VECT 2.0 Ransomware
Den cyberkriminelle operation kendt som VECT 2.0 præsenterer sig selv som ransomware, men teknisk analyse viser adfærd, der minder meget om en datasletningsoperation. En alvorlig fejl i krypteringsimplementeringen på tværs af Windows-, Linux- og ESXi-varianter gør filgendannelse umulig, selv for operatørerne bag angrebene.
For filer større end 131 KB, som indeholder de fleste virksomhedskritiske data, yder malwaren ikke gendannelig kryptering. I stedet ødelægger den permanent de data, der er nødvendige til gendannelse. Som følge heraf tilbyder løsepenge ingen realistisk vej til gendannelse.
I enhver VECT 2.0-hændelse bør forhandling ikke betragtes som en afhjælpningsstrategi. Der er ingen funktionel dekrypteringstjeneste at levere, fordi de oplysninger, der kræves for at bygge en, elimineres under udførelsen. Defensive prioriteter bør fokusere på offline backups, validerede genoprettelsesplaner, hurtig inddæmning og forretningsrobusthed.
Indholdsfortegnelse
En voksende RaaS-operation med kriminelle partnerskaber
VECT blev oprindeligt lanceret som et Ransomware-as-a-Service (RaaS)-program i december 2025 og er siden blevet omdøbt til VECT 2.0. Dens mørke webportal reklamerer for modellen 'Exfiltration / Encryption / Extortion', hvilket signalerer en tredobbelt afpresningstilgang.
Nye partnere skal angiveligt opkræves et Monero (XMR)-indtrædelsesgebyr på $250. Ansøgere fra lande i Commonwealth of Independent States (CIS) er dog fritaget, hvilket tyder på målrettet rekruttering fra denne region.
Gruppen har også indgået partnerskaber med BreachForums og hackerkollektivet TeamPCP. Dette samarbejde ser ud til at være designet til at forenkle ransomware-operationer, sænke barrierer for nye partnere og udnytte tidligere stjålne data som våben til yderligere angreb.
Kombinationen af tyveri af legitimationsoplysninger i forsyningskæden, organiserede affilierede operationer og forumbaseret kriminel mobilisering afspejler et stadig mere industrialiseret ransomware-økosystem.
Antallet af ofre forbliver lavt trods dristige påstande
Trods aggressiv branding viser VECT 2.0's lækageside angiveligt kun to ofre, begge angiveligt kompromitteret gennem TeamPCP-relaterede forsyningskædeangreb.
Gruppen hævdede oprindeligt at bruge ChaCha20-Poly1305 AEAD, en stærkere autentificeret krypteringsmetode. Imidlertid viste en teknisk gennemgang, at brugen af en svagere, uautentificeret krypteringsmetode manglede integritetsbeskyttelse, hvilket rejste alvorlig tvivl om både kapacitet og troværdighed.
Krypteringsfejlen, der ødelægger data
Malwarens mest kritiske fejl ligger i, hvordan den behandler filer større end 131.072 bytes. I stedet for sikkert at kryptere gendannelige data, opdeler den hver stor fil i fire bidder og krypterer hver sektion ved hjælp af separate tilfældigt genererede 12-byte nonces.
Kun den sidste nonce gemmes sammen med den krypterede fil. De første tre nonce-fejl, der kræves for at dekryptere størstedelen af filen, genereres, bruges én gang og kasseres permanent. De gemmes ikke lokalt, skrives til registreringsdatabasen eller sendes til operatøren.
Fordi ChaCha20-IETF-metoden kræver både den korrekte 32-byte-nøgle og den matchende nonce-kode til dekryptering, bliver de første tre fjerdedele af hver berørt fil uoprettelige. Det betyder, at VECT 2.0 fungerer operationelt som en destruktiv visker skjult bag ransomware-beskeder.
Windows-variant: Avancerede funktioner, svag udførelse
Windows-versionen er den mest funktionsrige og har følgende mål:
- Lokale drev, flytbare medier og tilgængelig netværkslagring
- 44 sikkerheds- og fejlfindingsværktøjer gennem anti-analysekontroller
- Mekanismer for vedvarende fejl i sikker tilstand
- Skabeloner til fjernudførelsesscripts til lateral bevægelse
Når den startes med --force-safemode, konfigurerer malwaren den næste genstart i Windows Fejlsikret tilstand og tilføjer sin eksekverbare sti til Windows-registreringsdatabasen, så den automatisk kører efter genstart i et miljø med reduceret sikkerhed.
Interessant nok, selvom Windows-varianten indeholder mekanismer til miljødetektion og undvigelse, kaldes disse rutiner angiveligt aldrig. Dette kan give forsvarere mulighed for at analysere prøver uden at udløse stealth-reaktioner.
Linux- og ESXi-varianter udvider trusselsoverfladen
ESXi-versionen udfører geofencing og anti-debugging-tjek, før kryptering starter. Den forsøger også lateral bevægelse via SSH. Linux-varianten deler den samme kodebase som ESXi-eksemplet, men inkluderer færre funktioner.
Denne understøttelse på tværs af platforme giver VECT 2.0 et bredt målretningspotentiale mod virksomhedsmiljøer, især dem, der er afhængige af virtualisering og blandede operativsystemer.
Usædvanlig CIS Geofencing rejser spørgsmål
Før kryptering af systemer kontrollerer malwaren, om den kører i et SNG-land. Hvis det er tilfældet, stopper udførelsen. Det er værd at bemærke, at Ukraine angiveligt stadig er inkluderet i disse undtagelser, en usædvanlig adfærd, da mange ransomware-grupper fjernede Ukraine fra SNG-undtagelseslisterne efter 2022.
To sandsynlige forklaringer er blevet foreslået:
Tegn på uerfarne operatører
Selvom VECT 2.0 markedsfører sig selv som en poleret multiplatform-trussel med affiliate-rekruttering, supply chain-partnerskaber og professionel branding, fortæller den tekniske udførelse en anden historie.
Sikkerhedsvurderinger tyder på, at operatørerne er mere tilbøjelige til at være uerfarne trusselsaktører end erfarne ransomware-udviklere. Muligheden for, at dele af malwaren blev produceret eller assisteret af AI-genereret kode, kan ikke udelukkes.
Vurdering af ledelsens sikkerhed
VECT 2.0 demonstrerer, hvordan farligt udseende ransomware stadig kan være teknisk fejlbehæftet. Dens infrastruktur, partnerskaber og branding skaber billedet af en seriøs kriminel virksomhed, men fejlen i krypteringsdesignet underminerer fuldstændigt afpresningsmodellen.
For forsvarere er lektien klar: fokus på robusthed, sikkerhedskopiering, segmentering og hurtig respons på hændelser. I et VECT 2.0-angreb køber betaling ikke genopretning, den følger kun ødelæggelse.
