أطلقت مجموعة القرصنة الإلكترونية الموالية لروسيا CyberVolk برنامج فدية كخدمة (RaaS) يسمى VolkLocker والذي عانى من عيوب خطيرة في التنفيذ، مما يسمح للضحايا بفك تشفير الملفات مجانًا.
وفقًا لباحثي SentinelOne الذين فحصوا عائلة برامج الفدية الجديدة، يستخدم برنامج التشفير مفتاحًا رئيسيًا مضمنًا في الملف الثنائي، والذي يتم كتابته أيضًا بنص عادي في ملف مخفي على الأجهزة المصابة.
وهذا يسمح للشركات المستهدفة باستخدام المفتاح لفك تشفير الملفات مجانًا، مما يقوض إمكانات VolkLocker في مجال الجرائم الإلكترونية.
القرصنة والجرائم الإلكترونية
سايبرفولك هو”http://www.sentinelone.com/labs/cybervolk-a-deep-dive-into-the-hacktivists-tools-and-ransomware-fueling-pro-russian-cyber-attacks/” الهدف=”_blank” rel=”nofollow noopener”> يقال مجموعة من نشطاء القرصنة المؤيدين لروسيا ومقرها الهند والتي بدأت عملياتها العام الماضي، حيث شنت هجمات موزعة لرفض الخدمة وبرامج الفدية ضد الكيانات العامة والحكومية التي تعارض روسيا أو تقف إلى جانب أوكرانيا.
وبينما تم تعطيل المجموعة على Telegram، عادت في أغسطس 2025 ببرنامج RaaS الجديد، VolkLocker (CyberVolk 2.x)، الذي يستهدف كلاً من أنظمة Linux/VMware ESXi وWindows.
إحدى الميزات المثيرة للاهتمام في VolkLocker هي استخدام وظيفة مؤقت Golang في الكود الخاص بها، والتي، عند انتهاء صلاحيتها أو عند إدخال مفتاح غير صحيح في ملاحظة برنامج فدية HTML، تؤدي إلى مسح مجلدات المستخدم (المستندات والتنزيلات والصور وسطح المكتب).
المصدر: سنتينل وان
يتكلف الوصول إلى RaaS ما بين 800 دولار و1100 دولار لبنية نظام تشغيل واحدة، أو 1600 دولار إلى 2200 دولار لكليهما.
يمكن للمشترين الوصول إلى روبوت الإنشاء على Telegram لتخصيص برنامج التشفير واستلام الحمولة النافعة التي تم إنشاؤها.
في نوفمبر 2025، بدأت نفس مجموعة التهديد في الإعلان عن حصان طروادة للوصول عن بعد ومسجل لوحة المفاتيح، وكلاهما بسعر 500 دولار لكل منهما.
المصدر: سنتينل وان
ضعف التشفير الحرج
يستخدم VolkLocker AES-256 في تشفير GCM (وضع Galois/Counter)، مع مفتاح رئيسي 32 بت مشتق من سلسلة سداسية عشرية مكونة من 64 حرفًا مضمنة في الملف الثنائي.
يتم استخدام رقم عشوائي مكون من 12 بايت كمتجه تهيئة (IV) لكل ملف، مما يؤدي إلى حذف الملف الأصلي وإلحاق امتداد الملف .locked أو .cvolk بالنسخة المشفرة.
تكمن المشكلة في أن VolkLocker يستخدم نفس المفتاح الرئيسي لتشفير جميع الملفات الموجودة على النظام الضحية، ويتم كتابة هذا المفتاح نفسه أيضًا في ملف نص عادي (system_backup.key) في المجلد %TEMP%.
“Since the ransomware never deletes this backup key file, victims could attempt file recovery by extracting the necessary values from the file,” يشرح SentinelOne.
“The plaintext key backup likely represents a test artifact inadvertently shipped in production builds.”
المصدر: سنتينل وان
في حين أن هذا الخلل قد يساعد أي ضحايا حاليين، فإن الكشف عن خلل التشفير في VolkLocker من المرجح أن يدفع الجهات الفاعلة في مجال التهديد إلى إصلاح الخلل ومنع إساءة استخدامه في المستقبل.
من الأفضل عدم الكشف عن عيوب برامج الفدية أثناء قيام جهة التهديد بتشغيل العملية، وبدلاً من ذلك مشاركتها بشكل خاص مع شركات إنفاذ القانون وشركات التفاوض بشأن برامج الفدية التي يمكنها”https://www.bleepingcomputer.com/news/security/researchers-secretly-helped-decrypt-zeppelin-ransomware-for-2-years/” الهدف=”_blank” rel=”nofollow noopener”> مساعدة الضحايا بشكل خاص.
اتصلت BleepingComputer بـSentinelOne للاستفسار عن قرارها بالكشف علنًا عن نقاط الضعف في VolkLocker، وأرسل المتحدث الرسمي التوضيح التالي:
“The reason we didn’t hesitate is that this isn’t a core encryption flaw but rather a testing artifact that’s inadvertently getting shipped to some production builds by incompetent operators and isn’t a reliable decryption mechanism beyond those cases. It’s more representative of the ecosystem that CyberVolk is trying to enable through this RaaS offering.” – المتحدث باسم SentinelOne
قم بتفكيك صوامع IAM مثل Bitpanda وKnowBe4 وPathAI
إن تعطل IAM لا يمثل مجرد مشكلة تتعلق بتكنولوجيا المعلومات – بل يمتد التأثير عبر عملك بالكامل.
يغطي هذا الدليل العملي سبب فشل ممارسات IAM التقليدية في مواكبة المتطلبات الحديثة، وأمثلة على ذلك “good” تبدو IAM وكأنها قائمة مرجعية بسيطة لبناء استراتيجية قابلة للتطوير.