- Cybervolk muncul kembali dengan model ransomware-as-a-service yang lebih baik, tetapi enkripsinya rusak secara mendasar.
- Kunci enkripsi hardcoded VolkLocker memungkinkan korban memulihkan data secara gratis, sehingga melemahkan operasi
- Kelompok ini beroperasi sepenuhnya melalui Telegram dan menggabungkan hacktivisme dengan aktivitas ransomware yang bermotif finansial.
Cybervolk, kelompok hacktivist Rusia yang tidak aktif hampir sepanjang tahun 2025, kembali menawarkan sekutunya versi terbaru dari model RaaS-nya. Namun, tampaknya ada lubang struktural pada enkripsi yang membuat keseluruhan model tidak berbahaya.
CyberVolk adalah kelompok hacktivist pro-Rusia yang relatif muda dan muncul pada tahun 2024. Seluruh infrastruktur kelompok ini ada di Telegram, sehingga memudahkan proses bagi rekanan untuk mengunci file dan meminta uang tebusan, meskipun mereka tidak terlalu paham teknologi.
Ketika platform tersebut menargetkan grup tersebut pada tahun 2024, dan menutup beberapa salurannya, grup tersebut menghilang. Sekarang sudah kembali, tetapi tampaknya bekerja dengan prinsip yang sama – semuanya dikelola oleh Telegram, dan calon pelanggan serta pertanyaan operasional diarahkan ke bot utama.
Karyawan Google menentang perang
Kebanyakan peretas terlibat dalam serangan penolakan layanan terdistribusi (DDoS), spionase dunia maya, dan pencurian data.
Namun, Cybervolk menambahkan ransomware ke dalamnya, sehingga tidak jelas apakah mereka benar-benar peretas, atau hanya penjahat dunia maya yang bermotivasi finansial dan bersembunyi di balik sikap pro-Rusia. Hal ini dikonfirmasi oleh peneliti keamanan siber Sentinel One, yang laporan terbarunya menggali lebih dalam tentang grup tersebut dan sistem operasinya.
Enkripsinya, VolkLocker, menyertakan otomatisasi Telegram bawaan untuk perintah dan kontrol, sementara C2 dapat disesuaikan. “Beberapa operator Cybervolk telah menerbitkan contoh yang mencakup kemampuan tambahan, seperti kontrol keylogging,” jelas para peneliti.
Ia juga memiliki fungsi yang memperingatkan operator ketika terjadi infeksi baru, mirip dengan pencuri informasi yang mendukung Telegram. Ketika sebuah host terinfeksi, informasi sistem dasar dan tangkapan layar dikirim ke obrolan Telegram yang dikonfigurasi.
Namun, kunci enkripsi untuk alat tersebut tidak dihasilkan secara dinamis. Ini dikodekan secara keras sebagai string hex dalam biner, memungkinkan korban memulihkan semua data terenkripsi tanpa membayar biaya ekstraksi. SentinelOne percaya bahwa kunci tersebut tertinggal di sana karena kesalahan, mirip dengan bagaimana pengembang perangkat lunak yang sah terkadang lupa kata sandi dalam produk mereka – jadi ini adalah keuntungan yang lemah bagi grup.
melalui Daftar
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan Tambahkan kami sebagai sumber daya pilihan Untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok Dapatkan berita, review, unboxing dalam bentuk video, dan update rutin dari kami Ada apa Juga
