VECT 2.0 lunavara
Küberkurjategijate operatsioon VECT 2.0 esitleb end lunavarana, kuid tehniline analüüs näitab käitumist, mis sarnaneb palju rohkem andmete kustutajale. Selle krüpteerimisrakenduse tõsine viga Windowsi, Linuxi ja ESXi variantides muudab failide taastamise võimatuks isegi rünnakute taga olevate operaatorite jaoks.
Failide puhul, mis on suuremad kui 131 KB ja sisaldavad enamikku ettevõtte jaoks kriitilistest andmetest, ei paku pahavara taastatavat krüptimist. Selle asemel hävitab see taastamiseks vajalikud andmed jäädavalt. Seetõttu ei paku lunaraha maksmine realistlikku teed andmete taastamiseks.
VECT 2.0 intsidendi puhul ei tohiks läbirääkimisi pidada parandusstrateegiaks. Puudub toimiv dekrüpteerija, kuna selle loomiseks vajalik teave kaob täitmise ajal. Kaitseprioriteedid peaksid keskenduma võrguühenduseta varukoopiatele, valideeritud taastamisplaanidele, kiirele ohjeldamisele ja ettevõtte vastupidavusele.
Sisukord
Kasvav RaaS-operatsioon koos kuritegelike partnerlustega
VECT käivitati algselt lunavarateenusena (RaaS) 2025. aasta detsembris ja on sellest ajast alates ümber nimetatud VECT 2.0-ks. Selle tumeveebiportaal reklaamib mudelit „väljafiltreerimine / krüptimine / väljapressimine“, mis viitab kolmekordsele väljapressimisele.
Uutelt sidusettevõtetelt nõutakse väidetavalt 250 dollari suurust Monero (XMR) sisenemistasu. Sõltumatute Riikide Ühenduse (SRÜ) riikidest pärit kandidaadid on aga sellest tasust vabastatud, mis viitab sihipärasele värbamisele sellest piirkonnast.
Samuti on rühmitus loonud partnerlussuhteid BreachForumsi ja häkkimisrühma TeamPCP-ga. See koostöö näib olevat loodud lunavaraoperatsioonide lihtsustamiseks, uute partnerite loomise takistuste vähendamiseks ja varem varastatud andmete relvaks muutmiseks edasiste rünnakute jaoks.
Tarneahela volituste varguse, organiseeritud partnerlusoperatsioonide ja foorumipõhise kurjategijate mobiliseerimise kombinatsioon peegeldab üha industrialiseeritumat lunavara ökosüsteemi.
Ohvrite arv on julgetest väidetest hoolimata endiselt madal
Vaatamata agressiivsele brändingule on VECT 2.0 lekkeveebisaidil väidetavalt loetletud ainult kaks ohvrit, kes mõlemad on väidetavalt ohustatud TeamPCP-ga seotud tarneahela rünnakute kaudu.
Algselt väitis grupp, et kasutab ChaCha20-Poly1305 AEAD-i, mis on tugevam autentitud krüpteerimismeetod. Tehnilise ülevaate käigus leiti aga nõrgema autentimata šifri kasutamine, millel puudus terviklikkuse kaitse, mis tekitas tõsiseid kahtlusi nii võimekuse kui ka usaldusväärsuse osas.
Krüpteerimisviga, mis hävitab andmeid
Pahavara kõige kriitilisem puudus seisneb selles, kuidas see töötleb faile, mis on suuremad kui 131 072 baiti. Taastatavate andmete turvalise krüpteerimise asemel jagab see iga suure faili neljaks tükiks ja krüpteerib iga osa eraldi juhuslikult genereeritud 12-baidiste nonsside abil.
Krüpteeritud failiga salvestatakse ainult viimane nonss. Esimesed kolm nonsi, mis on vajalikud faili suurema osa dekrüpteerimiseks, genereeritakse, kasutatakse üks kord ja kustutatakse jäädavalt. Neid ei salvestata lokaalselt, ei kirjutata registrisse ega saadeta operaatorile.
Kuna ChaCha20-IETF meetod nõuab dekrüpteerimiseks nii õiget 32-baidist võtit kui ka vastavat nonssvõtit, muutuvad iga mõjutatud faili esimesed kolmveerandid taastamatuks. See tähendab, et VECT 2.0 toimib operatiivselt lunavarasõnumite taha peidetud hävitava pühkijana.
Windowsi variant: täiustatud funktsioonid, nõrk teostus
Windowsi versioon on kõige funktsiooniderikkam ja sihib:
- Kohalikud draivid, eemaldatavad andmekandjad ja ligipääsetav võrgusalvestusruum
- 44 turva- ja veatuvastustööriista analüüsivastaste kontrollide abil
- Turvarežiimi püsivuse mehhanismid
- Külgliikumise kaugkäivitamise skripti mallid
Kui pahavara käivitatakse valikuga --force-safemode, konfigureerib see järgmise taaskäivituse Windowsi turvarežiimi ja lisab oma käivitatava faili tee Windowsi registrisse, et see käivituks pärast taaskäivitamist automaatselt vähendatud turvalisusega keskkonnas.
Huvitaval kombel, kuigi Windowsi variant sisaldab keskkonna tuvastamise ja vältimise mehhanisme, ei kutsuta neid rutiine väidetavalt kunagi välja. See võib võimaldada kaitsjatel analüüsida näidiseid ilma varjatud vastuseid käivitamata.
Linuxi ja ESXi variandid laiendavad ohu pinda
ESXi versioon teostab enne krüpteerimise alustamist geofencingu ja silumisvastaseid kontrolle. Samuti proovib see SSH kaudu külgmist liikumist. Linuxi variant jagab sama koodibaasi kui ESXi näidis, kuid sellel on vähem võimalusi.
See platvormideülene tugi annab VECT 2.0-le laia sihtimispotentsiaali ettevõttekeskkondades, eriti neis, mis tuginevad virtualiseerimisele ja segatud operatsioonisüsteemidele.
Ebatavaline CIS-i geopiirded tekitavad küsimusi
Enne süsteemide krüpteerimist kontrollib pahavara, kas see töötab SRÜ riigis. Kui jah, siis selle käivitamine peatub. Tähelepanuväärne on see, et Ukraina on väidetavalt endiselt nende erandite hulgas, mis on haruldane käitumine, kuna paljud lunavararühmitused eemaldasid Ukraina SRÜ erandite nimekirjadest pärast 2022. aastat.
On pakutud välja kaks tõenäolist selgitust:
- Pahavara võidi osaliselt genereerida aegunud geopoliitiliste andmete põhjal treenitud tehisintellekti mudelite abil.
- Arendajad võisid taaskasutada vanemat lunavarakoodide baasi ilma piirkondlikku loogikat uuendamata.
Kogenematute operaatorite märgid
Kuigi VECT 2.0 turustab end lihvitud mitmeplatvormilise ohuna, mis hõlmab sidusettevõtete värbamist, tarneahela partnerlussuhteid ja professionaalset brändingut, räägib tehniline teostus teistsugust lugu.
Turvalisuse hindamine näitab, et operaatorid on pigem algajad ohutegijad kui kogenud lunavara arendajad. Ei saa välistada võimalust, et osa pahavarast loodi või seda abistas tehisintellekti loodud kood.
Juhtimisjulgeoleku hindamine
VECT 2.0 näitab, kuidas ohtliku välimusega lunavara võib siiski tehniliselt vigane olla. Selle infrastruktuur, partnerlused ja bränding loovad tõsise kuritegeliku ettevõtmise kuvandi, kuid krüpteerimisdisaini ebaõnnestumine õõnestab väljapressimismudelit täielikult.
Kaitsjate jaoks on õppetund selge: keskenduge vastupidavusele, varundamisele, segmenteerimisele ja kiirele intsidentidele reageerimisele. VECT 2.0 rünnakus ei osta makse taastumist, see järgneb ainult hävingule.
