Ransomware VECT 2.0
Kyberzločinná operace známá jako VECT 2.0 se prezentuje jako ransomware, ale technická analýza ukazuje chování mnohem bližší vymazání dat. Závažná chyba v implementaci šifrování napříč variantami pro Windows, Linux a ESXi znemožňuje obnovu souborů, a to i pro operátory stojící za útoky.
U souborů větších než 131 KB, což zahrnuje většinu kritických podnikových dat, malware neposkytuje obnovitelné šifrování. Místo toho trvale ničí data potřebná k obnovení. V důsledku toho platba výkupného nenabízí žádnou realistickou cestu k obnově.
V žádném případě incidentu VECT 2.0 by vyjednávání nemělo být považováno za strategii nápravy. Neexistuje žádný funkční dešifrovací nástroj, který by bylo třeba dodat, protože informace potřebné k jeho vytvoření jsou během provádění eliminovány. Obranné priority by se měly zaměřit na offline zálohy, ověřené plány obnovy, rychlé omezení a odolnost podniku.
Obsah
Rostoucí provoz RaaS s kriminálními partnerstvími
VECT byl původně spuštěn jako program Ransomware-as-a-Service (RaaS) v prosinci 2025 a od té doby se přejmenoval na VECT 2.0. Jeho portál na dark webu propaguje model „Exfiltrace / Šifrování / Vydírání“, což signalizuje trojitý přístup vydírání.
Noví partneři údajně platí vstupní poplatek 250 dolarů v emisích Monero (XMR). Žadatelé ze zemí Společenství nezávislých států (SNS) jsou však od této povinnosti osvobozeni, což naznačuje cílený nábor z tohoto regionu.
Skupina také navázala partnerství s BreachForums a hackerským kolektivem TeamPCP. Tato spolupráce zřejmě má za cíl zjednodušit operace s ransomwarem, snížit překážky pro nové partnery a využít dříve ukradená data k dalším útokům.
Kombinace krádeží přihlašovacích údajů v dodavatelském řetězci, organizovaných operací s přidruženými společnostmi a mobilizace zločinců na fórech odráží stále více industrializovaný ekosystém ransomwaru.
Počet obětí zůstává nízký navzdory odvážným tvrzením
Navzdory agresivnímu brandingu uvádí úniková stránka VECT 2.0 údajně pouze dvě oběti, obě údajně napadené útoky na dodavatelský řetězec souvisejícími s TeamPCP.
Skupina původně tvrdila, že používá ChaCha20-Poly1305 AEAD, silnější ověřenou šifrovací metodu. Technická kontrola však zjistila použití slabší neověřené šifry, která postrádá ochranu integrity, což vyvolává vážné pochybnosti o jejích schopnostech i důvěryhodnosti.
Selhání šifrování, které ničí data
Nejzávažnější chyba malwaru spočívá ve způsobu, jakým zpracovává soubory větší než 131 072 bajtů. Místo bezpečného šifrování obnovitelných dat rozděluje každý velký soubor na čtyři části a šifruje každou sekci pomocí samostatných náhodně generovaných 12bajtových čísel nonce.
S šifrovaným souborem se ukládá pouze poslední nonce. První tři nonce, potřebné k dešifrování většiny souboru, se vygenerují, použijí jednou a trvale zahodí. Nejsou ukládány lokálně, nezapisovány do registru ani odesílány operátorovi.
Protože metoda ChaCha20-IETF vyžaduje pro dešifrování jak správný 32bajtový klíč, tak i odpovídající nonce, první tři čtvrtiny každého postiženého souboru se stanou neobnovitelnými. To znamená, že VECT 2.0 operačně funguje jako destruktivní stěrač skrytý za zprávami ransomwaru.
Varianta Windows: Pokročilé funkce, slabé provedení
Verze pro Windows je nejbohatší na funkce a je zaměřena na:
- Místní disky, vyměnitelná média a přístupné síťové úložiště
- 44 nástrojů pro zabezpečení a ladění pomocí antianalytických kontrol
- Mechanismy perzistence nouzového režimu
- Šablony skriptů pro vzdálené spuštění pro laterální pohyb
Po spuštění s parametrem --force-safemode malware nakonfiguruje další restart systému Windows do nouzového režimu a přidá cestu ke svému spustitelnému souboru do registru systému Windows, takže se po restartu automaticky spustí v prostředí se sníženým zabezpečením.
Je zajímavé, že ačkoliv varianta pro Windows obsahuje mechanismy pro detekci prostředí a obcházení, tyto rutiny údajně nikdy nejsou volány. To by mohlo obráncům umožnit analyzovat vzorky bez spouštění nenápadných reakcí.
Varianty Linuxu a ESXi rozšiřují oblast hrozeb
Verze pro ESXi provádí před zahájením šifrování kontroly geofencingu a anti-debuggingu. Také se pokouší o laterální přesun přes SSH. Varianta pro Linux sdílí stejnou kódovou základnu jako ukázková verze ESXi, ale obsahuje méně funkcí.
Tato multiplatformní podpora dává VECT 2.0 široký potenciál zaměřený na podniková prostředí, zejména ta, která se spoléhají na virtualizaci a smíšené operační systémy.
Neobvyklé geofencingování v CIS vyvolává otázky
Před zašifrováním systémů malware zkontroluje, zda běží v zemi SNS. Pokud ano, jeho provádění se zastaví. Ukrajina je údajně stále zahrnuta mezi těmito výjimkami, což je neobvyklé chování, protože mnoho ransomwarových skupin po roce 2022 Ukrajinu ze seznamů výjimek SNS odstranilo.
Byla navržena dvě pravděpodobná vysvětlení:
- Malware mohl být částečně generován pomocí modelů umělé inteligence trénovaných na zastaralých geopolitických datech.
- Vývojáři mohli znovu použít starší kódovou základnu ransomwaru bez aktualizace regionální logiky.
Známky nezkušených operátorů
Ačkoli se VECT 2.0 prezentuje jako propracovaná multiplatformní hrozba s náborem affiliate partnerů, partnerstvím v dodavatelském řetězci a profesionálním brandingem, technické provedení vypráví jiný příběh.
Bezpečnostní posouzení naznačuje, že provozovatelé jsou spíše začínajícími hackery než zkušenými vývojáři ransomwaru. Nelze vyloučit možnost, že části malwaru byly vytvořeny nebo s pomocí kódu generovaného umělou inteligencí.
Hodnocení bezpečnosti vedoucích pracovníků
VECT 2.0 ukazuje, jak nebezpečně vypadající ransomware může být technicky nedokonalý. Jeho infrastruktura, partnerství a branding vytvářejí image seriózního zločineckého podniku, ale selhání v šifrovacím designu zcela podkopává vyděračský model.
Pro obránce je ponaučení jasné: zaměřte se na odolnost, zálohy, segmentaci a rychlou reakci na incidenty. V případě útoku VECT 2.0 platba nezajistí obnovu, ale pouze následuje po zničení.
