Phần mềm tống tiền VolkLocker bị phát hiện nhờ khóa chính được mã hóa cứng

[T-X]

Nhóm tin tặc thân Nga có tên CyberVolk (hay còn gọi là GLORIAMIST) đã tái xuất với một dịch vụ mã độc tống tiền (ransomware-as-a-service - RaaS) mới có tên VolkLocker, nhưng dịch vụ này gặp phải những lỗi trong quá trình thử nghiệm, cho phép người dùng giải mã các tập tin mà không cần trả phí tống tiền.

Theo SentinelOne, VolkLocker (hay còn gọi là CyberVolk 2.x) xuất hiện vào tháng 8 năm 2025 và có khả năng nhắm mục tiêu vào cả hệ thống Windows và Linux. Nó được viết bằng ngôn ngữ Golang.

"Những kẻ điều hành tạo ra các payload VolkLocker mới phải cung cấp địa chỉ bitcoin, ID mã thông báo bot Telegram, ID cuộc trò chuyện Telegram, thời hạn mã hóa, phần mở rộng tệp mong muốn và các tùy chọn tự hủy," nhà nghiên cứu bảo mật Jim Walter cho biết trong một báo cáo được công bố tuần trước.

Sau khi khởi chạy, phần mềm tống tiền sẽ cố gắng leo thang đặc quyền, thực hiện trinh sát và liệt kê hệ thống, bao gồm kiểm tra tiền tố địa chỉ MAC cục bộ so với các nhà cung cấp ảo hóa đã biết như Oracle và VMware. Ở giai đoạn tiếp theo, nó liệt kê tất cả các ổ đĩa khả dụng và xác định các tệp cần mã hóa dựa trên cấu hình được nhúng.

VolkLocker sử dụng thuật toán AES-256 ở chế độ Galois/Counter ( GCM ) để mã hóa thông qua gói "crypto/rand" của Golang. Mỗi tập tin được mã hóa sẽ được gán một phần mở rộng tùy chỉnh, chẳng hạn như.locked hoặc.cvolk.

Tuy nhiên, phân tích các mẫu thử nghiệm đã phát hiện ra một lỗ hổng nghiêm trọng, trong đó khóa chính của phần mềm sao lưu không chỉ được mã hóa cứng trong các tệp nhị phân mà còn được sử dụng để mã hóa tất cả các tệp trên hệ thống của nạn nhân. Quan trọng hơn, khóa chính cũng được ghi vào một tệp văn bản thuần trong thư mục %TEMP% ("C:\Users\AppData\Local\Temp\system_backup.key").

Vì tệp khóa sao lưu này không bao giờ bị xóa, lỗi thiết kế này cho phép tự phục hồi. Tuy nhiên, VolkLocker có đầy đủ các đặc điểm thường thấy ở một loại mã độc tống tiền. Nó thực hiện các sửa đổi trong Windows Registry để ngăn chặn việc phục hồi và phân tích, xóa các bản sao bóng ổ đĩa và chấm dứt các tiến trình liên quan đến Microsoft Defender Antivirus và các công cụ phân tích thông thường khác.

Tuy nhiên, điểm nổi bật của phần mềm này là việc sử dụng bộ đếm thời gian thực thi, giúp xóa toàn bộ nội dung các thư mục người dùng, cụ thể là Documents, Desktop, Downloads và Pictures, nếu nạn nhân không thanh toán trong vòng 48 giờ hoặc nhập sai khóa giải mã ba lần.

Các hoạt động RaaS của CyberVolk được quản lý thông qua Telegram, với chi phí từ 800 đến 1.100 đô la cho khách hàng tiềm năng đối với phiên bản Windows hoặc Linux, hoặc từ 1.600 đến 2.200 đô la cho cả hai hệ điều hành. Phần mềm độc hại VolkLocker được tích hợp sẵn tính năng tự động hóa Telegram để điều khiển và kiểm soát, cho phép người dùng nhắn tin cho nạn nhân, bắt đầu giải mã tập tin, liệt kê các nạn nhân đang hoạt động và lấy thông tin hệ thống.

Tính đến tháng 11 năm 2025, các tác nhân đe dọa đã quảng cáo phần mềm độc hại truy cập từ xa và phần mềm ghi lại thao tác bàn phím, cả hai đều có giá 500 đô la, cho thấy sự mở rộng chiến lược kiếm tiền của chúng.

CyberVolk đã ra mắt dịch vụ RaaS (Residential Ransomware as a Service) của riêng mình vào tháng 6 năm 2024. Được biết đến với việc tiến hành các cuộc tấn công từ chối dịch vụ phân tán (DDoS) và tấn công mã độc tống tiền nhằm vào các tổ chức công cộng và chính phủ để hỗ trợ lợi ích của chính phủ Nga, công ty này được cho là có nguồn gốc từ Ấn Độ.

"Mặc dù liên tục bị cấm tài khoản và xóa kênh Telegram trong suốt năm 2025, CyberVolk đã khôi phục hoạt động và mở rộng các dịch vụ của mình," Walter nói. "Các chuyên gia phòng thủ nên xem việc CyberVolk áp dụng tự động hóa dựa trên Telegram như một phản ánh của xu hướng rộng hơn trong số các tác nhân đe dọa có động cơ chính trị. Các nhóm này tiếp tục giảm bớt các rào cản triển khai mã độc tống tiền trong khi hoạt động trên các nền tảng cung cấp cơ sở hạ tầng thuận tiện cho các dịch vụ tội phạm."