Debut Ransomware CyberVolk Tersandung Celah Kriptografi Fatal
Kelompok hacktivis pro-Rusia bernama CyberVolk mengalami kegagalan serius dalam debut layanan ransomware-as-a-service (RaaS) mereka yang diberi nama VolkLocker. Analisis terbaru mengungkap bahwa ransomware tersebut memiliki kelemahan kriptografi mendasar yang memungkinkan korban memulihkan file terenkripsi tanpa membayar tebusan.
Temuan ini diungkap oleh peneliti SentinelOne yang meneliti keluarga ransomware baru tersebut. Mereka menemukan bahwa mekanisme enkripsi VolkLocker menggunakan kunci master yang ditanam langsung di dalam binary ransomware. Lebih parah lagi, kunci tersebut juga disimpan dalam bentuk teks biasa di sebuah file tersembunyi pada sistem korban.
Kondisi ini membuka peluang bagi organisasi yang terdampak untuk mengekstrak kunci tersebut dan mendekripsi file mereka secara gratis, sekaligus merusak kredibilitas VolkLocker sebagai alat kejahatan siber yang efektif.
Dari Hacktivisme ke Kejahatan Siber Terorganisir
CyberVolk dikenal sebagai kelompok hacktivis berbasis di India yang mendukung Rusia. Sejak mulai beroperasi tahun lalu, kelompok ini melancarkan berbagai serangan siber, termasuk serangan DDoS dan ransomware, terhadap lembaga publik dan pemerintahan yang dianggap berseberangan dengan Rusia atau mendukung Ukraina.
Meski sempat terganggu aktivitasnya di Telegram, CyberVolk kembali muncul pada Agustus 2025 dengan meluncurkan VolkLocker versi terbaru yang menargetkan sistem Linux, VMware ESXi, dan Windows. Model RaaS ini ditawarkan dengan biaya ratusan hingga ribuan dolar, lengkap dengan bot pembuat payload yang dapat dikustomisasi oleh pembeli.
Salah satu fitur VolkLocker yang cukup mencolok adalah penggunaan fungsi timer berbasis Golang. Ketika waktu habis atau korban memasukkan kunci dekripsi yang salah pada catatan tebusan berbasis HTML, ransomware akan menghapus folder pengguna penting seperti Dokumen, Unduhan, Gambar, dan Desktop.
Kelemahan Kriptografi yang Menggugurkan Ancaman
Secara teknis, VolkLocker menggunakan algoritma AES-256 dalam mode GCM untuk mengenkripsi file. Setiap file diproses dengan nonce acak sebagai vektor inisialisasi, lalu file asli dihapus dan digantikan dengan versi terenkripsi berekstensi khusus.
Namun, kesalahan fatal terletak pada penggunaan satu kunci master yang sama untuk seluruh file dalam satu sistem. Kunci tersebut tidak hanya tertanam di dalam binary, tetapi juga disimpan dalam file cadangan bernama system_backup.key di direktori sementara sistem, tanpa pernah dihapus oleh ransomware.
SentinelOne menjelaskan bahwa file cadangan ini kemungkinan merupakan artefak pengujian yang secara tidak sengaja ikut disertakan dalam versi produksi. Akibatnya, korban dapat memanfaatkan file tersebut untuk memulihkan data mereka tanpa harus bernegosiasi dengan pelaku.
Dampak dan Kontroversi Pengungkapan
Meski kelemahan ini berpotensi membantu korban yang sudah terinfeksi, pengungkapan publik terhadap celah kriptografi ransomware kerap menuai perdebatan. Dalam banyak kasus, informasi semacam ini dapat mendorong pelaku memperbaiki kesalahan mereka dan membuat ransomware menjadi lebih berbahaya di masa depan.
Menanggapi hal tersebut, SentinelOne menyatakan bahwa kelemahan ini bukanlah cacat kriptografi inti, melainkan kesalahan implementasi akibat kelalaian operator. Menurut mereka, temuan ini justru mencerminkan rendahnya kualitas ekosistem kejahatan siber yang coba dibangun CyberVolk melalui layanan RaaS mereka.
