Rusya yanlısı hacktivist grup olarak biliniyor SiberVolk (diğer adıyla GLORIAMIST), VolkLocker adı verilen ve test yapıtlarındaki uygulama hatalarından muzdarip olan ve kullanıcıların herhangi bir haraç ücreti ödemeden dosyaların şifresini çözmesine olanak tanıyan yeni bir hizmet olarak fidye yazılımı (RaaS) teklifiyle yeniden ortaya çıktı.
SentinelOne’a göre VolkLocker (diğer adıyla CyberVolk 2.x) Ağustos 2025’te ortaya çıktı ve hem Windows hem de Linux sistemlerini hedef alabiliyor. Golang dilinde yazılmıştır.
Güvenlik araştırmacısı Jim Walter geçen hafta yayınlanan bir raporda, “Yeni VolkLocker yükleri oluşturan operatörler bir bitcoin adresi, Telegram bot token kimliği, Telegram sohbet kimliği, şifreleme son tarihi, istenen dosya uzantısı ve kendi kendini yok etme seçeneklerini sağlamalıdır” dedi.
Fidye yazılımı başlatıldıktan sonra ayrıcalıkları yükseltmeye çalışır, Oracle ve VMware gibi bilinen sanallaştırma satıcılarına karşı yerel MAC adresi öneklerini kontrol etmek de dahil olmak üzere keşif ve sistem numaralandırması gerçekleştirir. Bir sonraki aşamada mevcut tüm sürücüleri listeler ve gömülü yapılandırmaya göre şifrelenecek dosyaları belirler.
VolkLocker, Golang’ın “crypto/rand” paketi aracılığıyla şifreleme için Galois/Sayaç Modunda (GCM) AES-256’yı kullanır. Her şifrelenmiş dosyaya .locked veya .cvolk gibi özel bir uzantı atanır.
Bununla birlikte, test örnekleri üzerinde yapılan bir analiz, dolabın ana anahtarlarının yalnızca ikili dosyalar halinde sabit kodlanmakla kalmayıp, aynı zamanda kurban sistemindeki tüm dosyaları şifrelemek için de kullanıldığı ölümcül bir kusuru ortaya çıkardı. Daha da önemlisi, ana anahtar aynı zamanda %TEMP% klasöründeki (“C:\Users\AppData\Local\Temp\system_backup.key”) düz metin dosyasına da yazılır.
Bu yedek anahtar dosyası hiçbir zaman silinmediği için tasarım hatası kendi kendini kurtarmayı mümkün kılar. Bununla birlikte VolkLocker, tipik olarak bir fidye yazılımı türüyle ilişkilendirilen tüm özelliklere sahiptir. Kurtarma ve analizi engellemek için Windows Kayıt Defteri değişiklikleri yapar, birim gölge kopyalarını siler ve Microsoft Defender Antivirus ve diğer yaygın analiz araçlarıyla ilişkili işlemleri sonlandırır.
Bununla birlikte, öne çıkan nokta, kullanıcı klasörlerinin içeriğini silen bir yaptırım zamanlayıcısının kullanılmasıdır. Kurbanların 48 saat içinde ödeme yapmaması veya şifre çözme anahtarını üç kez yanlış girmesi durumunda Belgeler, Masaüstü, İndirilenler ve Resimler.
CyberVolk’un RaaS operasyonları Telegram aracılığıyla yönetiliyor ve potansiyel müşterilere Windows veya Linux sürümü için 800 ila 1.100 ABD Doları veya her iki işletim sistemi için 1.600 ila 2.200 ABD Doları arasında bir maliyete mal oluyor. VolkLocker yükleri, komut ve kontrol için yerleşik Telegram otomasyonuyla birlikte gelir ve kullanıcıların kurbanlara mesaj göndermesine, dosya şifre çözme işlemini başlatmasına, aktif kurbanları listelemesine ve sistem bilgileri almasına olanak tanır.
Kasım 2025 itibarıyla tehdit aktörleri, her biri 500 ABD doları değerinde olan bir uzaktan erişim trojanının ve keylogger’ın reklamını yaptı ve bu da para kazanma stratejilerinin genişlediğini gösteriyor.
CyberVolk, Haziran 2024’te kendi RaaS’ını başlattı. Rus hükümetinin çıkarlarını desteklemek için kamu ve devlet kurumlarına dağıtılmış hizmet reddi (DDoS) ve fidye yazılımı saldırıları gerçekleştirmesiyle bilinen bu saldırının Hindistan kökenli olduğuna inanılıyor.
Walter, “2025 yılı boyunca tekrarlanan Telegram hesap yasaklarına ve kanalların kaldırılmasına rağmen CyberVolk operasyonlarını yeniden kurdu ve hizmet tekliflerini genişletti” dedi. “Savunucular, CyberVolk’un Telegram tabanlı otomasyonu benimsemesini, siyasi motivasyonlu tehdit aktörleri arasındaki daha geniş eğilimlerin bir yansıması olarak görmeli. Bu gruplar, suç hizmetleri için uygun altyapı sağlayan platformlarda çalışırken, fidye yazılımı dağıtımının önündeki engelleri azaltmaya devam ediyor.”