin, token bot Telegram, estensioni file personalizzate, scadenze per la cifratura e persino preferenze di autodistruzione. Il malware inizia il suo attacco dirottando chiavi del registro di Windows, sfruttando un bypass User Account Control (UAC) (MITRE ATT&CK ID T1548.002) per ottenere privilegi elevati e prendere il controllo.
Furtività, stabilità e una clamorosa svista
VolkLocker è progettato per sfuggire all’analisi. Scansiona indirizzi MAC e voci di registro per individuare macchine virtuali-eludendo così gli ambienti usati dai ricercatori di sicurezza. Una volta certo di non essere osservato, il ransomware cifra i file con AES-256-GCM, risparmiando alcuni percorsi di sistema per evitare di rendere inutilizzabile il computer della vittima.
Eppure, in una svolta degna di una commedia cybercriminale, i ricercatori hanno scoperto una vulnerabilità critica: le chiavi master di decrittazione del ransomware non solo sono hardcoded nel programma, ma vengono anche scritte in chiaro in un file temporaneo nascosto (system_backup.key). Questo file, probabilmente residuo dei test, contiene tutto ciò che serve a una vittima per sbloccare i propri file-senza pagare alcun riscatto.
Persistenza, distruzione e un arsenale in espansione
VolkLocker punta alla persistenza, duplicandosi in diverse posizioni del sistema con nomi che imitano processi legittimi di Windows. Disabilita strumenti di sicurezza, blocca il ripristino del sistema e, se provocato-da scadenze mancate o tentativi di decrittazione falliti-scatena una routine distruttiva che cancella le cartelle utente, elimina i backup e manda in crash il sistema.
Non soddisfatti dal solo ransomware, i CyberVolk hanno iniziato a vendere trojan di accesso remoto e keylogger, con licenze ransomware che arrivano fino a 2.200 dollari per il pieno supporto multipiattaforma. Offerte combinate tentano i cybercriminali a puntare tutto.




