Ransomware‑ul livrat prin Telegram a revenit în atenție odată cu reapariția grupului pro‑rus CyberVolk, care a lansat un serviciu de tip ransomware ca serviciu (RaaS) numit VolkLocker. Oferta promite generarea rapidă a unui payload și gestionarea completă a atacului prin automatizări Telegram, fără a necesita cunoștințe tehnice avansate.
Ransomware în Telegram – cum funcționează VolkLocker
CyberVolk 2.x, cunoscut sub denumirea de VolkLocker, folosește Telegram nu doar pentru promovare, ci și pentru comandă și control (C2). Platforma permite afiliaților să creeze executabile pentru Windows și Linux prin introducerea unei adrese Bitcoin, a datelor unui bot Telegram și a unui chat, a unui deadline de criptare și a altor opțiuni. Printre funcțiile suplimentare se numără extensii de tip keylogger și RAT, vândute separat.
Greșeala care poate salva victimele – cheia păstrată în clar
Analiza SentinelOne a identificat o vulnerabilitate majoră în VolkLocker: cheia de criptare este hardcoded în binar și salvată în clar în folderul temporar (%TEMP%). Astfel, dacă fișierul de cheie este găsit, decriptarea poate fi realizată fără a plăti răscumpărarea. Această eroare provine aparent dintr-un artifact de debugging lăsat în build‑urile de producție.
Trendul RaaS și implicațiile pentru securitate
Reapariția CyberVolk evidențiază tendința de a reduce barierele de intrare pentru atacatori, prin utilizarea Telegram ca infrastructură completă pentru un serviciu RaaS. Principalele caracteristici observate includ:
– Prețuri pentru licențe Windows, Linux sau combo.
– Tarife separate pentru RAT și keylogger.
– Automatizări pentru suport și comunicare cu victimele.
Acest model arată că „ușurința de utilizare” nu garantează o implementare solidă, iar erorile de dezvoltare pot diminua eficacitatea ransomware‑ului.
Ransomware‑ul dezvoltat pe Telegram continuă să reprezinte o amenințare în evoluție, iar monitorizarea constantă a platformelor de comandă și a grupurilor de tip RaaS rămâne esențială pentru a detecta și a răspunde rapid la noi campanii. Informarea continuă și actualizarea mecanismelor de apărare contribuie la reducerea riscului de compromitere.
