CyberVolkが新RaaSとともに8月に復活も、マスターキーを平文で保存するミス

佐々山 Tacos

2025.12.12

ロシアハッカーCyberVolkが新RaaSとともに8月に復活も、マスターキーを平文で保存するミス犯す

The Register – Thu 11 Dec 2025

親ロシア派ハクティビストグループCyberVolkが数か月間の沈黙を破り、新たなランサムウェアサービスとともに復活を遂げている。このランサムウェアの詳細について、SentinelOneが報告した。

CyberVolkは2024年に初めて文書化されたグループで、日本の組織への恐喝を行ったことでも知られる。DDoS攻撃も実施するものの、それに加えてランサムウェアも使用する点がその他のハクティビスト集団と異なっていた。また、CyberArmyofRussia_RebornやNoName057(16)などの政治的動機を持つグループがロシア軍参謀本部情報総局（GRU）およびプーチン大統領との繋がりを指摘されている一方で、CyberVolkはロシア政府との直接の結びつきを持たないものとみられる点も特徴的とされる。

SentinelOneによれば、CyberVolkは2025年の大部分を「休眠状態」で過ごしていたとされるが、8月に新たなRaaS（ランサムウェア・アズ・ア・サービス）オペレーションとともに活動を再開させたという。

新たなRaaSは「VolkLocker」（CyberVolk 2.x）と称され、Goで作成されている。Linux版とWindows版が用意されており、どちらか一方のみを購入する場合の価格は800〜1,100米ドル、両方を併せて購入する場合は1,600〜2,200米ドル。いずれのペイロードにも、C2用にビルトインのTelegramオートメーションが付属しているという。

新たなペイロードの生成やランサムウェア攻撃の実施は、Telegramを通じて実行可能。またデフォルトのTelegram C2は感染した被害者へのメッセージ送信、ファイル復号の開始、アクティブな被害者のリストアップ、特定の被害者へのメッセージ送信、被害者システム情報の取得など複数のコマンドに対応しており、すべてのオペレーションがTelegramで完結するようになっている。

しかしSentinelOneによれば、このようなTelegram自動化を通じた「一歩前進」を見せる一方で、CyberVolkは「一歩後退」してもいるという。この「後退」とは、ハードコードされたマスターキーをそのまま放置するというミスに関して言及したもの。これにより、被害者は身代金を支払わずとも自ら暗号化されたファイルを回復できるようになっている。

CyberVolk 2.xランサムウェアはまず、被害者システムに展開されると必要に応じて権限を昇格させ、Windowsのユーザアカウント制御（UAC）をバイパスして管理者レベルの権限でマルウェアを実行。その後、除外リストに基づいて暗号化するファイルを決定すると、GCMモードでAES-256を使ってファイルを暗号化する。しかし同ランサムウェアは暗号鍵を動的に生成するのではなく、16進数の文字列としてハードコードしており、さらに、完全なマスターキーを平文で書き出したファイルを「%TEMP%」フォルダに保存しているという。

SentilenOneはこのミスについて、テスト用のものが誤って本番ビルドに含まれてしまったのではないかと推測。「CyberVolkの運営陣は、アフィリエイトが『backupMasterKey()』関数を埋め込んだままのビルドを配布していることに気付いていない可能性がある」と述べた。

マスターキーに関する不手際があったとはいえ、SentilenOneの研究者は、ネットワーク防御側は「CyberVolkがTelegramベースの自動化を採用している点を、政治的動機を持つ脅威アクター全体に見られる、より広範なトレンドの表れとして捉えるべきだ」と指摘。こうしたグループによりランサムウェア展開の障壁は下がり続けているとの見解を示した。なお、これまでに感染した被害者の数など、CyberVolkの新たなRaaSの規模に関する情報は現時点で明かされていない。