Amb aquest llançament la banda prorussa s’allunya del seu origen hacktivista i es consolida com a grup de ciberdelinqüents.

Les darreres setmanes s’ha detectat el retorn de CyberVolk, un grup prorús que havia guanyat certa notorietat el 2024 i que, després d’un període de baixa activitat, torna a escena amb una nova família de programari de segrest (ransomware).

La reaparició d’aquesta banda confirma una tendència cada cop més habitual a l’ecosistema de les amenaces: actors que desapareixen, es reagrupen i reapareixen amb eines noves, però mantenint part de la seva identitat i discurs original.

CyberVolk va sorgir inicialment el 2024 com un col·lectiu de tall hacktivista, amb atacs dirigits contra organitzacions de països considerats hostils als interessos russos. Tot i això, la seva evolució cap al programari de segrest com a principal arma ofensiva va deixar clar que el component ideològic convivia -o directament es barrejava- amb un interès econòmic.

Aquesta dualitat continua present en aquesta nova etapa, en què el grup torna a operar sota un model de programari de segrest com a servei (RaaS) tot facilitant a tercers l’ús del seu programari maliciós.

El nou programari de segrest, conegut com a VolkLocker, ha estat descrit com una versió més agressiva i automatitzada de les seves campanyes anteriors. Segons les anàlisis, el programari maliciós està dissenyat per xifrar ràpidament arxius d’alt valor, i evita danyar el sistema operatiu per no inutilitzar per complet els equips compromesos.

Un xifratge barroer

Un dels aspectes més destacats d’aquest retorn és l’ús intensiu de Telegram com a plataforma de gestió. CyberVolk fa servir bots i canals per controlar infeccions, comunicar-se amb afiliats i, en alguns casos, gestionar la relació amb les víctimes.

Pel que fa als objectius, CyberVolk manté un perfil clarament orientat a sectors estratègics. Investigacions prèvies ja havien assenyalat atacs contra institucions científiques, organismes públics i operadors d’infraestructures crítiques. Aquest patró reforça la idea que el grup no actua únicament per lucre, sinó que cerca impacte operatiu i simbòlic, alineat amb una narrativa geopolítica concreta.

Tot i això, el rellançament de CyberVolk no està exempt de problemes tècnics. Investigadors de seguretat han detectat errors greus en la implementació criptogràfica de VolkLocker, inclosa la presència de claus de xifratge incrustades al mateix binari. Aquest tipus d’errors pot permetre, en determinats escenaris, la recuperació de les dades sense necessitat de pagar rescat, poc habitual en grups de programari de segrest més madurs.

Aquestes febleses plantegen dubtes sobre el grau de professionalització real del grup en aquesta nova etapa. Tot apunta a un desenvolupament apressat o a la incorporació d’afiliats amb menys experiència tècnica, cosa que encaixa amb un model RaaS més obert però també més irregular en termes de qualitat del codi maliciós (malware).