Die neue Ransomware „Volklocker“ der Gruppe Cybervolk sorgt aktuell für Schlagzeilen – und nicht nur aufgrund ihrer aggressiven Ausbreitung. Sicherheitsspezialisten weltweit untersuchen mit Hochdruck den Schadcode, der zwar bedrohlich wirkt, jedoch überraschende Schwächen offenbart. Was verbirgt sich hinter dieser Generation 2.0 der Erpressungssoftware – und was bedeutet das für die Zukunft der IT-Sicherheit?
Volklocker: Eine neue Bedrohung mit alten Konzepten
2025 wurde „Volklocker“ erstmals von einem CERT-Team in Estland gemeldet, nachdem mehrere öffentliche Einrichtungen zeitgleich von einer bisher unbekannten Ransomware kompromittiert wurden. Die Malware verschlüsselte lokale Dateien mit einer Curve25519-basierten ECDH-Schlüsselableitung und löste anschließend über ein eingebettetes TOR-Modul die Kommunikation mit dem Command-and-Control-Server (C2-Server) aus – ein bekanntes Muster moderner Ransomware.
Doch im Gegensatz zu High-End-Ransomware wie LockBit oder BlackCat wurde schnell klar: Hinter Cybervolk steckt eher Ambition als technologische Finesse. Reverse-Engineering-Analysen des niederländischen Instituts für Cybersicherheit Xellion Security zeigten Schwächen im Verschlüsselungsprozess der Software: Eine Fehlimplementierung des AEAD-Verfahrens (Authenticated Encryption with Associated Data) ermöglichte die Rekonstruktion von Master-Schlüsseln bei bestimmten Kombinationen von IVs (Initialization Vectors).
Dies macht „Volklocker“ zu einem willkommenen Untersuchungsobjekt für Sicherheitsexperten und verdeutlicht eine zentrale Lektion: Die bloße Adoption moderner Krypto ist nicht gleichbedeutend mit sicherer Implementierung.
Schwachstellen im Detail: Fehlerhafte Krypto und C2-Konzepte
Im Design der Payload zeigen sich gravierende Konfigurationsfehler und strukturelle Schwächen. Die C2-Kommunikation basiert auf einem statischen TOR-Setup: Weniger als fünf feste Onion-Adressen ohne Fallback-Struktur machen Volklocker vergleichsweise einfach blockierbar. Noch schwerwiegender ist die fehlerhafte „Failsafe“-Implementierung in der Löschroutine. Sollte ein Host sich vom Netz trennen oder bestimmte Dienste blockieren, löscht Volklocker willkürlich Systemdateien – jedoch ohne erfolgreiches Wipen. Das Resultat: teils unbrauchbare, aber nicht vollständig zerstörte Systeme und damit Ansätze für Datenwiederherstellung.
Darüber hinaus kritisierten Sicherheitsteams von ESET und Kaspersky, dass die Ransomware keine Sandbox-Erkennung verwendet und eindeutig in jeder Instanz dieselbe Build-ID trägt. Dies macht sie besonders gut erkennbar für heuristische Virenscanner.
Historischer Vergleich: Ransomware vor und nach 2020
Seit dem Auftauchen von CryptoLocker im Jahr 2013 hat sich Ransomware zu einem der bedeutendsten Cybersicherheitsrisiken entwickelt. Mit der Professionalisierung durch RaaS (Ransomware-as-a-Service) haben Gruppen wie REvil, Maze oder Conti hochentwickelte Toolkits entwickelt, inklusive Netzwerk-Lateral-Movement, Zero-Day-Ausnutzung und exfiltrierender Doppelerpressung.
Volklocker hingegen fällt durch seine Rückschrittlichkeit auf – ihre Architektur ähnelt eher der ersten Generation von Ransomware, als Verschlüsselung allein ausreichte. Als solches wirkt sie fast wie ein Hybrid: optisch professionell, inhaltlich jedoch angreifbar.
Cybervolk scheint auf einen psychologischen Effekt zu setzen: Bedrohung durch Präsentation statt technischer Überlegenheit. Dies unterstreicht auch die öffentliche Leakdrohung, die per Countdown angezeigt wird – real überprüfbare Exfiltrationsroutinen fehlen hingegen vollständig.
Aktuelle Marktanalyse: Boom des Ransomware-Markts trotz Schwächen
Laut der ENISA Threat Landscape 2024 stellt Ransomware weiterhin die größte einzelne Bedrohung für Unternehmen dar. 71 % aller von ENISA erfassten Cybersicherheitsvorfälle im Jahr 2023 beinhalteten zumindest einen Ransomware-Vektor.
Auch wenn Tools wie Volklocker technisch hinterherhinken, zeigt ihre Wirksamkeit (über 630 bestätigte Infektionen in Osteuropa im ersten Monat) die anhaltende Gefahr. Eine Studie von IBM X-Force aus 2024 zeigt zudem, dass 83 % der Unternehmen in Europa nicht über ein vollständiges Recovery-Konzept verfügen – eine alarmierende Zahl angesichts wachsender Erpressungswellen.
Was Sicherheitsexperten daraus lernen können
Ransomware-Kampagnen wie Volklocker zeigen, dass selbst fehlerhafte Tools gefährlich sein können, wenn sie die richtigen Opfer treffen. Daraus lassen sich mehrere wichtige Lehren ziehen:
- Implementieren Sie Zero-Trust-Modelle: Klassische Firewalls und Virenscanner reichen nicht mehr aus. Die Implementierung von Segmentierungsstrategien und kontextbasierten Zugriffskontrollen verhindert die schnelle Lateralbewegung von Ransomware im Netzwerk.
- Schulen Sie Mitarbeitende in Phishing-Prävention: Volklocker nutzt einfache Phishing-Mails mit ZIP-Anhängen als initialen Vektor. Schulungsprogramme sollten realistische Simulationen und Wiederholungseinheiten umfassen.
- Verifizieren Sie Backups durch Restore-Tests: Viele Unternehmen haben zwar Backups – aber diese sind oft nicht sauber isoliert oder überhaupt funktionsfähig. Monatliche Restore-Übungen sind hier essenziell.
Internationale Reaktionen und politische Bedeutung
Volklocker entstammt offenbar einer Gruppe mit russischsprachigen Hintergrund, auch wenn Cybervolk bislang keine direkte nationale Verbindung aufweist. Die EU-Behörde für Netz- und Informationssicherheit (ENISA) warnt dennoch: Die Professionalisierung kleiner Gruppen in Verbindung mit mangelhaften staatlichen Gegenmaßnahmen könnte zu „schnell eskalierenden Angriffswellen“ führen.
Die Reaktion der Politik fällt eher verschlafen aus. Während das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine technische Warnung ausgegeben hat, fehlen bislang konkrete Empfehlungen zur Prävention bei KRITIS-Infrastrukturen.
Der Wert offengelegter Schwachstellen für die Community
Die Analyse von Volklocker bietet der Sicherheitsgemeinschaft eine seltene Gelegenheit: Ein halbgar entwickelter Schädling, der dennoch reale Bedrohungspotenziale entfaltet, liefert konkrete Ansatzpunkte, wie Sicherheitslösungen gezielt auf Schwachstellen hin entwickelt werden können.
Zudem lässt sich beobachten, dass Open-Source-Communities rund um Tools wie IDA Pro oder Ghidra durch ihre Reverse-Engineering-Veröffentlichungen einen wesentlichen Beitrag zur Abwehr leisten. Die Veröffentlichung eines funktionalen Decryptors durch die polnische UniCERT-Initiative am 9. Dezember 2025 war ein Paradebeispiel für kollaborativen Fortschritt.
Fazit: Cybervolk ist keine Revolution – sondern eine wichtige Mahnung
Auch wenn Volklocker technisch nicht das Niveau führender Ransomware erreicht, zeigt ihr Auftauchen eindringlich, wie niedrig die Einstiegshürde ins digitale Erpressungsgeschäft mittlerweile liegt. Ihre Schwächen machen sie zu einem Paradebeispiel für schlechte Umsetzung – und gleichzeitig zu einem wertvollen Lernobjekt.
Für IT-Sicherheitsverantwortliche heißt das: Wachsamkeit, Analysebereitschaft und kontinuierliches Training bleiben der Schlüssel zum Schutz. Volklocker erinnert uns an ein fundamentales Prinzip der Cybersicherheit: Es sind nicht die komplexesten Bedrohungen, die den meisten Schaden anrichten – sondern jene, die unerkannt bleiben.
Welche Erfahrungen haben Sie mit neu auftauchenden Ransomware-Varianten gemacht? Diskutieren Sie mit der Community und teilen Sie Ihre Einschätzungen in den Kommentaren!
