Bots de Telegram, errores de programación y una nueva amenaza de ransomware: dentro de la saga VolkLocker

En el oscuro mundo del cibercrimen, pocos regresos son tan audaces - o tan propensos al error - como el de CyberVolk. Tras meses de silencio luego de una ofensiva contra canales hacktivistas pro-rusos, el grupo ha vuelto en 2025 con VolkLocker, una herramienta de ransomware como servicio (RaaS) que promete ganancias fáciles para afiliados - y una inesperada esperanza para las víctimas. Pero bajo la superficie, una mezcla de innovación técnica y errores flagrantes ha dejado a la escena del ransomware tanto alarmada como divertida.

Dentro del regreso de CyberVolk

El resurgimiento de CyberVolk marca el inicio de lo que los investigadores llaman la era “CyberVolk 2.x”. Su nueva arma, VolkLocker, es un ransomware multiplataforma diseñado pensando en la accesibilidad. Escrito en el versátil lenguaje de programación Go (Golang), puede compilarse para infectar tanto servidores Linux como escritorios Windows - lanzando una red amplia tanto para potenciales afiliados como para víctimas.

La innovación del grupo radica en su adopción de la automatización vía Telegram. Cada paso de la operación de ransomware - desde la incorporación de nuevos afiliados hasta la gestión de víctimas comprometidas - se realiza a través de un bot de Telegram dedicado llamado CyberVolk_Kbot. Los afiliados pueden emitir comandos como /decrypt y /status, monitorear infecciones y personalizar cada versión del ransomware ingresando detalles como direcciones de Bitcoin y plazos de cifrado. Este enfoque simplificado reduce drásticamente la barrera técnica para los criminales que buscan lucrar con el ransomware, sin necesidad de conocimientos de programación.

Trucos técnicos - y un fallo fatal

VolkLocker utiliza la técnica de bypass de Control de Cuentas de Usuario (UAC) “ms-settings” para obtener privilegios de administrador en Windows, luego realiza un reconocimiento para evitar cifrar archivos críticos del sistema o ser detectado en entornos virtuales. Cifra los datos del usuario usando AES-256 en modo Galois/Counter (GCM), un estándar robusto en teoría.

Pero, en un movimiento que ha sorprendido a los analistas, los desarrolladores codificaron la clave maestra de cifrado directamente en el binario del ransomware y también la escribieron en un archivo de texto plano (system_backup.key) en el directorio %TEMP%. Este error significa que cualquier infectado puede simplemente recuperar la clave y desbloquear sus archivos, sin necesidad de pagar el rescate. Para un grupo que busca profesionalizar y monetizar el ransomware, este es un error de principiante con consecuencias costosas.

Más allá del cifrado, VolkLocker persiste en las máquinas infectadas copiándose en múltiples ubicaciones y desactivando herramientas de seguridad como Windows Defender y el Administrador de Tareas. Elimina las copias sombra de volumen para impedir la recuperación de respaldos y, si se manipula, puede forzar una Pantalla Azul de la Muerte mediante la función NtRaiseHardError().

A pesar de estos tropiezos, CyberVolk está promocionando complementos como troyanos de acceso remoto (RATs) y keyloggers, con la esperanza de atraer a una nueva ola de clientes cibercriminales. Los investigadores advierten que el uso de Telegram como columna vertebral operativa señala una tendencia preocupante: actores motivados políticamente están fusionando el hacktivismo con el cibercrimen comercial a gran escala.

Conclusión

El debut de VolkLocker es una advertencia sobre la ambición que supera a la experiencia. Si bien su automatización y alcance multiplataforma son presagios de la evolución de la amenaza del ransomware, sus fallos críticos de diseño ofrecen un respiro poco común para las víctimas - al menos por ahora. A medida que grupos hacktivistas como CyberVolk difuminan las líneas entre política y lucro, una cosa está clara: la carrera armamentista del ransomware no se está desacelerando, pero incluso las mayores amenazas pueden tropezar con su propio código.

WIKICROOK: Glosario

Ransomware como Servicio (RaaS)

Modelo de negocio criminal en el que los desarrolladores de ransomware arriendan su malware a afiliados, quienes lo despliegan a cambio de una parte de las ganancias.

Golang

Lenguaje de programación de código abierto conocido por sus capacidades multiplataforma y eficiencia, popular en el desarrollo de malware moderno.

Bot de Telegram

Programas automatizados que funcionan dentro de la aplicación de mensajería Telegram, utilizados aquí para gestionar operaciones de ransomware y comunicaciones con afiliados.

AES-256 GCM

Estándar de cifrado avanzado con claves de 256 bits en modo Galois/Counter - un método de cifrado fuerte comúnmente usado para asegurar datos.

Pantalla Azul de la Muerte (BSOD)

Error crítico del sistema en sistemas operativos Windows que provoca que la computadora se bloquee y muestre una pantalla azul de error.