Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Ransomware Ransomware VECT 2.0

Ransomware VECT 2.0

El Mezo el Ransomware
Traduir a:

L'operació ciberdelinqüent coneguda com a VECT 2.0 es presenta com a ransomware, però l'anàlisi tècnica mostra un comportament molt més proper a un esborrador de dades. Un defecte greu en la seva implementació de xifratge a les variants de Windows, Linux i ESXi fa que la recuperació de fitxers sigui impossible, fins i tot per als operadors darrere dels atacs.

Per a fitxers de més de 131 KB, que inclouen la majoria de dades crítiques per a l'empresa, el programari maliciós no proporciona xifratge recuperable. En canvi, destrueix permanentment les dades necessàries per a la restauració. Com a resultat, el pagament d'un rescat no ofereix cap camí realista per a la recuperació.

En cap incident de VECT 2.0, la negociació no s'hauria de considerar una estratègia de remediació. No hi ha cap desxifrador funcional per lliurar perquè la informació necessària per construir-ne un s'elimina durant l'execució. Les prioritats defensives s'haurien de centrar en còpies de seguretat fora de línia, plans de recuperació validats, contenció ràpida i resiliència empresarial.

Una operació RaaS creixent amb col·laboracions criminals

VECT es va llançar originalment com a programa Ransomware-as-a-Service (RaaS) el desembre de 2025 i des de llavors ha canviat de nom a VECT 2.0. El seu portal web fosc anuncia el model "Exfiltració / Xifratge / Extorsió", que indica un enfocament de triple extorsió.

Segons sembla, als nous afiliats se'ls cobra una quota d'inscripció de 250 dòlars en Monero (XMR). Tanmateix, els sol·licitants dels països de la Comunitat d'Estats Independents (CEI) n'estan exempts, cosa que suggereix un reclutament específic des d'aquesta regió.

El grup també ha format associacions amb BreachForums i el col·lectiu de pirateria informàtica TeamPCP. Aquesta cooperació sembla dissenyada per simplificar les operacions de ransomware, reduir les barreres per als nous afiliats i convertir les dades prèviament robades en armes per a futurs atacs.

La combinació de robatori de credencials a la cadena de subministrament, operacions d'afiliació organitzades i mobilització criminal basada en fòrums reflecteix un ecosistema de ransomware cada cop més industrialitzat.

El nombre de víctimes continua sent baix malgrat les afirmacions audaces

Malgrat una marca agressiva, el lloc web de filtracions de VECT 2.0 només enumera dues víctimes, ambdues presumptament compromeses a través d'atacs a la cadena de subministrament relacionats amb TeamPCP.

Inicialment, el grup va afirmar que utilitzava ChaCha20-Poly1305 AEAD, un mètode de xifratge autenticat més fort. Tanmateix, la revisió tècnica va trobar que l'ús d'un xifratge no autenticat més feble que mancava de protecció d'integritat, cosa que plantejava seriosos dubtes tant sobre la capacitat com sobre la credibilitat.

L’error de xifratge que destrueix les dades

El defecte més crític del programari maliciós rau en la manera com processa fitxers de més de 131.072 bytes. En lloc de xifrar de manera segura les dades recuperables, divideix cada fitxer gran en quatre blocs i xifra cada secció mitjançant nonces de 12 bytes generats aleatòriament.

Només el nonce final s'emmagatzema amb el fitxer xifrat. Els tres primers nonces, necessaris per desxifrar la major part del fitxer, es generen, s'utilitzen una vegada i es descarten permanentment. No es desen localment, no s'escriuen al registre ni s'envien a l'operador.

Com que el mètode ChaCha20-IETF requereix tant la clau correcta de 32 bytes com el nonce coincident per al desxifratge, les tres primeres quartes parts de cada fitxer afectat esdevenen irrecuperables. Això significa que VECT 2.0 funciona operativament com un netejador destructiu amagat darrere dels missatges de ransomware.

Variant de Windows: Funcions avançades, Execució feble

La versió de Windows és la que té més funcions i té com a objectiu:

  • Unitats locals, suports extraïbles i emmagatzematge de xarxa accessible
  • 44 eines de seguretat i depuració mitjançant comprovacions antianàlisi
  • Mecanismes de persistència del mode segur
  • Plantilles de script d'execució remota per a moviment lateral

Quan s'inicia amb --force-safemode, el programari maliciós configura el següent reinici en mode segur de Windows i afegeix la seva ruta executable al registre de Windows perquè s'executi automàticament després de reiniciar en un entorn de seguretat reduïda.

Curiosament, tot i que la variant de Windows conté mecanismes de detecció i evasió de l'entorn, aquestes rutines, segons sembla, mai es criden. Això pot permetre als defensors analitzar mostres sense desencadenar respostes furtives.

Les variants de Linux i ESXi amplien la superfície d’amenaces

La versió ESXi realitza comprovacions de geofencing i antidepuració abans d'iniciar el xifratge. També intenta el moviment lateral a través de SSH. La variant de Linux comparteix la mateixa base de codi que l'exemple ESXi però inclou menys capacitats.

Aquest suport multiplataforma dóna a VECT 2.0 un ampli potencial d'orientació contra entorns empresarials, especialment aquells que depenen de la virtualització i sistemes operatius mixtos.

La geolocalització inusual del CIS planteja preguntes

Abans de xifrar els sistemes, el programari maliciós comprova si s'està executant en un país de la CEI. Si és així, l'execució s'atura. Cal destacar que, segons s'informa, Ucraïna encara està inclosa en aquestes exclusions, un comportament poc freqüent, ja que molts grups de ransomware van eliminar Ucraïna de les llistes d'exempció de la CEI després del 2022.

S'han proposat dues explicacions probables:

  • El programari maliciós pot haver estat generat parcialment utilitzant models d'IA entrenats amb dades geopolítiques obsoletes.
  • Els desenvolupadors poden haver reutilitzat una base de codi de ransomware més antiga sense actualitzar la lògica regional.

Signes d’operadors inexperts

Tot i que VECT 2.0 es comercialitza com una amenaça multiplataforma refinada amb reclutament d'afiliats, associacions de cadena de subministrament i marca professional, l'execució tècnica explica una història diferent.

L'avaluació de seguretat suggereix que els operadors són més probablement actors d'amenaces novells que desenvolupadors de ransomware experimentats. No es pot descartar la possibilitat que parts del programari maliciós fossin produïdes o ajudades per codi generat per IA.

Avaluació de seguretat executiva

El VECT 2.0 demostra com un ransomware d'aspecte perillós encara pot tenir defectes tècnics. La seva infraestructura, les seves associacions i la seva marca creen la imatge d'una empresa criminal seriosa, però l'error en el disseny del xifratge soscava completament el model d'extorsió.

Per als defensors, la lliçó és clara: centrar-se en la resiliència, les còpies de seguretat, la segmentació i la resposta ràpida a incidents. En un atac VECT 2.0, el pagament no compra la recuperació, només segueix la destrucció.

Tendència

Més vist

Carregant...