CyberVolk-Ransomware ist zurück: VolkLocker läuft komplett über Telegram und speichert den Master-Key im Klartext.
CyberVolk-Ransomware feiert ihr Comeback. Die Akteure sind moderner aufgestellt denn je, allerdings mit einem fatalen Patzer. Das neue VolkLocker-RaaS wird per Telegram gesteuert und legt Opfern unter Umständen sogar den Entschlüsselungs-Key mit ab.
Ein Comeback mit Eigentor
Wie SentinelOne aktuell informiert, meldet sich die CyberVolk-Ransomware zurück. Nach Monaten der Stille, ausgelöst durch wiederholte Telegram-Sperren, ist die pro-russische Hacktivist- und Crimeware-Gruppierung seit August 2025 wieder aktiv. Ihr neues Flaggschiff ist VolkLocker, ein Ransomware-as-a-Service-Angebot, das sich vollständig über Telegram bedienen lässt.
Die professioneller Weiterentwicklung entpuppt sich jedoch bei genauerem Hinsehen als gefährlicher Spagat zwischen Automatisierung und konzeptionellen Schwächen. Ausgerechnet bei der Schlüsselverwaltung patzt die CyberVolk-Ransomware auf spektakuläre Weise.
CyberVolk-Ransomware setzt auf Telegram
VolkLocker ist kein klassisches Untergrund-Forum-Projekt mehr. Stattdessen läuft bei der CyberVolk-Ransomware nahezu alles über Telegram wie die Payload-Erstellung, die Opferverwaltung, die Kommunikation und sogar Support für Affiliates. Ein Bot-Menü ersetzt technische Kenntnisse und ist damit ideal für wenig versierte Mitstreiter.
Affiliates müssen beim Bau eines Schädlings lediglich Basisdaten eingeben wie Bitcoin-Adresse, Telegram-Bot-Token, Chat-ID, Deadline, Dateiendung und Selbstzerstörungsoptionen. Wenige Klicks später ist die Ransomware einsatzbereit. Genau diese niedrige Einstiegshürde macht CyberVolk gefährlich, nicht wegen technischer Raffinesse, sondern wegen seiner Skalierbarkeit.
Technische Basis: Solide, aber nicht versteckt
Die Payloads der CyberVolk-Ransomware sind in Golang geschrieben und existieren für Windows und Linux. Die Standard-Builds kommen ohne Obfuskation. Statt integrierter Verschleierung wird empfohlen, die Binärdateien manuell mit UPX zu packen, ein eher unprofessioneller Ansatz im Vergleich zu etablierten RaaS-Plattformen.
Nach dem Start versucht VolkLocker, sich höhere Rechte zu verschaffen, unter anderem über einen bekannten UAC-Bypass. Anschließend prüft die Malware, ob sie in einer virtuellen Umgebung läuft, indem sie MAC-Adressen und Registry-Artefakte bekannter VM-Hersteller abfragt.
Verschlüsselung auf dem Papier korrekt …
Bei der eigentlichen Verschlüsselung nutzt die CyberVolk-Ransomware AES-256 im GCM-Modus. Für jede Datei wird ein zufälliger Initialisierungsvektor erzeugt, anschließend erhält die verschlüsselte Datei eine neue Endung wie .locked oder .cvolk. Das erscheint zunächst sauber, wäre da nicht ein entscheidendes Detail.
… doch der Schlüssel liegt im Klartext
VolkLocker generiert keine individuellen Schlüssel pro Opfer oder Datei. Stattdessen ist ein Master-Key fest im Binary hinterlegt. Noch schlimmer ist dabei, dass dieser Schlüssel zusätzlich unverschlüsselt in einer Datei im temporären Verzeichnis abgelegt wird. Die Datei enthält:
- eine Opfer-ID
- den vollständigen Master-Key
- die Bitcoin-Adresse der Angreifer
Die CyberVolk-Ransomware löscht diese Datei nicht. Wie Jim Walter, Senior Threat Researcher bei SentinelOne, in sinem am Donnerstag veröffentlichten Bericht darlegt, ermöglicht dieser Designfehler Opfern unter Umständen, ihre verschlüsselten Daten wiederherzustellen, ohne auf die Lösegeldforderung einzugehen. Die Sicherheitsforscher gehen davon aus, dass es sich um ein vergessenes Debug-Feature handelt, das versehentlich in produktive Builds geraten ist. Ein Anfängerfehler mit massiven Folgen.
Kein Grund zur Entwarnung
So peinlich der Klartext-Key auch ist, die CyberVolk-Ransomware bleibt gefährlich. VolkLocker manipuliert Registry-Einstellungen, deaktiviert Sicherheitsfunktionen, blockiert Analyse-Tools und sorgt für Persistenz durch mehrere Kopien im System.
Läuft ein interner Timer ab oder wird mehrfach ein falscher Entschlüsselungs-Key eingegeben, löscht die Malware gezielt Benutzerordner, entfernt Schattenkopien und provoziert einen Bluescreen. Das Verhalten erinnert eher an einen Wiper als an klassische Ransomware.
Billig-RaaS mit Expansionsdrang
CyberVolk beschränkt sich nicht mehr nur auf Verschlüsselungstrojaner. Seit November 2025 bewerben die Betreiber zusätzlich eigenständige Remote-Access-Trojaner (RATs) und Keylogger zu Preisen deutlich unter dem Marktdurchschnitt.
Für den Zugriff auf die Ransomware-as-a-Service-Plattform verlangen die Akteure je nach Zielumgebung zwischen 800 und 1.100 US-Dollar (zwischen ca. 684 und 941 Euro) für ein einzelnes Betriebssystem oder1.600 bis 2.200 US-Dollar (zwischen ca. 1.369 und 1.882 Euro) für kombinierte Linux- und Windows-Varianten. Separate RAT- oder Keylogger-Werkzeuge werden jeweils für rund 500 US-Dollar (ca. 428 Euro) angeboten. Nach Informationen von SentinelOne locken die Anbieter zudem mit Paketpreisen für Kunden, die mehrere Dienste gleichzeitig buchen.
Die Strategie folgt dem Prinzip Masse statt Klasse. Die CyberVolk-Ransomware soll einfach nutzbar, günstig und schnell einsatzbereit sein, auch wenn die Qualität dabei leidet.
CyberVolk-Ransomware: Peinlicher Fehler, ernstes Warnsignal
Dass die CyberVolk-Ransomware ihren eigenen Entschlüsselungs-Key mitliefert, ist ein seltener Glücksfall für Betroffene. Dennoch bleibt der eigentliche Trend beunruhigend: Telegram senkt die Einstiegshürden, kriminelle Akteure professionalisieren ihre Infrastruktur und selbst fehlerhafte Schadsoftware kann massiven Schaden anrichten.
Wer jetzt noch über den Fehler lächelt, sollte bedenken, dass der nächste Build diesen Fehler nicht mehr enthalten dürfte. Dann bleibt von VolkLocker nur noch das, was CyberVolk eigentlich liefern wollte, nämlich klassische Erpressung inklusive hoher Lösegeldforderungen.
