باج‌افزار VECT 2.0

عملیات مجرمان سایبری که با نام VECT 2.0 شناخته می‌شود، خود را به عنوان یک باج‌افزار معرفی می‌کند، اما تجزیه و تحلیل فنی نشان می‌دهد که رفتاری بسیار شبیه به یک پاک‌کننده داده دارد. یک نقص جدی در پیاده‌سازی رمزگذاری آن در انواع ویندوز، لینوکس و ESXi، بازیابی فایل را حتی برای اپراتورهای پشت این حملات غیرممکن می‌کند.

برای فایل‌های بزرگتر از ۱۳۱ کیلوبایت، که شامل اکثر داده‌های حیاتی سازمانی می‌شود، این بدافزار رمزگذاری قابل بازیابی ارائه نمی‌دهد. در عوض، داده‌های مورد نیاز برای بازیابی را به طور دائم از بین می‌برد. در نتیجه، پرداخت باج هیچ راه واقع‌بینانه‌ای برای بازیابی ارائه نمی‌دهد.

در هر حادثه VECT 2.0، مذاکره نباید به عنوان یک استراتژی اصلاح در نظر گرفته شود. هیچ رمزگشایی کاربردی برای ارائه وجود ندارد زیرا اطلاعات مورد نیاز برای ساخت آن در حین اجرا حذف می‌شود. اولویت‌های دفاعی باید بر پشتیبان‌گیری آفلاین، برنامه‌های بازیابی معتبر، مهار سریع و انعطاف‌پذیری کسب‌وکار متمرکز باشد.

عملیات رو به رشد RaaS با مشارکت مجرمان

VECT در ابتدا به عنوان یک برنامه باج‌افزار به عنوان سرویس (RaaS) در دسامبر ۲۰۲۵ راه‌اندازی شد و از آن زمان به VECT 2.0 تغییر نام داده است. پورتال وب تاریک آن مدل «Exfiltration / Encryption / Extortion» را تبلیغ می‌کند که نشان‌دهنده رویکرد سه‌گانه اخاذی است.

طبق گزارش‌ها، از اعضای جدید، هزینه ورود مونرو (XMR) به مبلغ ۲۵۰ دلار دریافت می‌شود. با این حال، متقاضیان کشورهای مستقل مشترک‌المنافع (CIS) از این امر معاف هستند که نشان می‌دهد استخدام هدفمند از آن منطقه انجام می‌شود.

این گروه همچنین با BreachForums و گروه هکری TeamPCP همکاری‌هایی را آغاز کرده است. به نظر می‌رسد این همکاری برای ساده‌سازی عملیات باج‌افزاری، کاهش موانع برای اعضای جدید وابسته و استفاده از داده‌های سرقت‌شده قبلی برای حملات بیشتر طراحی شده است.

ترکیبی از سرقت اطلاعات زنجیره تأمین، عملیات وابسته سازمان‌یافته و بسیج مجرمانه مبتنی بر انجمن، نشان‌دهنده یک اکوسیستم باج‌افزاری است که به طور فزاینده‌ای صنعتی شده است.

تعداد قربانیان علیرغم ادعاهای جسورانه همچنان پایین است

با وجود برندسازی تهاجمی، طبق گزارش‌ها، سایت افشاگر VECT 2.0 تنها دو قربانی را فهرست کرده است که هر دو ظاهراً از طریق حملات زنجیره تأمین مرتبط با TeamPCP به خطر افتاده‌اند.

این گروه در ابتدا ادعا کرد که از ChaCha20-Poly1305 AEAD، یک روش رمزگذاری معتبر قوی‌تر، استفاده می‌کند. با این حال، بررسی فنی نشان داد که از یک رمزگذار ضعیف‌تر و بدون اعتبار استفاده شده است که فاقد حفاظت از یکپارچگی است و تردیدهای جدی را در مورد قابلیت و اعتبار آن ایجاد می‌کند.

خطای رمزگذاری که داده‌ها را از بین می‌برد

مهم‌ترین نقص این بدافزار در نحوه‌ی پردازش فایل‌های بزرگ‌تر از ۱۳۱,۰۷۲ بایت نهفته است. این بدافزار به جای رمزگذاری ایمن داده‌های قابل بازیابی، هر فایل بزرگ را به چهار تکه تقسیم می‌کند و هر بخش را با استفاده از نانس‌های ۱۲ بایتی جداگانه که به صورت تصادفی تولید می‌شوند، رمزگذاری می‌کند.

فقط آخرین nonce با فایل رمزگذاری شده ذخیره می‌شود. سه nonce اول که برای رمزگشایی بخش عمده فایل مورد نیاز هستند، تولید می‌شوند، یک بار استفاده می‌شوند و برای همیشه دور انداخته می‌شوند. آنها به صورت محلی ذخیره نمی‌شوند، در رجیستری نوشته نمی‌شوند یا برای اپراتور ارسال نمی‌شوند.

از آنجا که روش ChaCha20-IETF برای رمزگشایی به کلید ۳۲ بایتی صحیح و همچنین نانس منطبق نیاز دارد، سه چهارم اول هر فایل آسیب‌دیده غیرقابل بازیابی می‌شود. این بدان معناست که VECT 2.0 به صورت عملیاتی به عنوان یک پاک‌کننده مخرب پنهان در پشت پیام‌های باج‌افزار عمل می‌کند.

نسخه ویندوز: ویژگی‌های پیشرفته، اجرای ضعیف

نسخه ویندوز از نظر امکانات غنی‌ترین نسخه است و موارد زیر را هدف قرار می‌دهد:

• درایوهای محلی، رسانه‌های قابل جابجایی و ذخیره‌سازی شبکه قابل دسترسی
• ۴۴ ابزار امنیتی و اشکال‌زدایی از طریق بررسی‌های ضد تحلیل
• مکانیسم‌های پایداری حالت ایمن
• قالب‌های اسکریپت اجرای از راه دور برای حرکت جانبی

وقتی با --force-safemode اجرا می‌شود، بدافزار راه‌اندازی مجدد بعدی را در حالت ایمن ویندوز پیکربندی می‌کند و مسیر اجرایی خود را به رجیستری ویندوز اضافه می‌کند تا پس از راه‌اندازی مجدد، در محیطی با امنیت پایین، به‌طور خودکار اجرا شود.

جالب اینجاست که اگرچه نسخه ویندوزی شامل مکانیزم‌های تشخیص محیط و گریز است، اما طبق گزارش‌ها، این روال‌ها هرگز فراخوانی نمی‌شوند. این امر ممکن است به مدافعان اجازه دهد نمونه‌ها را بدون ایجاد پاسخ‌های مخفی تجزیه و تحلیل کنند.

انواع لینوکس و ESXi سطح تهدید را گسترش می‌دهند

نسخه ESXi قبل از شروع رمزگذاری، بررسی‌های geofencing و anti-debugging را انجام می‌دهد. همچنین از طریق SSH حرکت جانبی را امتحان می‌کند. نوع لینوکس همان کدبیس نمونه ESXi را به اشتراک می‌گذارد اما قابلیت‌های کمتری را شامل می‌شود.

این پشتیبانی چند پلتفرمی به VECT 2.0 پتانسیل هدف‌گیری گسترده‌ای را در برابر محیط‌های سازمانی، به ویژه آن‌هایی که به مجازی‌سازی و سیستم‌عامل‌های ترکیبی متکی هستند، می‌دهد.

حصار جغرافیایی غیرمعمول CIS سوالاتی را مطرح می‌کند

قبل از رمزگذاری سیستم‌ها، این بدافزار بررسی می‌کند که آیا در یک کشور CIS اجرا می‌شود یا خیر. در این صورت، اجرا متوقف می‌شود. نکته قابل توجه این است که طبق گزارش‌ها، اوکراین هنوز هم در این استثنائات قرار دارد، رفتاری غیرمعمول از آنجایی که بسیاری از گروه‌های باج‌افزار پس از سال ۲۰۲۲ اوکراین را از فهرست معافیت‌های CIS حذف کردند.

دو توضیح احتمالی ارائه شده است:

نشانه‌های اپراتورهای بی‌تجربه

اگرچه VECT 2.0 خود را به عنوان یک تهدید چند پلتفرمیِ آراسته با استخدام وابسته، مشارکت در زنجیره تأمین و برندسازی حرفه‌ای به بازار عرضه می‌کند، اما اجرای فنی آن داستان متفاوتی را روایت می‌کند.

ارزیابی امنیتی نشان می‌دهد که اپراتورها به احتمال زیاد مهاجمان تازه‌کار هستند تا توسعه‌دهندگان باج‌افزار باتجربه. این احتمال را نمی‌توان رد کرد که بخش‌هایی از این بدافزار توسط کد تولید شده توسط هوش مصنوعی تولید یا پشتیبانی شده باشد.

ارزیابی امنیت اجرایی

VECT 2.0 نشان می‌دهد که باج‌افزارهای خطرناک چگونه می‌توانند از نظر فنی دارای نقص باشند. زیرساخت، مشارکت‌ها و برندسازی آن، تصویر یک سازمان جنایی جدی را ایجاد می‌کند، اما نقص طراحی رمزگذاری، مدل اخاذی را به طور کامل تضعیف می‌کند.

برای مدافعان، درس واضح است: تمرکز بر انعطاف‌پذیری، پشتیبان‌گیری، قطعه‌بندی و واکنش سریع به حوادث. در یک حمله VECT 2.0، پرداخت هزینه، بازیابی را تضمین نمی‌کند، بلکه فقط تخریب را به دنبال دارد.