Whitebird
Moderator
Dabei seit: 31.03.2009
Beiträge: 4.255
Herkunft: Aus dem Nichts, Nordsee/Ecke Ossiland!!!
 |
|
| Cybervolk verschlüsselt, lässt aber den Schlüssel zurück |
     |
Peinliche Ransomware-Panne:
Cybervolk verschlüsselt, lässt aber den Schlüssel zurück
Die Hackergruppe Cybervolk legt mit der eigenen Volklocker-Ransomware einen peinlichen Neustart hin. Viel Lösegeld dürfte so nicht ankommen.
12. Dezember 2025 um 10:50 Uhr / Marc Stöckel
Sicherheitsforscher von Sentinelone haben neue Aktivitäten einer prorussischen Ransomware-Gruppe namens Cybervolk aufgedeckt. Laut Blogbeitrag der Forscher betreibt die Gruppe eine Ransomware-as-a-Service-Operation mit einer eigenen in Golang geschriebenen Ransomware namens Volklocker. Die liefert allerdings zum Glück der Opfer den Entschlüsselungsschlüssel gleich mit – und das im Klartext.
Cybervolk machte den Angaben zufolge erstmals im Jahr 2024 auf sich aufmerksam. 2025 war es jedoch zunächst für mehrere Monate still um die Gruppe, nachdem Telegram gegen ihre Aktivitäten auf der Messaging-Plattform vorgegangen war. Seit August ist Cybervolk aber mit Volklocker wieder zurück.
Die Ransomware unterstützt laut Sentinelone sowohl Windows- als auch Linux-Systeme. Angriffe werden erneut über Telegram abgewickelt und automatisiert. Verschlüsselt wird symmetrisch mit AES-256 im Galois/Counter Mode (GCM). Die Ransomware geht alle auf dem Zielsystem verfügbaren Datenträger durch und verschlüsselt sämtliche Dateitypen, die nicht auf einer im Quellcode hinterlegten Ausschlussliste stehen (zum Beispiel .exe, .log oder .ini).
Schlüssel im Klartext zurückgelassen
Glücklicherweise lassen sich die Daten aber auch ohne Zahlung eines Lösegeldes einfach wieder entschlüsseln. Denn der sowohl für die Ver- als auch die Entschlüsselung genutzte Schlüssel wird nicht etwa von Volklocker dynamisch zur Laufzeit erzeugt, sondern ist in Form eines Master-Keys in den Binärdateien der Ransomware hinterlegt. Die Forscher sprechen diesbezüglich von einem "erheblichen Konstruktionsfehler".
Zudem wird der Schlüssel im Klartext in einer einfachen Textdatei in einem temporären Ordner auf dem Zielsystem abgelegt, zusammen mit der Bitcoin-Wallet-Adresse des Angreifers und einer ID für das attackierte Opfer. Diese Datei wird nach dem erfolgreichen Angriff nicht einmal gelöscht, so dass Betroffene den Master-Key leicht extrahieren und ihre Daten wieder entschlüsseln können.
Dies ist zwar ein recht kurioser, aber gewiss nicht der erste Fall, bei dem Sicherheitsforscher eine Schwachstelle in einer Ransomware entdeckten. Ende 2023 konnten Forscher von SRLabs beispielsweise aufgrund einer Lücke einen Decryptor für die Black-Basta-Ransomware bereitstellen. Die Entwickler der Ransomware besserten allerdings nach, so dass die Entschlüsselungsmethode der Forscher auf neuere Versionen von Black Basta nicht mehr anwendbar ist.
quelle: golem.de
__________________
Der frühe Vogel trinkt 'n Korn??? 
 Grüße von Whitebird
|
|
12.12.2025 16:23 |
|
|
Muad'Dib
.:.Carpe.Diem.:.
  
Dabei seit: 12.06.2007
Beiträge: 9.199
Herkunft: 51°N/11.5°E Jena/Thuringia
|
|
früher hiessen die Scriptkiddies....dann wurde es BIZ!!!
__________________
| Multifeed Triax Unique 3°e>28°e & motorized FiboStøp120/90/75/55 |
|| VU+ Solo 4K & Blindscan|Mio 4K|Denys H265|S3mini|X-xx0|DVB-Cards ||
Ich bremse nicht für Schnarchroboter. ®²º¹³ Muad'Dib
Alle meine posts stellen meine persönliche und freie Meinungsäußerung dar.
|
|
|
Gestern, 22:41 |
|
|
