VECT 2.0 रैंसमवेयर
VECT 2.0 नामक साइबर आपराधिक गतिविधि खुद को रैंसमवेयर के रूप में प्रस्तुत करती है, लेकिन तकनीकी विश्लेषण से पता चलता है कि इसका व्यवहार डेटा वाइपर से कहीं अधिक मिलता-जुलता है। विंडोज, लिनक्स और ESXi संस्करणों में इसके एन्क्रिप्शन कार्यान्वयन में एक गंभीर खामी के कारण, हमले के संचालकों के लिए भी फ़ाइल पुनर्प्राप्ति असंभव हो जाती है।
131 केबी से बड़ी फ़ाइलों के लिए, जिनमें अधिकांश उद्यम-महत्वपूर्ण डेटा शामिल होता है, मैलवेयर पुनर्प्राप्ति योग्य एन्क्रिप्शन प्रदान नहीं करता है। इसके बजाय, यह पुनर्स्थापना के लिए आवश्यक डेटा को स्थायी रूप से नष्ट कर देता है। परिणामस्वरूप, फिरौती का भुगतान करने से डेटा की पुनर्प्राप्ति का कोई व्यावहारिक रास्ता नहीं बचता है।
किसी भी VECT 2.0 घटना में, बातचीत को समाधान रणनीति नहीं माना जाना चाहिए। कोई कार्यात्मक डिक्रिप्टर उपलब्ध नहीं है क्योंकि इसे बनाने के लिए आवश्यक जानकारी निष्पादन के दौरान नष्ट हो जाती है। सुरक्षा संबंधी प्राथमिकताएं ऑफ़लाइन बैकअप, मान्य पुनर्प्राप्ति योजनाओं, त्वरित रोकथाम और व्यावसायिक लचीलेपन पर केंद्रित होनी चाहिए।
विषयसूची
आपराधिक साझेदारियों के साथ एक बढ़ता हुआ RaaS ऑपरेशन
VECT को मूल रूप से दिसंबर 2025 में रैंसमवेयर-एज़-ए-सर्विस (RaaS) प्रोग्राम के रूप में लॉन्च किया गया था और तब से इसका नाम बदलकर VECT 2.0 कर दिया गया है। इसका डार्क वेब पोर्टल 'एक्सफ़िल्ट्रेशन / एन्क्रिप्शन / एक्सटॉर्शन' मॉडल का विज्ञापन करता है, जो तिहरे स्तर पर जबरन वसूली के दृष्टिकोण का संकेत देता है।
खबरों के मुताबिक, नए सदस्यों से 250 डॉलर का मोनेरो (XMR) प्रवेश शुल्क लिया जाता है। हालांकि, स्वतंत्र राज्यों के राष्ट्रमंडल (CIS) देशों के आवेदकों को इससे छूट दी गई है, जिससे पता चलता है कि इस क्षेत्र से लक्षित भर्ती की जा रही है।
इस समूह ने ब्रीचफोरम्स और टीमपीसीपी हैकिंग समूह के साथ भी साझेदारी की है। ऐसा प्रतीत होता है कि यह सहयोग रैंसमवेयर हमलों को सरल बनाने, नए सहयोगियों के लिए बाधाओं को कम करने और पहले से चुराए गए डेटा का उपयोग आगे के हमलों के लिए हथियार के रूप में करने के लिए बनाया गया है।
आपूर्ति श्रृंखला में साख की चोरी, संगठित सहयोगी संचालन और मंच-आधारित आपराधिक लामबंदी का संयोजन तेजी से औद्योगीकृत रैंसमवेयर पारिस्थितिकी तंत्र को दर्शाता है।
बड़े-बड़े दावों के बावजूद पीड़ितों की संख्या कम बनी हुई है।
आक्रामक प्रचार के बावजूद, VECT 2.0 की लीक साइट पर कथित तौर पर केवल दो पीड़ितों के नाम हैं, जो दोनों कथित तौर पर TeamPCP से संबंधित आपूर्ति-श्रृंखला हमलों के माध्यम से प्रभावित हुए थे।
समूह ने शुरू में दावा किया कि वे ChaCha20-Poly1305 AEAD नामक एक अधिक मजबूत प्रमाणित एन्क्रिप्शन विधि का उपयोग कर रहे हैं। हालांकि, तकनीकी समीक्षा में पाया गया कि उन्होंने एक कमजोर, अप्रमाणित सिफर का उपयोग किया है जिसमें अखंडता सुरक्षा का अभाव है, जिससे उनकी क्षमता और विश्वसनीयता दोनों पर गंभीर संदेह पैदा होता है।
डेटा को नष्ट करने वाली एन्क्रिप्शन विफलता
इस मैलवेयर की सबसे गंभीर खामी 131,072 बाइट्स से बड़ी फाइलों को प्रोसेस करने के तरीके में निहित है। पुनर्प्राप्त करने योग्य डेटा को सुरक्षित रूप से एन्क्रिप्ट करने के बजाय, यह प्रत्येक बड़ी फाइल को चार भागों में विभाजित करता है और प्रत्येक भाग को अलग-अलग यादृच्छिक रूप से उत्पन्न 12-बाइट नॉनस का उपयोग करके एन्क्रिप्ट करता है।
केवल अंतिम नॉनस ही एन्क्रिप्टेड फ़ाइल के साथ संग्रहीत किया जाता है। फ़ाइल के अधिकांश भाग को डिक्रिप्ट करने के लिए आवश्यक पहले तीन नॉनस उत्पन्न किए जाते हैं, एक बार उपयोग किए जाते हैं और स्थायी रूप से हटा दिए जाते हैं। इन्हें स्थानीय रूप से सहेजा नहीं जाता, रजिस्ट्री में लिखा नहीं जाता और न ही ऑपरेटर को भेजा जाता है।
ChaCha20-IETF विधि को डिक्रिप्शन के लिए सही 32-बाइट कुंजी और मिलान करने वाले नॉनस दोनों की आवश्यकता होती है, इसलिए प्रभावित फ़ाइल के पहले तीन चौथाई भाग को पुनर्प्राप्त करना असंभव हो जाता है। इसका अर्थ है कि VECT 2.0 रैंसमवेयर संदेशों के पीछे छिपे एक विनाशकारी वाइपर के रूप में कार्य करता है।
विंडोज़ संस्करण: उन्नत सुविधाएँ, कमज़ोर निष्पादन
विंडोज संस्करण सबसे अधिक सुविधाओं से भरपूर है और निम्नलिखित को लक्षित करता है:
- स्थानीय ड्राइव, रिमूवेबल मीडिया और सुलभ नेटवर्क स्टोरेज
- एंटी-एनालिसिस जांच के माध्यम से 44 सुरक्षा और डिबगिंग उपकरण
- सुरक्षित मोड निरंतरता तंत्र
- पार्श्व गति के लिए रिमोट निष्पादन स्क्रिप्ट टेम्पलेट
जब इसे --force-safemode विकल्प के साथ लॉन्च किया जाता है, तो मैलवेयर अगले रीबूट को विंडोज सेफ मोड में कॉन्फ़िगर करता है और अपने एक्जीक्यूटेबल पथ को विंडोज रजिस्ट्री में जोड़ देता है ताकि यह रीस्टार्ट के बाद स्वचालित रूप से कम सुरक्षा वाले वातावरण में चल सके।
दिलचस्प बात यह है कि हालांकि विंडोज संस्करण में पर्यावरण का पता लगाने और उससे बचने के तंत्र मौजूद हैं, लेकिन कथित तौर पर उन प्रक्रियाओं को कभी लागू नहीं किया जाता है। इससे बचावकर्ताओं को गुप्त प्रतिक्रियाओं को सक्रिय किए बिना नमूनों का विश्लेषण करने की सुविधा मिल सकती है।
Linux और ESXi वेरिएंट खतरे की सतह को बढ़ाते हैं
ESXi संस्करण एन्क्रिप्शन शुरू करने से पहले जियोफेंसिंग और एंटी-डीबगिंग जांच करता है। यह SSH के माध्यम से पार्श्व मूवमेंट का भी प्रयास करता है। Linux संस्करण का कोडबेस ESXi नमूने के समान है, लेकिन इसमें कम क्षमताएं हैं।
यह क्रॉस-प्लेटफ़ॉर्म समर्थन VECT 2.0 को उद्यम परिवेशों, विशेष रूप से वर्चुअलाइजेशन और मिश्रित ऑपरेटिंग सिस्टम पर निर्भर परिवेशों के विरुद्ध व्यापक लक्ष्यीकरण क्षमता प्रदान करता है।
असामान्य सीआईएस जियोफेंसिंग से सवाल उठते हैं
सिस्टम को एन्क्रिप्ट करने से पहले, मैलवेयर यह जांचता है कि क्या वह CIS देश में चल रहा है। यदि हां, तो निष्पादन रुक जाता है। गौरतलब है कि यूक्रेन अभी भी इन बहिष्करणों में शामिल है, जो एक असामान्य व्यवहार है क्योंकि कई रैंसमवेयर समूहों ने 2022 के बाद यूक्रेन को CIS छूट सूचियों से हटा दिया था।
इसके लिए दो संभावित स्पष्टीकरण प्रस्तावित किए गए हैं:
अनुभवहीन संचालकों के लक्षण
हालांकि VECT 2.0 खुद को सहयोगी भर्ती, आपूर्ति-श्रृंखला साझेदारी और पेशेवर ब्रांडिंग के साथ एक परिष्कृत मल्टी-प्लेटफॉर्म खतरे के रूप में पेश करता है, लेकिन तकनीकी क्रियान्वयन एक अलग ही कहानी बयां करता है।
सुरक्षा आकलन से पता चलता है कि ये ऑपरेटर अनुभवी रैंसमवेयर डेवलपर्स की बजाय नौसिखिए हमलावर होने की अधिक संभावना रखते हैं। इस संभावना से भी इनकार नहीं किया जा सकता कि मैलवेयर के कुछ हिस्से कृत्रिम बुद्धिमत्ता (AI) द्वारा निर्मित कोड की मदद से तैयार किए गए हों।
कार्यकारी सुरक्षा मूल्यांकन
VECT 2.0 यह दर्शाता है कि खतरनाक दिखने वाला रैंसमवेयर भी तकनीकी रूप से त्रुटिपूर्ण हो सकता है। इसकी संरचना, साझेदारियाँ और ब्रांडिंग एक गंभीर आपराधिक गिरोह की छवि बनाते हैं, लेकिन एन्क्रिप्शन डिज़ाइन की विफलता जबरन वसूली के मॉडल को पूरी तरह से निष्फल कर देती है।
रक्षा करने वालों के लिए सबक स्पष्ट है: लचीलेपन, बैकअप, विभाजन और त्वरित घटना प्रतिक्रिया पर ध्यान केंद्रित करें। VECT 2.0 हमले में, भुगतान से रिकवरी नहीं मिलती, यह केवल विनाश के बाद ही मिलती है।
