Оферта за отстъпка за множество лицензи
База данни за заплахи Ransomware VECT 2.0 рансъмуер

VECT 2.0 рансъмуер

До Mezo през Ransomwareг
Превод на:

Киберпрестъпната операция, известна като VECT 2.0, се представя като ransomware, но техническият анализ показва поведение, много по-близко до изтриване на данни. Сериозен недостатък в имплементацията на криптирането в варианти на Windows, Linux и ESXi прави възстановяването на файлове невъзможно, дори за операторите, стоящи зад атаките.

За файлове, по-големи от 131 KB, което включва повечето критични за предприятието данни, зловредният софтуер не осигурява възстановимо криптиране. Вместо това, той трайно унищожава данните, необходими за възстановяване. В резултат на това плащането на откуп не предлага реалистичен път за възстановяване.

При всеки инцидент, свързан с VECT 2.0, преговорите не трябва да се считат за стратегия за отстраняване на проблеми. Няма функционален декриптор, който да се достави, тъй като информацията, необходима за изграждането му, се елиминира по време на изпълнението. Защитните приоритети трябва да се съсредоточат върху офлайн архивиране, валидирани планове за възстановяване, бързо ограничаване на риска и устойчивост на бизнеса.

Разрастваща се RaaS операция с криминални партньорства

VECT първоначално стартира като програма за изнудване като услуга (RaaS) през декември 2025 г. и оттогава е преименувана на VECT 2.0. Порталът на тъмния уеб рекламира модела „Извличане / Криптоване / Изнудване“, сигнализирайки за троен подход на изнудване.

Според съобщенията, новите партньори се таксуват с входна такса от 250 долара в Monero (XMR). Кандидатите от страните от Общността на независимите държави (ОНД) обаче са освободени, което предполага целенасочено набиране на персонал от този регион.

Групата е сформирала партньорства и с BreachForums и хакерския колектив TeamPCP. Това сътрудничество изглежда е предназначено да опрости операциите с ransomware, да намали бариерите за нови партньори и да използва откраднати преди това данни като оръжие за по-нататъшни атаки.

Комбинацията от кражба на идентификационни данни от веригата за доставки, организирани партньорски операции и мобилизиране на престъпници чрез форуми отразява все по-индустриализирана екосистема от ransomware.

Броят на жертвите остава нисък въпреки смелите твърдения

Въпреки агресивния брандинг, сайтът за изтичане на информация на VECT 2.0 съобщава, че изброява само две жертви, като и двете са били компрометирани чрез атаки срещу веригата за доставки, свързани с TeamPCP.

Първоначално групата твърдеше, че използва ChaCha20-Poly1305 AEAD, по-силен метод за удостоверено криптиране. Техническият преглед обаче установи използването на по-слаб неудостоверен шифър, който не е защитен с целостност, което повдига сериозни съмнения както относно възможностите, така и относно надеждността.

Провалът в криптирането, който унищожава данните

Най-критичният недостатък на зловредния софтуер се крие в начина, по който обработва файлове, по-големи от 131 072 байта. Вместо сигурно криптиране на възстановими данни, той разделя всеки голям файл на четири части и криптира всяка секция, използвайки отделни произволно генерирани 12-байтови еднократни числа (nonce).

Само последният nonce се съхранява с криптирания файл. Първите три nonce-а, необходими за декриптиране на по-голямата част от файла, се генерират, използват се веднъж и се изтриват за постоянно. Те не се запазват локално, не се записват в системния регистър и не се изпращат на оператора.

Тъй като методът ChaCha20-IETF изисква както правилния 32-байтов ключ, така и съответстващия nonce за декриптиране, първите три четвърти от всеки засегнат файл стават невъзстановими. Това означава, че VECT 2.0 функционира оперативно като деструктивен wiper, скрит зад ransomware съобщения.

Вариант на Windows: Разширени функции, слабо изпълнение

Версията за Windows е най-богата на функции и е насочена към:

  • Локални устройства, сменяеми носители и достъпно мрежово хранилище
  • 44 инструмента за сигурност и отстраняване на грешки чрез антианализни проверки
  • Механизми за запазване в безопасен режим
  • Шаблони за скриптове за дистанционно изпълнение за странично движение

Когато се стартира с --force-safemode, зловредният софтуер конфигурира следващото рестартиране в безопасен режим на Windows и добавя пътя към изпълнимия си файл в системния регистър на Windows, така че да се стартира автоматично след рестартиране в среда с намалена сигурност.

Интересното е, че въпреки че вариантът за Windows съдържа механизми за откриване и избягване на среда, тези рутини никога не се извикват. Това може да позволи на защитниците да анализират проби, без да задействат скрити реакции.

Вариантите на Linux и ESXi разширяват повърхността на заплахите

Версията за ESXi извършва проверки за геозониране и анти-дебъгване, преди да започне криптирането. Тя също така прави опити за странично движение през SSH. Вариантът за Linux споделя същата кодова база като примерната версия на ESXi, но включва по-малко възможности.

Тази междуплатформена поддръжка дава на VECT 2.0 широк потенциал за насочване срещу корпоративни среди, особено тези, които разчитат на виртуализация и смесени операционни системи.

Необичайното CIS Geofencing повдига въпроси

Преди да криптира системи, зловредният софтуер проверява дали се изпълнява в страна от ОНД. Ако е така, изпълнението спира. Забележително е, че Украйна все още е включена в тези изключения, което е необичайно поведение, тъй като много групи за рансъмуер премахнаха Украйна от списъците с изключения в ОНД след 2022 г.

Предложени са две вероятни обяснения:

  • Зловредният софтуер може да е бил частично генериран с помощта на модели на изкуствен интелект, обучени върху остарели геополитически данни.
  • Разработчиците може да са използвали повторно по-стара кодова база за ransomware, без да актуализират регионалната логика.

Признаци на неопитни оператори

Въпреки че VECT 2.0 се представя като изпипана мултиплатформена заплаха с набиране на партньори, партньорства във веригата за доставки и професионален брандинг, техническото изпълнение разказва различна история.

Оценката на сигурността показва, че операторите са по-вероятно начинаещи злонамерени лица, отколкото опитни разработчици на ransomware. Не може да се изключи възможността части от зловредния софтуер да са били създадени или подпомогнати от генериран от изкуствен интелект код.

Оценка на сигурността на ръководителите

VECT 2.0 демонстрира как опасно изглеждащият ransomware все още може да бъде технически несъвършен. Неговата инфраструктура, партньорства и брандиране създават имиджа на сериозно престъпно начинание, но провалът в дизайна на криптирането подкопава изцяло модела на изнудване.

За защитниците урокът е ясен: фокусирайте се върху устойчивостта, архивирането, сегментирането и бързата реакция при инциденти. При атака VECT 2.0 плащането не купува възстановяване, а само следва унищожението.

Тенденция

Най-гледан

Зареждане...