Monen lisenssin alennustarjous
Uhatietokanta Ransomware VECT 2.0 -kiristysohjelma

VECT 2.0 -kiristysohjelma

Vuonna Mezo vuonna Ransomware
Käännä:

VECT 2.0 -niminen kyberrikollisoperaatio esiintyy kiristyshaittaohjelmana, mutta tekninen analyysi osoittaa sen toimivan paljon lähempänä datapyyhintä. Sen salaustoteutuksessa Windows-, Linux- ja ESXi-versioissa on vakava puute, joka tekee tiedostojen palauttamisen mahdottomaksi jopa hyökkäysten takana oleville toimijoille.

Yli 131 kt:n kokoisille tiedostoille, jotka sisältävät suurimman osan yrityskriittisestä datasta, haittaohjelma ei tarjoa palautettavissa olevaa salausta. Sen sijaan se tuhoaa pysyvästi palauttamiseen tarvittavat tiedot. Tämän seurauksena lunnaiden maksaminen ei tarjoa realistista tietä tietojen palauttamiseen.

VECT 2.0 -häiriöissä neuvottelua ei tule pitää korjausstrategiana. Toimivaa salauksen purkajaa ei ole, koska sen rakentamiseen tarvittavat tiedot poistuvat suorituksen aikana. Puolustuksen painopisteiden tulisi olla offline-varmuuskopioissa, validoiduissa palautussuunnitelmissa, nopeassa eristämisessä ja liiketoiminnan sietokyvyssä.

Kasvava RaaS-operaatio rikolliskumppanuuksien kanssa

VECT lanseerattiin alun perin Ransomware-as-a-Service (RaaS) -ohjelmana joulukuussa 2025 ja on sittemmin nimetty uudelleen VECT 2.0:ksi. Sen pimeän verkon portaali mainostaa mallia "Exfiltration / Encryption / Extortion", mikä viestii kolminkertaisesta kiristysmenetelmästä.

Uusilta yhteistyökumppaneilta veloitetaan tiettävästi 250 dollarin Moneron (XMR) liittymismaksu. Itsenäisten valtioiden yhteisön (IVY) maista tulevat hakijat ovat kuitenkin vapautettuja tästä maksusta, mikä viittaa kohdennettuun rekrytointiin kyseiseltä alueelta.

Ryhmä on myös solminut kumppanuuksia BreachForumin ja TeamPCP-hakkerointikollektiivin kanssa. Tämän yhteistyön tarkoituksena näyttää olevan yksinkertaistaa kiristyshaittaohjelmien toimintaa, madaltaa uusien yhteistyökumppaneiden toimintaesteitä ja aseistaa aiemmin varastettuja tietoja jatkohyökkäyksiä varten.

Toimitusketjun tunnistetietojen varkauksien, järjestäytyneiden tytäryhtiöoperaatioiden ja foorumeihin perustuvan rikollisen mobilisaation yhdistelmä heijastaa yhä teollistuneempaa kiristyshaittaohjelmien ekosysteemiä.

Uhrien määrä pysyy alhaisena rohkeista väitteistä huolimatta

Aggressiivisesta brändäyksestä huolimatta VECT 2.0:n vuotosivusto listaa tiettävästi vain kaksi uhria, joiden molempien väitetään joutuneen vaaran kohteeksi TeamPCP:hen liittyvien toimitusketjuhyökkäysten kautta.

Ryhmä väitti aluksi käyttävänsä ChaCha20-Poly1305 AEAD:tä, joka on vahvempi todennettu salausmenetelmä. Teknisessä tarkastelussa kuitenkin havaittiin heikompi todentamaton salausmenetelmä, jonka eheyssuoja puuttui, mikä herätti vakavia epäilyksiä sekä sen kyvystä että uskottavuudesta.

Salausvirhe, joka tuhoaa tiedot

Haittaohjelman vakavin heikkous on siinä, miten se käsittelee yli 131 072 tavun kokoisia tiedostoja. Palautettavissa olevien tietojen turvallisen salaamisen sijaan se jakaa jokaisen suuren tiedoston neljään osaan ja salaa jokaisen osion käyttämällä erillisiä satunnaisesti luotuja 12 tavun nonceja.

Vain viimeinen nonce-salaus tallennetaan salatun tiedoston mukana. Kolme ensimmäistä nonce-salauspalaa, jotka tarvitaan tiedoston suurimman osan salauksen purkamiseen, luodaan, käytetään kerran ja hylätään pysyvästi. Niitä ei tallenneta paikallisesti, kirjoiteta rekisteriin tai lähetetä operaattorille.

Koska ChaCha20-IETF-menetelmä vaatii sekä oikean 32-tavuisen avaimen että vastaavan nonce-koodin salauksen purkamiseen, kunkin tiedoston kolme ensimmäistä neljäsosaa muuttuu palauttamattomaksi. Tämä tarkoittaa, että VECT 2.0 toimii toiminnallisesti tuhoisaksi pyyhkijäksi, joka on piilotettu kiristysohjelmaviestien taakse.

Windows-versio: Lisäominaisuudet, heikko suoritus

Windows-versio on ominaisuuksiltaan runsas ja siinä on eniten ominaisuuksia:

  • Paikalliset asemat, siirrettävät tietovälineet ja käytettävissä oleva verkkotallennustila
  • 44 tietoturva- ja virheenkorjaustyökalua analyysien estotarkistusten avulla
  • Vikasietotilan pysyvyysmekanismit
  • Etäsuoritusskriptimallit sivuttaisliikkeelle

Kun haittaohjelma käynnistetään valitsimella --force-safemode, se määrittää seuraavan uudelleenkäynnistyksen Windowsin vikasietotilaan ja lisää suorituspolkunsa Windowsin rekisteriin, jotta se toimii automaattisesti uudelleenkäynnistyksen jälkeen rajoitetun turvallisuuden ympäristössä.

Mielenkiintoista kyllä, vaikka Windows-versio sisältää ympäristön tunnistus- ja väistömekanismeja, näitä rutiineja ei kuulemma koskaan kutsuta. Tämä voi antaa puolustajille mahdollisuuden analysoida näytteitä ilman, että he laukaisevat piilovastauksia.

Linux- ja ESXi-variantit laajentavat uhkapinta-alaa

ESXi-versio suorittaa geoaidan ja virheenkorjauksen estotarkistuksia ennen salauksen aloittamista. Se yrittää myös sivuttaissiirtoa SSH:n kautta. Linux-versio käyttää samaa koodikantaa kuin ESXi-esimerkki, mutta siinä on vähemmän ominaisuuksia.

Tämä alustojen välinen tuki antaa VECT 2.0:lle laajan kohdistuspotentiaalin yritysympäristöissä, erityisesti virtualisointiin ja sekakäyttöjärjestelmiin perustuvissa ympäristöissä.

Epätavallinen CIS-geoaitaus herättää kysymyksiä

Ennen järjestelmien salaamista haittaohjelma tarkistaa, toimiiko se IVY-maassa. Jos näin on, suoritus pysähtyy. Huomionarvoista on, että Ukrainan kerrotaan edelleen kuuluvan näihin poikkeuksiin, mikä on epätavallista sen jälkeen, kun monet kiristysohjelmaryhmät poistivat Ukrainan IVY-maiden poikkeuslistoilta vuoden 2022 jälkeen.

Kaksi todennäköistä selitystä on ehdotettu:

  • Haittaohjelma on saattanut osittain luoda vanhentuneella geopoliittisella datalla koulutettujen tekoälymallien avulla.
  • Kehittäjät ovat saattaneet käyttää uudelleen vanhempaa kiristyshaittaohjelmien koodikantaa päivittämättä alueellista logiikkaa.

Kokemattomien käyttäjien merkkejä

Vaikka VECT 2.0 markkinoi itseään viimeisteltynä monialustaisena uhkana, joka sisältää kumppanuusrekrytointia, toimitusketjukumppanuuksia ja ammattimaista brändäystä, tekninen toteutus kertoo toisenlaisen tarinan.

Tietoturva-analyysin mukaan operaattorit ovat todennäköisemmin aloittelevia uhkatoimijoita kuin kokeneita kiristysohjelmien kehittäjiä. Ei voida sulkea pois mahdollisuutta, että osa haittaohjelmasta on tuotettu tai sitä on avustettu tekoälyn luomalla koodilla.

Johdon turvallisuusarviointi

VECT 2.0 osoittaa, kuinka vaaralliselta näyttävä kiristyshaittaohjelma voi silti olla teknisesti virheellinen. Sen infrastruktuuri, kumppanuudet ja brändäys luovat kuvan vakavasta rikollisesta toiminnasta, mutta salaussuunnittelun epäonnistuminen heikentää kiristysmallin todellisuutta kokonaan.

Puolustajille opetus on selvä: keskitytään selviytymiskykyyn, varmuuskopioihin, segmentointiin ja nopeaan reagointiin tapahtumiin. VECT 2.0 -hyökkäyksessä maksu ei osta toipumista, se seuraa vain tuhoa.

Trendaavat

Eniten katsottu

Ladataan...