はじめに:新たなVolkLockerランサムウェアの脅威
2024年後半に初めてその存在が確認された親ロシア派ハクティビストグループ「CyberVolk」が、数ヶ月間の沈黙を破り、洗練されたRaaS(Ransomware-as-a-Service)「VolkLocker」と共に再び活動を開始しました。Telegramによる取り締まりで活動を一時休止していた同グループは、2025年8月にバージョン2.xとして再登場。この新バージョンは、Telegramを介した高度な自動化機能と、LinuxおよびWindowsシステムの両方を標的とするクロスプラットフォーム対応が特徴です。
VolkLockerの技術的特徴
VolkLockerはGolangで構築されており、複数のオペレーティングシステムでの互換性を実現しています。多くの競合するRaaSプラットフォームとは異なり、このマルウェアはネイティブな難読化機能を備えていないため、オペレーターはステルス性を高めるために手動でUPXパッキングを適用する必要があります。新しいペイロードを生成するには、アフィリエイトは以下の複数のパラメータを設定する必要があります。
- Bitcoinウォレットアドレス
- TelegramボットトークンID
- チャットID
- 暗号化期限
- カスタムファイル拡張子
- 自己破壊設定
攻撃手法と特権昇格
ランサムウェアは、まず特権昇格を試みることから攻撃を開始します。特に「ms-settings」UACバイパス技術を悪用し、HKCU\Software\Classes\ms-settings\shell\open\commandレジストリキーをハイジャックして、昇格された実行権限を獲得します。この技術は、MITRE ATT&CKフレームワーク識別子T1548.002に該当し、グループが確立された攻撃者戦術を遵守していることを示しています。
仮想環境の検出と回避
VolkLockerは、サンドボックス環境やセキュリティ分析ツールを識別するための高度な仮想マシン検出機能を組み込んでいます。マルウェアは、既知の仮想化ベンダーのMACアドレスプレフィックス(特にVMwareとOracle VirtualBox)と照合して環境を検出します。また、VirtualBoxおよびVMwareのインストールに関連するレジストリの場所を照会し、分析環境で動作しているかどうかを判断します。環境が検証されると、VolkLockerはA:からZ:までのすべての利用可能なドライブを列挙し、コードに埋め込まれた定義済みのパスと拡張子の除外フィルターを適用します。この選択的なターゲティングにより、システムの安定性を確保しつつ、価値あるユーザーデータに対する暗号化の影響を最大化します。
暗号化の仕組みと重大な脆弱性
ランサムウェアは、ファイルの暗号化にAES-256 GCM(Galois/Counter Mode)を採用しており、各ファイルの初期化ベクターにはランダムな12バイトのノンスを生成します。しかし、セキュリティ研究者らは、この操作の有効性を根本的に損なう重大な設計上の欠陥を特定しました。マルウェアは、バイナリ内にマスター暗号化キーを16進数文字列としてハードコードしており、さらに重要なことに、これらのキーを初期化時に%TEMP%\system_backup.keyに平文で書き込みます。このバックアップファイルには、被害者の固有の識別子、完全な64文字のマスター暗号化キー、および攻撃者のBitcoinアドレスが含まれています。ファイルには通常のディレクトリ一覧から隠すために「隠し」および「システム」属性が付与されていますが、その存在は被害者にとって単純な復号経路を提供してしまいます。この動作の原因となるbackupMasterKey()関数は、品質管理の課題を示唆しており、アフィリエイトを積極的に募集する中で、意図せず本番ビルドに含まれてしまったテストアーティファクトであると考えられます。
永続化メカニズムとシステム妨害
VolkLockerは、システムの復旧および分析機能を阻害するために広範なレジストリ変更を実装しています。マルウェアは、レジストリ操作とPowerShellコマンドの両方を通じて、Windows Defenderのリアルタイム監視、タスクマネージャー、レジストリエディター、コマンドプロンプト、および様々なシステム復旧機能を無効にします。また、taskkill.exeを使用して、Process Hacker、Process Explorer、タスクマネージャーなどのセキュリティ分析プロセスを終了させます。永続性のために、ランサムウェアはスタートアップフォルダー、パブリックドキュメント、ProgramData、およびTempディレクトリなど、複数のシステムロケーションに自身の同一コピーを作成します。これらのコピーは、svchost.exe、wlanext.exe、WindowsUpdate.exeといった正規のファイル名を装って偽装されます。
身代金要求と最終的なシステム破壊
VolkLockerは、デフォルトで48時間のカウントダウンタイマーを備えた動的なHTML形式の身代金要求ノート(cybervolk_ransom.html)を展開します。JavaScriptベースのタイマーは見た目だけのものであり、Golangのtime.After()関数を使用して独立した執行タイマーが動作します。期限が切れるか、設定された最大回数(デフォルト:3回)を超える誤った復号試行が行われると、ランサムウェアはSystemCorruptor()およびDestroySystem()関数をトリガーします。破壊メカニズムは、ユーザープロファイルからDocuments、Desktop、Downloads、Picturesフォルダーを削除し、vssadminを使用してボリュームシャドウコピーを削除し、最終的に10秒の遅延の後にNtRaiseHardError()を呼び出してブルースクリーンオブデス(Blue Screen of Death)を引き起こします。
CyberVolkの拡大する活動とサービス価格
ランサムウェア機能に加え、CyberVolkは2025年11月に、スタンドアロンのRAT(Remote Access Trojan)とキーロガーツールの提供を開始しました。価格モデルは、単一OSのRaaSライセンスで800ドルから1,100ドル、LinuxとWindowsの両方をサポートする組み合わせで1,600ドルから2,200ドルです。スタンドアロンのRATまたはキーロガーツールはそれぞれ500ドルで提供されており、複数のサービスを同時に購入する場合にはバンドル割引が適用されるとのことです。