Il ransomware VolkLocker rappresenta una delle più recenti minacce nel panorama della cybersecurity, sviluppato dal gruppo hacktivista pro-russo CyberVolk. Questo ransomware-as-a-service, emerso nell’agosto 2025, è progettato per colpire sia sistemi Windows che Linux ed è scritto nel linguaggio Golang, noto per la sua efficienza e portabilità. Gli operatori che desiderano creare nuovi payload VolkLocker devono fornire specifiche informazioni come indirizzo Bitcoin, token e chat ID Telegram, deadline per la cifratura, estensione desiderata dei file cifrati e opzioni di autodistruzione.
Peculiarità tecniche di VolkLocker
Una delle peculiarità tecniche di VolkLocker è l’utilizzo dell’algoritmo AES-256 in modalità Galois/Counter Mode (GCM) per cifrare i file delle vittime. Ogni file cifrato riceve un’estensione personalizzata come .locked o .cvolk. Tuttavia, un errore importante nella fase di implementazione ha reso VolkLocker facilmente aggirabile: le chiavi master sono hard-coded all’interno dei campioni binari analizzati e vengono utilizzate per cifrare tutti i file delle vittime. Inoltre, questa chiave viene salvata in chiaro in un file di backup all’interno della cartella TEMP del sistema, rendendo possibile la decifrazione gratuita senza pagare alcun riscatto.
Caratteristiche e comportamento del ransomware
Nonostante questa grave vulnerabilità, VolkLocker mantiene tutte le caratteristiche di un ransomware moderno: modifica il registro di Windows per ostacolare il recupero e l’analisi dei sistemi compromessi, elimina le shadow copies e termina processi legati a software antivirus e strumenti di analisi. Un aspetto distintivo è l’introduzione di un timer di enforcement: se la vittima non paga entro 48 ore o inserisce il codice di sblocco sbagliato per tre volte, il ransomware cancella il contenuto delle cartelle utente principali, come Documenti, Desktop e Download.
Gestione e automazioni su Telegram
Le attività di CyberVolk sono gestite via Telegram, con prezzi che variano dagli 800 ai 2.200 dollari a seconda della versione e delle funzionalità richieste. VolkLocker integra automazioni Telegram per il comando e controllo, permettendo agli operatori di comunicare con le vittime, avviare la decifrazione dei file e ricevere informazioni dettagliate sul sistema infetto.
Espansione dell’offerta e resilienza del gruppo
Nel novembre 2025, CyberVolk ha ampliato la propria offerta includendo anche trojan di accesso remoto e keylogger, confermando una strategia di monetizzazione sempre più diversificata. Nonostante i frequenti ban su Telegram, il gruppo riesce a ricostruire rapidamente i propri canali, facilitando la diffusione dei propri strumenti e abbassando le barriere per la distribuzione di ransomware anche a chi ha poche competenze tecniche.
