概要:CyberVolkと「VolkLocker」の登場
親ロシア派のハクティビスト集団「CyberVolk」が、新しいRansomware-as-a-Service(RaaS)「VolkLocker」を発表しましたが、そのデビューは深刻な実装上の欠陥により躓きました。SentinelOneの研究者によると、このランサムウェアはバイナリにハードコードされたマスターキーを使用しており、さらにそのキーが感染したマシンの隠しファイルに平文で保存されていることが判明しました。これにより、被害者はファイルを無料で復号できる可能性があり、VolkLockerのサイバー犯罪市場における潜在能力を著しく損なっています。
重大な暗号化の弱点
VolkLockerはAES-256 GCM暗号化を採用していますが、その実装には致命的な欠陥がありました。すべてのファイル暗号化に同じマスターキーが使用され、このキーはターゲットシステムの%TEMP%フォルダ内にsystem_backup.keyというファイル名で平文で書き込まれていました。SentinelOneは、「ランサムウェアがこのバックアップキーファイルを削除しないため、被害者はファイルから必要な値を取り出すことでファイル復旧を試みることが可能」と説明しています。この平文キーのバックアップは、「誤って製品版に同梱されたテストアーティファクトである可能性が高い」と指摘されています。
VolkLockerの機能と提供モデル
VolkLockerは、Linux/VMware ESXiおよびWindowsシステムを標的としています。このランサムウェアの興味深い機能の一つは、Golangのタイマー機能の利用です。このタイマーが期限切れになるか、HTML形式の身代金メモに誤ったキーが入力されると、ユーザーのフォルダー(ドキュメント、ダウンロード、ピクチャ、デスクトップ)を消去する仕組みが作動します。
RaaSとしてのアクセス料金は、単一OSアーキテクチャで800ドルから1,100ドル、両方で1,600ドルから2,200ドルです。購入者はTelegram上のビルダーボットを通じて、カスタマイズされた暗号化プログラムとペイロードを受け取ることができます。さらに、CyberVolkは2025年11月以降、リモートアクセス型トロイの木馬とキーロガーをそれぞれ500ドルで販売していることも確認されています。
SentinelOneによる情報公開の背景
通常、現役で活動しているランサムウェアの脆弱性を公開することは推奨されず、法執行機関や交渉企業と非公開で共有されることが多いです。しかし、SentinelOneはVolkLockerの脆弱性を公に開示しました。BleepingComputerの問い合わせに対し、SentinelOneの広報担当者は次のように説明しています。「我々が躊躇しなかった理由は、これが核となる暗号化の欠陥ではなく、無能なオペレーターによって誤って製品ビルドに同梱されたテストアーティファクトであり、これらのケースを超えて信頼できる復号メカニズムではないからです。これは、CyberVolkがこのRaaS提供を通じて実現しようとしているエコシステムの象徴と言えます。」