הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנת כופר VECT 2.0 Ransomware

VECT 2.0 Ransomware

עד Mezo ב-תוכנת כופר
לתרגם ל:

פעולת פושעי הסייבר המכונה VECT 2.0 מציגה את עצמה כתוכנת כופר, אך ניתוח טכני מראה התנהגות הקרובה הרבה יותר למחיקת נתונים. פגם חמור ביישום ההצפנה שלה בגרסאות Windows, Linux ו-ESXi הופך שחזור קבצים לבלתי אפשרי, אפילו עבור המפעילים שמאחורי ההתקפות.

עבור קבצים גדולים מ-131 KB, הכוללים את רוב הנתונים הקריטיים לארגון, הנוזקה אינה מספקת הצפנה הניתנת לשחזור. במקום זאת, היא משמידה לצמיתות את הנתונים הדרושים לשחזור. כתוצאה מכך, תשלום כופר אינו מציע דרך ריאלית לשחזור.

בכל אירוע VECT 2.0, אין להתייחס למשא ומתן כאסטרטגיית תיקון. אין מפענח פונקציונלי שניתן לספק, מכיוון שהמידע הנדרש לבניית אחד מבוטל במהלך הביצוע. סדרי עדיפויות הגנתיים צריכים להתמקד בגיבויים לא מקוונים, תוכניות שחזור מאומתות, בלימה מהירה וחוסן עסקי.

פעילות RaaS הולכת וגדלה עם שותפויות פליליות

VECT הושקה במקור כתוכנית RaasS (Ransomware-as-a-Service) בדצמבר 2025 ומאז שונה למותג שלה ל-VECT 2.0. פורטל האינטרנט האפל שלה מפרסם את המודל 'Exfiltration / Encryption / Extortion', מה שמאותת על גישת סחיטה משולשת.

על פי הדיווחים, שותפים חדשים יחויבו בדמי כניסה של 250 דולר עבור מונרו (XMR). עם זאת, מועמדים ממדינות חבר העמים (CIS) פטורים, דבר המצביע על גיוס ממוקד מאזור זה.

הקבוצה יצרה גם שותפויות עם BreachForums ועם קולקטיב הפריצה TeamPCP. שיתוף פעולה זה נועד לכאורה לפשט את פעולות הכופר, להוריד את המחסומים בפני שותפים חדשים ולהפוך נתונים שנגנבו בעבר לנשק לצורך התקפות נוספות.

השילוב של גניבת אישורים בשרשרת האספקה, פעולות שותפים מאורגנות וגיוס פליליים מבוסס פורומים משקף מערכת אקולוגית של תוכנות כופר שהופכת למתועשת יותר ויותר.

מספר הקורבנות נותר נמוך למרות טענות נועזות

למרות מיתוג אגרסיבי, אתר ההדלפות של VECT 2.0 מפרט, על פי הדיווחים, רק שני קורבנות, שניהם לכאורה נפגעו באמצעות מתקפות שרשרת אספקה הקשורות ל-TeamPCP.

בתחילה טענה הקבוצה כי היא משתמשת ב-ChaCha20-Poly1305 AEAD, שיטת הצפנה מאומתת חזקה יותר. עם זאת, סקירה טכנית מצאה כי השימוש בצופן חלש יותר ולא מאומת חסר הגנה על שלמותו, מה שמעלה ספקות רציניים הן לגבי היכולת והן לגבי האמינות.

כשל ההצפנה שהורס נתונים

הפגם הקריטי ביותר של הנוזקה טמון באופן שבו היא מעבדת קבצים גדולים מ-131,072 בתים. במקום להצפין נתונים הניתנים לשחזור בצורה מאובטחת, היא מפצלת כל קובץ גדול לארבעה חלקים ומצפינה כל מקטע באמצעות קבצי nonce נפרדים של 12 בתים שנוצרו באופן אקראי.

רק ה-nonce האחרון נשמר עם הקובץ המוצפן. שלושת ה-nonce הראשונים, הנדרשים לפענוח רוב הקובץ, נוצרים, משמשים פעם אחת ונמחקים לצמיתות. הם אינם נשמרים באופן מקומי, נכתבים לרישום או נשלחים למפעיל.

מכיוון ששיטת ChaCha20-IETF דורשת גם את המפתח הנכון של 32 בייט וגם את קוד ה-nonce התואם לצורך פענוח, שלושת הרבעים הראשונים של כל קובץ מושפע הופכים לבלתי ניתנים לשחזור. משמעות הדבר היא ש-VECT 2.0 מתפקד באופן מבצעי כמחק הרסני המסתתר מאחורי הודעות כופר.

גרסת Windows: תכונות מתקדמות, ביצוע חלש

גרסת Windows היא העשירה ביותר בתכונות ומכוונת ל:

  • כוננים מקומיים, מדיה נשלפת ואחסון רשת נגיש
  • 44 כלי אבטחה וניפוי שגיאות באמצעות בדיקות אנטי-אנליזה
  • מנגנוני התמדה במצב בטוח
  • תבניות סקריפט ביצוע מרחוק עבור תנועה רוחבית

כאשר היא מופעלת באמצעות --force-safemode, התוכנה הזדונית מגדירה את האתחול הבא למצב בטוח של Windows ומוסיפה את נתיב ההפעלה שלה לרישום של Windows כך שהיא תפעל אוטומטית לאחר הפעלה מחדש בסביבה עם אבטחה מופחתת.

מעניין לציין, שלמרות שגרסת Windows מכילה מנגנוני זיהוי והתחמקות מסביבה, על פי הדיווחים שגרות אלו אינן נקראות כלל. זה עשוי לאפשר למגינים לנתח דגימות מבלי להפעיל תגובות חמקניות.

גרסאות לינוקס ו-ESXi מרחיבות את שטח האיום

גרסת ESXi מבצעת בדיקות גיאוגרפיה (geofencing) ואנטי-באגים לפני תחילת ההצפנה. היא גם מנסה תנועה רוחבית דרך SSH. גרסת לינוקס חולקת את אותו בסיס קוד כמו דוגמת ESXi אך כוללת פחות יכולות.

תמיכה חוצת פלטפורמות זו מעניקה ל-VECT 2.0 פוטנציאל מיקוד רחב כנגד סביבות ארגוניות, במיוחד אלו המסתמכות על וירטואליזציה ומערכות הפעלה מעורבות.

גידור גיאוגרפי יוצא דופן של CIS מעלה שאלות

לפני הצפנת מערכות, הנוזקה בודקת אם היא פועלת במדינה בחבר העמים. אם כן, הביצוע מופסק. ראוי לציין כי אוקראינה עדיין כלולה, על פי הדיווחים, בהחרגות אלו, התנהגות לא שכיחה מכיוון שקבוצות כופר רבות הסירו את אוקראינה מרשימות החרגות של מדינות חבר העמים לאחר 2022.

הוצעו שני הסברים אפשריים:

  • ייתכן שהתוכנה הזדונית נוצרה חלקית באמצעות מודלים של בינה מלאכותית שאומנו על נתונים גיאופוליטיים מיושנים
  • ייתכן שהמפתחים עשו שימוש חוזר בבסיס קוד של תוכנת כופר ישן יותר מבלי לעדכן את הלוגיקה האזורית

סימנים של מפעילים חסרי ניסיון

למרות ש-VECT 2.0 משווקת את עצמה כאיום רב-פלטפורמתי מלוטש עם גיוס שותפים, שותפויות בשרשרת האספקה ומיתוג מקצועי, הביצוע הטכני מספר סיפור אחר.

הערכת אבטחה מצביעה על כך שהמפעילים הם ככל הנראה שחקני איום מתחילים מאשר מפתחי כופר מנוסים. לא ניתן לשלול את האפשרות שחלקים מהתוכנה הזדונית נוצרו או נעזרו בקוד שנוצר על ידי בינה מלאכותית.

הערכת ביטחון ניהולית

VECT 2.0 מדגים כיצד תוכנות כופר שנראות מסוכנות עדיין יכולות להיות פגומות מבחינה טכנית. התשתית, השותפויות והמיתוג שלה יוצרים תדמית של מיזם פשיעה רציני, אך כשל עיצוב ההצפנה חותר תחת מודל הסחיטה לחלוטין.

עבור מגינים, הלקח ברור: התמקדו בחוסן, גיבויים, פילוח ותגובה מהירה לאירועים. במתקפת VECT 2.0, תשלום אינו קונה התאוששות, הוא רק מגיע לאחר הרס.

מגמות

הכי נצפה

טוען...