VECT 2.0 ransomware
Kibernetičko-kriminalna operacija poznata kao VECT 2.0 predstavlja se kao ransomware, no tehnička analiza pokazuje ponašanje puno bliže brisanju podataka. Ozbiljna mana u implementaciji šifriranja u varijantama sustava Windows, Linux i ESXi čini oporavak datoteka nemogućim, čak i za operatere koji stoje iza napada.
Za datoteke veće od 131 KB, što uključuje većinu podataka kritičnih za poduzeća, zlonamjerni softver ne pruža enkripciju koja se može oporaviti. Umjesto toga, trajno uništava podatke potrebne za oporavak. Kao rezultat toga, plaćanje otkupnine ne nudi realan put do oporavka.
U bilo kojem VECT 2.0 incidentu, pregovaranje se ne bi trebalo smatrati strategijom sanacije. Ne postoji funkcionalni dekriptor koji treba isporučiti jer se informacije potrebne za njegovu izgradnju eliminiraju tijekom izvršenja. Obrambeni prioriteti trebali bi se usredotočiti na izvanmrežne sigurnosne kopije, validirane planove oporavka, brzo suzbijanje i otpornost poslovanja.
Sadržaj
Rastuća RaaS operacija s kriminalnim partnerstvima
VECT je izvorno pokrenut kao Ransomware-as-a-Service (RaaS) program u prosincu 2025., a od tada je preimenovan u VECT 2.0. Njegov portal za mračni web oglašava model 'Iznuda / Šifriranje / Iznuda', što signalizira pristup trostruke iznude.
Novim partnerima se navodno naplaćuje ulazna naknada od 250 dolara u Moneru (XMR). Međutim, podnositelji zahtjeva iz zemalja Zajednice neovisnih država (ZND) su izuzeti, što sugerira ciljano regrutiranje iz te regije.
Grupa je također uspostavila partnerstva s BreachForumsom i hakerskim kolektivom TeamPCP. Čini se da je ova suradnja osmišljena kako bi se pojednostavile operacije s ransomwareom, smanjile prepreke za nove suradnike i iskoristili prethodno ukradeni podaci za daljnje napade.
Kombinacija krađe vjerodajnica u lancu opskrbe, organiziranih partnerskih operacija i kriminalne mobilizacije temeljene na forumima odražava sve industrijaliziraniji ekosustav ransomwarea.
Broj žrtava ostaje nizak unatoč smjelim tvrdnjama
Unatoč agresivnom brendiranju, na stranici s informacijama o VECT 2.0 navodno su navedene samo dvije žrtve, obje navodno kompromitirane napadima na lanac opskrbe povezanim s TeamPCP-om.
Grupa je isprva tvrdila da koristi ChaCha20-Poly1305 AEAD, jaču autentificiranu metodu šifriranja. Međutim, tehničkim pregledom utvrđeno je korištenje slabije neautentificirane šifre kojoj nedostaje zaštita integriteta, što izaziva ozbiljne sumnje u vezi s mogućnostima i vjerodostojnošću.
Greška u šifriranju koja uništava podatke
Najkritičnija mana zlonamjernog softvera leži u načinu na koji obrađuje datoteke veće od 131.072 bajta. Umjesto sigurnog šifriranja podataka koji se mogu oporaviti, on svaku veliku datoteku dijeli na četiri dijela i šifrira svaki odjeljak koristeći odvojene nasumično generirane 12-bajtne jednokratne brojeve.
Samo se posljednji nonce pohranjuje s enkriptiranom datotekom. Prva tri noncea, potrebna za dešifriranje većeg dijela datoteke, generiraju se, koriste jednom i trajno odbacuju. Ne pohranjuju se lokalno, ne zapisuju se u registar niti se šalju operateru.
Budući da metoda ChaCha20-IETF zahtijeva i ispravan 32-bajtni ključ i odgovarajući jednokratni broj za dešifriranje, prve tri četvrtine svake pogođene datoteke postaju nepopravljive. To znači da VECT 2.0 operativno funkcionira kao destruktivni brisač skriven iza poruka ransomwarea.
Varijanta sustava Windows: Napredne značajke, Slabo izvršavanje
Verzija za Windows ima najviše značajki i usmjerena je na:
- Lokalni diskovi, izmjenjivi mediji i dostupna mrežna pohrana
- 44 alata za sigurnost i otklanjanje pogrešaka putem provjera protiv analize
- Mehanizmi perzistencije sigurnog načina rada
- Predlošci skripti za udaljeno izvršavanje za lateralno kretanje
Kada se pokrene s --force-safemode, zlonamjerni softver konfigurira sljedeće ponovno pokretanje u siguran način rada sustava Windows i dodaje svoju izvršnu putanju u registar sustava Windows tako da se automatski pokreće nakon ponovnog pokretanja u okruženju smanjene sigurnosti.
Zanimljivo je da, iako Windows varijanta sadrži mehanizme za otkrivanje i izbjegavanje okruženja, te se rutine navodno nikada ne pozivaju. To bi moglo omogućiti braniteljima da analiziraju uzorke bez aktiviranja prikrivenih odgovora.
Varijante Linuxa i ESXi-ja proširuju područje prijetnji
ESXi verzija provodi provjere geofencinga i anti-debugginga prije početka šifriranja. Također pokušava lateralno kretanje putem SSH-a. Linux varijanta dijeli istu kodnu bazu kao i ESXi uzorak, ali uključuje manje mogućnosti.
Ova podrška za više platformi daje VECT 2.0 širok potencijal ciljanja na poslovna okruženja, posebno ona koja se oslanjaju na virtualizaciju i mješovite operativne sustave.
Neobično CIS geofencing postavlja pitanja
Prije šifriranja sustava, zlonamjerni softver provjerava izvršava li se u zemlji ZND-a. Ako jest, izvršavanje se zaustavlja. Važno je napomenuti da je Ukrajina navodno još uvijek uključena u ta izuzeća, što je neuobičajeno ponašanje budući da su mnoge skupine ransomwarea uklonile Ukrajinu s popisa izuzeća ZND-a nakon 2022. godine.
Predložena su dva vjerojatna objašnjenja:
Znakovi neiskusnih operatera
Iako se VECT 2.0 predstavlja kao uglađena višeplatformska prijetnja s regrutiranjem partnera, partnerstvima u lancu opskrbe i profesionalnim brendiranjem, tehnička izvedba govori drugačiju priču.
Sigurnosna procjena sugerira da su operateri vjerojatnije početnici u prijetnjama nego iskusni programeri ransomwarea. Ne može se isključiti mogućnost da su dijelovi zlonamjernog softvera proizvedeni ili potpomognuti kodom generiranim umjetnom inteligencijom.
Procjena sigurnosti rukovoditelja
VECT 2.0 pokazuje kako opasan ransomware i dalje može biti tehnički nesavršen. Njegova infrastruktura, partnerstva i brendiranje stvaraju sliku ozbiljnog kriminalnog pothvata, ali neuspjeh u dizajnu enkripcije u potpunosti potkopava model iznude.
Za branitelje je lekcija jasna: usredotočite se na otpornost, sigurnosne kopije, segmentaciju i brzi odgovor na incidente. U VECT 2.0 napadu, plaćanje ne kupuje oporavak, ono slijedi samo nakon uništenja.
