Pro-Rusya hacktivist grubu CyberVolk, VolkLocker adını verdiği bir ransomware-as-a-service (RaaS) sunmaya başladı. Ancak, bu yeni ransomware ailesi ciddi uygulama hataları ile karşı karşıya kaldı ve bu durum, kurbanların dosyalarını ücretsiz olarak şifrelerini çözmelerine olanak tanıdı.
Hacktivizm ve Siber Suçlar
CyberVolk, bildirildiğine göre Hindistan merkezli pro-Rusya hacktivist bir kolektif. Bu grup, özellikle Rusya’ya karşı olan veya Ukrayna ile birlikte hareket eden kamu ve devlet kurumlarına yönelik dağınık hizmet reddi ve ransomware saldırıları düzenliyor. Grubun Telegram’da yaşadığı kesintinin ardından, 2025 Ağustos’unda yeni bir RaaS programı ile geri döndü ve hem Linux/VMware ESXi hem de Windows sistemlerini hedef aldı.
VolkLocker’ın ilginç bir özelliği, kodundaki Golang zamanlayıcı fonksiyonunun kullanılmasıdır. Bu fonksiyon, süresi dolduğunda veya HTML ransomware notunda yanlış bir anahtar girildiğinde kullanıcı klasörlerini (Belgeler, İndirilenler, Resimler ve Masaüstü) silmeye yönlendirir.
Ransomware Ücretleri
RaaS’a erişim, tek bir işletim sistemi mimarisi için 800 ila 1,100 dolar arasında, her ikisi için ise 1,600 ila 2,200 dolar arasında değişiyor. Alıcılara, encryptor’ı özelleştirmek ve oluşturulmuş yükü almak üzere Telegram’da bir yapılandırma botuna erişim sağlanıyor. 2025 Kasım’ında, aynı tehdit grubu, her biri 500 dolara satılan bir uzaktan erişim trojanı ve bir kayıt cihazı (keylogger) ilan etmeye başladı.
Kritik Kriptografi Zayıflığı
VolkLocker, AES-256 şifrelemesi kullanıyor. Ancak, şifreleme sürecinde kullanılan 32-bit anahtar, binary içinde sabit kodlanmış olarak yer almakta. Sistem üzerindeki tüm dosyalar için aynı anahtarın kullanılması ciddi bir güvenlik açığı oluşturuyor. Yetkisiz bir erişim sayesinde, %TEMP% klasöründe bulunan system_backup.key adındaki düz metin dosyası kurbanlar tarafından kullanılabilir.
Bu durum, “Bu ransomware bu yedek anahtar dosyasını asla silmediği için, kurbanlar dosya kurtarma girişiminde bulunabilir.” olarak açıklanmakta. SentinelOne’ın sözcüsü bu durumun, hatalı operatörlerin üretim yapılarına istemeden eklediği bir test parçası olduğunu vurguladı.
Zafiyetin Etkileri
Mevcut kurbanlar için bu zafiyet bir çözüm sunsa da, VolkLocker’ın kriptografik açığının ifşası, siber suçluları bu hatayı düzeltmeye teşvik edecektir. Ransomware zafiyetlerini açıklamak yerine, bu bilgileri gizli bir şekilde kanun enforsmanına ve kurbanları destekleyebilecek müzakere firmalarına iletmek daha iyi bir uygulama olarak kabul edilmektedir.
Sonuç olarak, CyberVolk’ın pozisyonunu zayıflatan bu kriptografi açığı, hackerların bu tür hataları önlemek için gerekli önlemleri almasına neden olacaktır. Bu tür olaylar, siber güvenlik alanında her gün daha da önemli bir hale gelen bilgilerin gizliliği ve bütünlüğü konusunu bir kez daha gündeme getiriyor. Siber suçlar ile mücadelede şifreleme yöntemlerinin güvenliği, sadece teknik bir zorunluluk değil, aynı zamanda etik bir sorumluluk haline gelmiştir.
