VolkLocker Ransomware ve Güvenlik Açıkları
Pro-Rus hacktivist grubu CyberVolk tarafından geliştirilen VolkLocker, kullanıcılara dosyalarını şifreleme tehdidinde bulunarak rüşvet talep eden bir ransomware-as-a-service (RaaS) çözümüdür. Ancak yapılan analizler, bu yazılımın ciddi güvenlik açıkları içerdiğini ortaya koymuştur. Özellikle, şifreleme işlemlerinde kullanılan anahtarların binlerce kullanıcı tarafından yanlışlıkla erişbirliği sağlanabilmektedir.
VolkLocker’ın Teknik Yapısı
VolkLocker, Ağustos 2025’te ortaya çıkmış olup, hem Windows hem de Linux sistemlerini hedef alabilmektedir. Golang dilinde yazılmıştır. Operatörler, yeni payload’lar oluştururken bir dizi bilgi sağlamak zorundadır; bu bilgiler arasında bitcoin adresi, Telegram bot token’ı, zamanlama ve dosya uzantısı bulunmaktadır.
Ransomware, başlatıldığında yetki yükseltme işlemleri yapar ve sistem üzerinde keşif çalışmaları gerçekleştirir. Bu aşamada mevcut sürücüleri listeleyerek hangi dosyaların şifreleneceğini belirler. AES-256 Galois/Counter Mode (GCM) kullanılarak şifreleme yapılır ve her şifreli dosya, özel bir uzantı (örneğin, .locked) ile kaydedilir.
Güvenlik Açıkları ve Olası Çözümler
VolkLocker üzerinde yapılan bir analizde, yazılımın anahtarlarının hard-coded (şifreli anahtarların doğrudan gömülü olduğu) olduğu ve %TEMP% klasöründe düz metin olarak saklandığı tespit edilmiştir. Bu durum, kötü niyetli kullanıcıların dosyaları şifrelenmiş olsa bile geri kazanım yapmasını mümkün kılmaktadır; çünkü dosyalar yalnızca belirlenen anahtar kullanılarak açılabilmektedir.
Ayrıca, ransomware, kullanıcıların önemli dosyalarını 48 saat içinde ödeme yapmadıkları veya yanlış şifre girdikleri takdirde silmekle tehdit etmektedir. Bu özellik, verilerin kaybına yol açabilir ve kurbanlarda paniğe yol açabilir.
Telegram Tabanlı Operasyon Modeli
CyberVolk’ın RaaS operasyonları, Telegram üzerinden yönetilmektedir. Müşteriler, VolLocker’ın Windows veya Linux sürümünü 800-1,100 dolar arasında bir fiyat aralığıyla satın alabilirler. Her iki sistem için fiyat ise 1,600-2,200 dolar arasında değişmektedir. Bu yapı, Telegram otomasyonu sayesinde kullanıcıların kurbanlarla etkileşim kurmasını ve dosya şifreleme işlemlerini başlatmasını sağlamaktadır.
November 2025 itibarıyla, CyberVolk ayrıca uzaktan erişim trojanı ve keylogger gibi diğer kötü amaçlı yazılımları da piyasaya sürmektedir. Bu durum, grubun para kazanma stratejisinin genişlediğini göstermektedir.
Sonuç ve Öneriler
CyberVolk’ın bu kötü amaçlı yazılımı, ransomware saldırganlarının nasıl geliştiğinin ve yeni yollar denediğinin bir örneğidir. Bu tür tehditlerle başa çıkabilmek için, bireyler ve kurumlar, düzenli veri yedeklemeleri yapmalı ve güncel bir güvenlik yazılımı kullanmalıdır. Ayrıca, sosyal mühendislik saldırılarına karşı dikkatli olmak, olası saldırılara karşı alınacak en iyi önlemlerden biridir.
