- Cybervoke ha resurgido con un modelo de ransomware como servicio modificado, pero su cifrado está fundamentalmente roto.
- La clave de cifrado codificada de VolkLocker permite a las víctimas recuperar datos de forma gratuita, lo que debilita la operación
- El grupo opera completamente a través de Telegram y combina hacktivismo con actividad de ransomware con motivación financiera.
CyberVolk, un grupo hacktivista ruso que estuvo inactivo durante la mayor parte de 2025, está de regreso y ofrece a sus afiliados una versión actualizada de su modelo RaaS. Sin embargo, parece haber un enorme agujero estructural en el cifrador que hace que todo el modelo sea inocuo.
CyberVolk es un colectivo hacktivista prorruso relativamente joven que surgió en 2024. Toda la infraestructura del grupo está en Telegram, lo que facilita a los afiliados el proceso de bloquear archivos y exigir un rescate, incluso si no son muy expertos en tecnología.
Cuando la plataforma apuntó al grupo en 2024 y cerró algunos de sus canales, el grupo desapareció. Ahora ha vuelto, pero parece funcionar según el mismo principio: todo se gestiona a través de Telegram, y los clientes potenciales y las preguntas operativas se dirigen al bot principal.
Trabajadores de Google contra la guerra
La mayoría de los hacktivistas participan en ataques distribuidos de denegación de servicio (DDoS), ciberespionaje y robo de datos.
Cybervoke, sin embargo, ha añadido ransomware a la mezcla, lo que no deja claro si en realidad son hacktivistas o simplemente ciberdelincuentes con motivaciones financieras que se esconden detrás de una postura prorrusa. Así lo ha confirmado el investigador de ciberseguridad Sentinel One, cuyo último informe profundiza en el grupo y sus métodos.
El cifrador, VolkLocker, incluye automatización de Telegram integrada para comando y control, mientras que C2 es personalizable. “Algunos operadores de Cybervoke han publicado ejemplos que incluyen capacidades adicionales, como controles de registro de teclas”, explicaron los investigadores.
También tiene funciones que alertan a los operadores cuando se producen nuevas infecciones, como InfoStellar habilitado para Telegram. Cuando un host está infectado, se envía información básica del sistema y una captura de pantalla al chat de Telegram configurado.
Sin embargo, la clave de cifrado no se genera dinámicamente para la herramienta. Está codificado en binarios como una cadena hexadecimal, lo que permite a las víctimas recuperar todos los datos cifrados sin pagar una tarifa de extracción. SentinelOne cree que la clave probablemente se dejó allí por error, similar a cómo los desarrolladores de software legítimos a veces olvidan las contraseñas de sus productos, por lo que es un regreso irresistible para el grupo.
a través de Registro
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
