- CyberVolk muncul kembali dengan model ransomware‑as‑a‑service yang diperbarui tetapi enkripsinya rusak secara mendasar
- Kunci enkripsi hardcoded VolkLocker memungkinkan korban memulihkan data secara gratis, sehingga menghambat operasi
- Grup ini beroperasi sepenuhnya melalui Telegram dan memadukan hacktivisme dengan aktivitas ransomware yang bermotif finansial
CyberVolk, grup hacktivist Rusia yang tidak aktif hampir sepanjang tahun 2025, kini kembali menawarkan versi terbaru model RaaS kepada afiliasinya. Namun, tampaknya ada lubang struktural menganga di enkripsi yang membuat keseluruhan model tidak berbahaya.
CyberVolk adalah kolektif hacktivist pro-Rusia yang relatif muda dan muncul pada tahun 2024. Seluruh infrastruktur grup ini ada di Telegram, sehingga memudahkan proses bagi afiliasi untuk mengunci file dan meminta uang tebusan, meskipun mereka tidak terlalu paham teknologi.
Ketika platform tersebut menargetkan grup tersebut pada tahun 2024, dan menutup beberapa salurannya, grup tersebut menghilang. Sekarang sudah kembali, tetapi tampaknya beroperasi dengan prinsip yang sama – semuanya dikelola melalui Telegram, dan calon pelanggan serta pertanyaan operasional diarahkan ke bot utama.
Karyawan Google menentang peperangan
Kebanyakan peretas terlibat dalam serangan Distributed Denial of Service (DDoS), spionase dunia maya, dan pencurian data.
CyberVolk, bagaimanapun, menambahkan ransomware sehingga tidak jelas apakah mereka benar-benar peretas, atau hanya penjahat dunia maya yang memiliki motivasi finansial dan bersembunyi di balik sikap pro-Rusia. Hal ini dikonfirmasi oleh peneliti keamanan siber Sentinel One, yang laporan terbarunya menggali lebih dalam tentang kelompok tersebut dan modus operandinya.
Enkripsinya, VolkLocker, menyertakan otomatisasi Telegram bawaan untuk perintah dan kontrol, sedangkan C2 dapat disesuaikan. “Beberapa operator CyberVolk telah menerbitkan contoh yang menyertakan kemampuan tambahan, seperti kontrol keylogging,” jelas para peneliti.
Ia juga memiliki fungsi yang memperingatkan operator ketika terjadi infeksi baru, mirip dengan pencuri informasi yang mendukung Telegram. Ketika sebuah host terinfeksi, informasi sistem dasar dan tangkapan layar dikirim ke obrolan Telegram yang dikonfigurasi.
Namun, kunci enkripsi untuk alat tersebut tidak dihasilkan secara dinamis. Ini dikodekan secara keras sebagai string hex dalam biner, memungkinkan korban memulihkan semua data terenkripsi tanpa membayar biaya ekstraksi apa pun. SentinelOne percaya bahwa kunci tersebut kemungkinan besar tertinggal di sana karena kesalahan, mirip dengan bagaimana pengembang perangkat lunak yang sah kadang-kadang lupa kata sandi dalam produk mereka – sehingga hal ini merupakan kembalinya grup yang mengecewakan.
Melalui Daftar
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
