El grupo hacktivista prorruso llamado CyberVolk (también conocido como GLORIAMIST) ha resurgido con una nueva oferta de ransomware como servicio (RaaS) llamada VolkLocker, que sufre errores de implementación en los artefactos de prueba y permite a los usuarios descifrar archivos sin pagar una tarifa de extorsión.
Según SentinelOne, VolkLocker (también conocido como CyberVolk 2.x) se lanzó en agosto de 2025 y puede atacar sistemas tanto Windows como Linux. Está escrito en Golang.
“Los operadores que crean nuevas cargas útiles de VolkLocker deben proporcionar una dirección de Bitcoin, un ID de token de bot de Telegram, un ID de chat de Telegram, una fecha límite de cifrado, una extensión de archivo deseada y opciones de autodestrucción”, dijo el investigador de seguridad Jim Walter en un informe publicado la semana pasada.
Una vez lanzado, el ransomware intenta escalar privilegios, realiza reconocimiento y enumeración del sistema, incluida la verificación de prefijos de direcciones MAC locales con proveedores de virtualización conocidos como Oracle y VMware. El siguiente paso es enumerar todas las unidades disponibles y utilizar la configuración integrada para determinar los archivos que se cifrarán.
VolkLocker utiliza AES-256 en modo Galois/Counter (GCM) para el cifrado a través del paquete “crypto/rand” de Golang. A cada archivo cifrado se le asigna una extensión personalizada, como .locked o .cvolk.
Sin embargo, un análisis de las muestras de prueba reveló una falla grave en la que las claves maestras del casillero no solo están codificadas en archivos binarios, sino que también se utilizan para cifrar todos los archivos en el sistema de la víctima. Más importante aún, la clave maestra también se escribe en un archivo de texto sin formato en la carpeta %TEMP% (“C:\Users\AppData\Local\Temp\system_backup.key”).
Dado que este archivo de clave de respaldo nunca se elimina, el defecto de diseño permite la autorrecuperación. Sin embargo, VolkLocker tiene todas las características típicas de una variante de ransomware. Realiza cambios en el registro de Windows para evitar la recuperación y el análisis, elimina instantáneas de volumen y finaliza procesos asociados con Microsoft Defender Antivirus y otras herramientas de análisis populares.
Sin embargo, la especialidad radica en el uso de un temporizador de cumplimiento que elimina el contenido de las carpetas del usuario, es decir, documentos, escritorios, descargas e imágenes, si las víctimas no pagan dentro de las 48 horas o ingresan la clave de descifrado incorrecta tres veces.
Las operaciones RaaS de CyberVolk se gestionan a través de Telegram, lo que cuesta a los clientes potenciales entre 800 y 1100 dólares para una versión de Windows o Linux, o entre 1600 y 2200 dólares para ambos sistemas operativos. Las cargas útiles de VolkLocker tienen automatización integrada de comando y control de Telegram, lo que permite a los usuarios enviar mensajes a las víctimas, iniciar el descifrado de archivos, enumerar las víctimas activas y recuperar información del sistema.
Desde noviembre de 2025, los actores de amenazas han estado promocionando un troyano de acceso remoto y un registrador de pulsaciones con un precio de 500 dólares cada uno, lo que indica una expansión de su estrategia de monetización.
CyberVolk lanzó su propio RaaS en junio de 2024. Es conocido por llevar a cabo ataques de ransomware y denegación de servicio distribuido (DDoS) contra entidades públicas y gubernamentales en apoyo de los intereses del gobierno ruso. Se cree que es de origen indio.
“A pesar de las repetidas suspensiones de cuentas de Telegram y eliminaciones de canales en 2025, CyberVolk reanudó sus operaciones y amplió su oferta de servicios”, dijo Walter. “Los defensores deberían ver la introducción de la automatización basada en Telegram por parte de CyberVolk como un reflejo de tendencias más amplias entre los actores de amenazas con motivación política. Estos grupos continúan reduciendo las barreras para implementar ransomware mientras operan en plataformas que brindan una infraestructura conveniente para los servicios criminales”.
About The Author
