Satclub-Thueringen (http://www.satclub-thueringen.de/index.php)
- Allgemeines (http://www.satclub-thueringen.de/board.php?boardid=38)
-- Off - Topic (http://www.satclub-thueringen.de/board.php?boardid=26)
--- Cybervolk verschlüsselt, lässt aber den Schlüssel zurück (http://www.satclub-thueringen.de/thread.php?threadid=36206)

Geschrieben von Whitebird am 12.12.2025 um 16:23:

  Cybervolk verschlüsselt, lässt aber den Schlüssel zurück

Peinliche Ransomware-Panne:
Cybervolk verschlüsselt, lässt aber den Schlüssel zurück
Die Hackergruppe Cybervolk legt mit der eigenen Volklocker-Ransomware einen peinlichen Neustart hin. Viel Lösegeld dürfte so nicht ankommen.
12. Dezember 2025 um 10:50 Uhr / Marc Stöckel


Sicherheitsforscher von Sentinelone haben neue Aktivitäten einer prorussischen Ransomware-Gruppe namens Cybervolk aufgedeckt. Laut Blogbeitrag der Forscher betreibt die Gruppe eine Ransomware-as-a-Service-Operation mit einer eigenen in Golang geschriebenen Ransomware namens Volklocker. Die liefert allerdings zum Glück der Opfer den Entschlüsselungsschlüssel gleich mit – und das im Klartext.

Cybervolk machte den Angaben zufolge erstmals im Jahr 2024 auf sich aufmerksam. 2025 war es jedoch zunächst für mehrere Monate still um die Gruppe, nachdem Telegram gegen ihre Aktivitäten auf der Messaging-Plattform vorgegangen war. Seit August ist Cybervolk aber mit Volklocker wieder zurück.

Die Ransomware unterstützt laut Sentinelone sowohl Windows- als auch Linux-Systeme. Angriffe werden erneut über Telegram abgewickelt und automatisiert. Verschlüsselt wird symmetrisch mit AES-256 im Galois/Counter Mode (GCM). Die Ransomware geht alle auf dem Zielsystem verfügbaren Datenträger durch und verschlüsselt sämtliche Dateitypen, die nicht auf einer im Quellcode hinterlegten Ausschlussliste stehen (zum Beispiel .exe, .log oder .ini).


Schlüssel im Klartext zurückgelassen

Glücklicherweise lassen sich die Daten aber auch ohne Zahlung eines Lösegeldes einfach wieder entschlüsseln. Denn der sowohl für die Ver- als auch die Entschlüsselung genutzte Schlüssel wird nicht etwa von Volklocker dynamisch zur Laufzeit erzeugt, sondern ist in Form eines Master-Keys in den Binärdateien der Ransomware hinterlegt. Die Forscher sprechen diesbezüglich von einem "erheblichen Konstruktionsfehler".

Zudem wird der Schlüssel im Klartext in einer einfachen Textdatei in einem temporären Ordner auf dem Zielsystem abgelegt, zusammen mit der Bitcoin-Wallet-Adresse des Angreifers und einer ID für das attackierte Opfer. Diese Datei wird nach dem erfolgreichen Angriff nicht einmal gelöscht, so dass Betroffene den Master-Key leicht extrahieren und ihre Daten wieder entschlüsseln können.

Dies ist zwar ein recht kurioser, aber gewiss nicht der erste Fall, bei dem Sicherheitsforscher eine Schwachstelle in einer Ransomware entdeckten. Ende 2023 konnten Forscher von SRLabs beispielsweise aufgrund einer Lücke einen Decryptor für die Black-Basta-Ransomware bereitstellen. Die Entwickler der Ransomware besserten allerdings nach, so dass die Entschlüsselungsmethode der Forscher auf neuere Versionen von Black Basta nicht mehr anwendbar ist.

quelle: golem.de


Geschrieben von Muad'Dib am 13.12.2025 um 22:41:

 

früher hiessen die Scriptkiddies....dann wurde es BIZ!!!


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH