Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Ransomware Λογισμικό VECT 2.0 για λύτρα

Λογισμικό VECT 2.0 για λύτρα

Μέχρι το Mezo το Ransomware
Μετάφραση σε:

Η κυβερνοεγκληματική επιχείρηση γνωστή ως VECT 2.0 παρουσιάζεται ως ransomware, ωστόσο η τεχνική ανάλυση δείχνει συμπεριφορά που μοιάζει πολύ με ένα data wiper. Ένα σοβαρό ελάττωμα στην εφαρμογή κρυπτογράφησης σε Windows, Linux και παραλλαγές ESXi καθιστά αδύνατη την ανάκτηση αρχείων, ακόμη και για τους χειριστές πίσω από τις επιθέσεις.

Για αρχεία μεγαλύτερα από 131 KB, τα οποία περιλαμβάνουν τα περισσότερα δεδομένα κρίσιμης σημασίας για την επιχείρηση, το κακόβουλο λογισμικό δεν παρέχει ανακτήσιμη κρυπτογράφηση. Αντίθετα, καταστρέφει μόνιμα τα δεδομένα που απαιτούνται για την αποκατάσταση. Ως αποτέλεσμα, η πληρωμή λύτρων δεν προσφέρει καμία ρεαλιστική οδό ανάκτησης.

Σε οποιοδήποτε περιστατικό VECT 2.0, η διαπραγμάτευση δεν θα πρέπει να θεωρείται στρατηγική αποκατάστασης. Δεν υπάρχει λειτουργικός αποκρυπτογράφος για την παροχή, επειδή οι πληροφορίες που απαιτούνται για τη δημιουργία ενός εξαλείφονται κατά την εκτέλεση. Οι αμυντικές προτεραιότητες θα πρέπει να επικεντρώνονται σε αντίγραφα ασφαλείας εκτός σύνδεσης, σε επικυρωμένα σχέδια ανάκτησης, σε ταχεία ανάσχεση και στην ανθεκτικότητα της επιχείρησης.

Μια αναπτυσσόμενη επιχείρηση RaaS με εγκληματικές συνεργασίες

Το VECT ξεκίνησε αρχικά ως πρόγραμμα Ransomware-as-a-Service (RaaS) τον Δεκέμβριο του 2025 και έκτοτε μετονομάστηκε σε VECT 2.0. Η πύλη του στο dark web διαφημίζει το μοντέλο «Exfiltration / Encryption / Extortion», σηματοδοτώντας μια προσέγγιση τριπλού εκβιασμού.

Σύμφωνα με πληροφορίες, οι νέοι συνεργάτες χρεώνονται τέλος εισόδου 250 δολαρίων σε Monero (XMR). Ωστόσο, οι υποψήφιοι από χώρες της Κοινοπολιτείας Ανεξάρτητων Κρατών (ΚΑΚ) εξαιρούνται, γεγονός που υποδηλώνει στοχευμένη στρατολόγηση από αυτήν την περιοχή.

Η ομάδα έχει επίσης συνάψει συνεργασίες με την BreachForums και την ομάδα hacking TeamPCP. Αυτή η συνεργασία φαίνεται να έχει σχεδιαστεί για να απλοποιήσει τις επιχειρήσεις ransomware, να μειώσει τα εμπόδια για τους νέους συνεργάτες και να οπλίσει δεδομένα που έχουν κλαπεί προηγουμένως για περαιτέρω επιθέσεις.

Ο συνδυασμός της κλοπής διαπιστευτηρίων της αλυσίδας εφοδιασμού, των οργανωμένων συνεργατικών δραστηριοτήτων και της εγκληματικής κινητοποίησης μέσω φόρουμ αντικατοπτρίζει ένα ολοένα και πιο βιομηχανοποιημένο οικοσύστημα ransomware.

Ο αριθμός των θυμάτων παραμένει χαμηλός παρά τους τολμηρούς ισχυρισμούς

Παρά την επιθετική προβολή του branding, ο ιστότοπος διαρροής του VECT 2.0 αναφέρει μόνο δύο θύματα, τα οποία φέρεται να έχουν παραβιαστεί μέσω επιθέσεων στην εφοδιαστική αλυσίδα που σχετίζονται με το TeamPCP.

Αρχικά, η ομάδα ισχυρίστηκε ότι χρησιμοποιούσε το ChaCha20-Poly1305 AEAD, μια ισχυρότερη μέθοδο κρυπτογράφησης με έλεγχο ταυτότητας. Ωστόσο, η τεχνική αξιολόγηση διαπίστωσε ότι χρησιμοποιούνταν ένα ασθενέστερο μη ελεγχόμενο κρυπτογράφημα που δεν διέθετε προστασία ακεραιότητας, γεγονός που εγείρει σοβαρές αμφιβολίες τόσο για την ικανότητα όσο και για την αξιοπιστία του.

Η αποτυχία κρυπτογράφησης που καταστρέφει δεδομένα

Το πιο κρίσιμο ελάττωμα του κακόβουλου λογισμικού έγκειται στον τρόπο με τον οποίο επεξεργάζεται αρχεία μεγαλύτερα από 131.072 byte. Αντί να κρυπτογραφεί με ασφάλεια τα ανακτήσιμα δεδομένα, χωρίζει κάθε μεγάλο αρχείο σε τέσσερα κομμάτια και κρυπτογραφεί κάθε ενότητα χρησιμοποιώντας ξεχωριστά τυχαία δημιουργημένα nonces των 12 byte.

Μόνο η τελευταία nonce μνήμη αποθηκεύεται με το κρυπτογραφημένο αρχείο. Οι τρεις πρώτες nonce μνήμης, που απαιτούνται για την αποκρυπτογράφηση του μεγαλύτερου μέρους του αρχείου, δημιουργούνται, χρησιμοποιούνται μία φορά και απορρίπτονται μόνιμα. Δεν αποθηκεύονται τοπικά, δεν εγγράφονται στο μητρώο ούτε αποστέλλονται στον χειριστή.

Επειδή η μέθοδος ChaCha20-IETF απαιτεί τόσο το σωστό κλειδί 32 byte όσο και την αντίστοιχη nonce για την αποκρυπτογράφηση, τα πρώτα τρία τέταρτα κάθε επηρεαζόμενου αρχείου καθίστανται μη ανακτήσιμα. Αυτό σημαίνει ότι το VECT 2.0 λειτουργεί λειτουργικά ως ένα καταστροφικό εργαλείο καθαρισμού που κρύβεται πίσω από μηνύματα ransomware.

Παραλλαγή των Windows: Προηγμένες δυνατότητες, Αδύναμη εκτέλεση

Η έκδοση των Windows είναι η πιο πλούσια σε λειτουργίες και στοχεύει:

  • Τοπικές μονάδες δίσκου, αφαιρούμενα μέσα και προσβάσιμος χώρος αποθήκευσης δικτύου
  • 44 εργαλεία ασφαλείας και εντοπισμού σφαλμάτων μέσω ελέγχων κατά της ανάλυσης
  • Μηχανισμοί διατήρησης ασφαλούς λειτουργίας
  • Πρότυπα σεναρίων απομακρυσμένης εκτέλεσης για πλευρική κίνηση

Όταν εκκινείται με --force-safemode, το κακόβουλο λογισμικό ρυθμίζει την επόμενη επανεκκίνηση σε ασφαλή λειτουργία των Windows και προσθέτει τη διαδρομή εκτέλεσης στο μητρώο των Windows, ώστε να εκτελείται αυτόματα μετά την επανεκκίνηση σε περιβάλλον μειωμένης ασφάλειας.

Είναι ενδιαφέρον ότι, παρόλο που η παραλλαγή των Windows περιέχει μηχανισμούς ανίχνευσης περιβάλλοντος και αποφυγής, αυτές οι ρουτίνες φέρεται να μην καλούνται ποτέ. Αυτό μπορεί να επιτρέψει στους υπερασπιστές να αναλύουν δείγματα χωρίς να ενεργοποιούν stealth responses.

Οι παραλλαγές Linux και ESXi επεκτείνουν την επιφάνεια απειλών

Η έκδοση ESXi εκτελεί ελέγχους geofencing και anti-debugging πριν από την έναρξη της κρυπτογράφησης. Επιχειρεί επίσης πλευρική κίνηση μέσω SSH. Η παραλλαγή Linux μοιράζεται την ίδια βάση κώδικα με το δείγμα ESXi, αλλά περιλαμβάνει λιγότερες δυνατότητες.

Αυτή η υποστήριξη σε πολλαπλές πλατφόρμες δίνει στο VECT 2.0 ευρύ δυναμικό στόχευσης σε εταιρικά περιβάλλοντα, ειδικά σε εκείνα που βασίζονται σε εικονικοποίηση και μικτά λειτουργικά συστήματα.

Το ασυνήθιστο CIS Geofencing εγείρει ερωτήματα

Πριν από την κρυπτογράφηση των συστημάτων, το κακόβουλο λογισμικό ελέγχει εάν εκτελείται σε χώρα της ΚΑΚ. Εάν ναι, η εκτέλεση σταματά. Αξίζει να σημειωθεί ότι η Ουκρανία αναφέρεται ότι εξακολουθεί να περιλαμβάνεται σε αυτές τις εξαιρέσεις, μια ασυνήθιστη συμπεριφορά, καθώς πολλές ομάδες ransomware αφαίρεσαν την Ουκρανία από τις λίστες εξαιρέσεων της ΚΑΚ μετά το 2022.

Δύο πιθανές εξηγήσεις έχουν προταθεί:

  • Το κακόβουλο λογισμικό ενδέχεται να έχει δημιουργηθεί εν μέρει χρησιμοποιώντας μοντέλα τεχνητής νοημοσύνης που έχουν εκπαιδευτεί σε ξεπερασμένα γεωπολιτικά δεδομένα.
  • Οι προγραμματιστές ενδέχεται να έχουν επαναχρησιμοποιήσει μια παλαιότερη βάση κώδικα ransomware χωρίς να ενημερώσουν την τοπική λογική.

    • Σημάδια άπειρων χειριστών

    Παρόλο που το VECT 2.0 προβάλλεται ως μια εξελιγμένη απειλή για πολλές πλατφόρμες με προσλήψεις συνεργατών, συνεργασίες στην εφοδιαστική αλυσίδα και επαγγελματική προβολή, η τεχνική εκτέλεση αφηγείται μια διαφορετική ιστορία.

    Η αξιολόγηση ασφάλειας υποδηλώνει ότι οι χειριστές είναι πιθανότερο να είναι αρχάριοι παρά έμπειροι προγραμματιστές ransomware. Δεν μπορεί να αποκλειστεί η πιθανότητα τμήματα του κακόβουλου λογισμικού να έχουν παραχθεί ή να έχουν υποβοηθηθεί από κώδικα που δημιουργείται από τεχνητή νοημοσύνη.

    Εκτελεστική Αξιολόγηση Ασφάλειας

    Το VECT 2.0 καταδεικνύει πώς τα ransomware που φαίνονται επικίνδυνα μπορεί να είναι τεχνικά ελαττωματικά. Η υποδομή, οι συνεργασίες και η επωνυμία του δημιουργούν την εικόνα μιας σοβαρής εγκληματικής επιχείρησης, αλλά η αποτυχία σχεδιασμού κρυπτογράφησης υπονομεύει εντελώς το μοντέλο εκβιασμού.

    Για τους υπερασπιστές, το μάθημα είναι σαφές: εστίαση στην ανθεκτικότητα, τα αντίγραφα ασφαλείας, την τμηματοποίηση και την ταχεία απόκριση σε περιστατικά. Σε μια επίθεση VECT 2.0, η πληρωμή δεν αγοράζει ανάκαμψη, αλλά μόνο έπεται της καταστροφής.

    Τάσεις

    Περισσότερες εμφανίσεις

    Φόρτωση...