VECT 2.0 zsarolóvírus
A VECT 2.0 néven ismert kiberbűnözői művelet zsarolóvírusként mutatja be magát, ám a technikai elemzés szerint viselkedése sokkal inkább egy adattörlőre hasonlít. A Windows, Linux és ESXi változatokban alkalmazott titkosítási implementációjában egy súlyos hiba teszi lehetetlenné a fájlok helyreállítását, még a támadások mögött álló operátorok számára is.
A 131 KB-nál nagyobb fájlok esetében, amelyek a legtöbb vállalati szempontból kritikus adatot tartalmazzák, a kártevő nem biztosít helyreállítható titkosítást. Ehelyett véglegesen megsemmisíti a visszaállításhoz szükséges adatokat. Ennek eredményeként a váltságdíj fizetése nem kínál reális utat a helyreállításhoz.
Egyetlen VECT 2.0 incidens esetén sem szabad a tárgyalást elhárítási stratégiának tekinteni. Nincs olyan funkcionális visszafejtő, amelyet biztosítani kellene, mivel a végrehajtás során megsemmisülnek a felépítéséhez szükséges információk. A védelmi prioritásoknak az offline biztonsági mentésekre, a validált helyreállítási tervekre, a gyors elszigetelésre és az üzleti rugalmasságra kell összpontosulniuk.
Tartalomjegyzék
Egy növekvő RaaS-művelet bűnözői partnerségekkel
A VECT eredetileg zsarolóvírus-szolgáltatásként (RaaS) programként indult 2025 decemberében, azóta pedig VECT 2.0 névre keresztelték át. Sötét webes portálja az „Elszivárgás / Titkosítás / Zsarolás” modellt hirdeti, ami egy hármas zsarolási megközelítést jelez.
Az új tagoknak állítólag 250 dolláros Monero (XMR) belépési díjat kell fizetniük. A Független Államok Közösségének (FÁK) országaiból érkező jelentkezők azonban mentesülnek ez alól, ami célzott toborzásra utal ebből a régióból.
A csoport partnerségre lépett a BreachForumsszal és a TeamPCP hackerkollektívával is. Úgy tűnik, ez az együttműködés a zsarolóvírus-műveletek egyszerűsítését, az új partnerek előtt álló akadályok csökkentését és a korábban ellopott adatok további támadásokhoz való fegyverként való felhasználását célozza.
Az ellátási láncban történő hitelesítő adatok ellopásának, a szervezett affiliate műveleteknek és a fórumokon alapuló bűnözői mozgósításnak a kombinációja egy egyre inkább iparosodott zsarolóvírus-ökoszisztémát tükröz.
Az áldozatok száma továbbra is alacsony a merész állítások ellenére
Az agresszív márkaépítés ellenére a VECT 2.0 kiszivárogtató oldala állítólag csak két áldozatot sorol fel, akiket állítólag TeamPCP-vel kapcsolatos ellátási lánc támadások értek.
A csoport kezdetben azt állította, hogy a ChaCha20-Poly1305 AEAD-t használja, ami egy erősebb hitelesített titkosítási módszer. A technikai felülvizsgálat azonban egy gyengébb, nem hitelesített titkosítást talált, amely nem rendelkezett integritásvédelemmel, ami komoly kétségeket vetett fel mind a képességgel, mind a hitelességgel kapcsolatban.
A titkosítási hiba, amely megsemmisíti az adatokat
A kártevő legkritikusabb hibája a 131 072 bájtnál nagyobb fájlok feldolgozásában rejlik. Ahelyett, hogy biztonságosan titkosítaná a helyreállítható adatokat, minden nagy fájlt négy részre oszt, és minden szakaszt külön, véletlenszerűen generált 12 bájtos nonce-okkal titkosít.
Csak az utolsó nonce kerül tárolásra a titkosított fájlban. Az első három nonce, amelyek a fájl nagy részének visszafejtéséhez szükségesek, generálódnak, egyszer használatosak, majd véglegesen törlődnek. Nem kerülnek mentésre helyben, nem kerülnek be a beállításjegyzékbe, és nem kerülnek elküldésre az operátornak.
Mivel a ChaCha20-IETF módszer a visszafejtéshez mind a helyes 32 bájtos kulcsot, mind a hozzá tartozó nonce kulcsot igényli, az egyes érintett fájlok első háromnegyede helyreállíthatatlanná válik. Ez azt jelenti, hogy a VECT 2.0 működésileg egy romboló törlőkendőként működik, amely a zsarolóvírus-üzenetek mögé van rejtve.
Windows változat: Speciális funkciók, gyenge végrehajtás
A Windows verzió a leggazdagabb funkciókkal rendelkezik, és a következőket célozza meg:
- Helyi meghajtók, cserélhető adathordozók és elérhető hálózati tárolók
- 44 biztonsági és hibakereső eszköz anti-analízis ellenőrzéseken keresztül
- Biztonságos módban történő megőrzési mechanizmusok
- Távoli végrehajtási szkript sablonok oldalirányú mozgáshoz
Amikor a --force-safemode kapcsolóval indítják, a kártevő a következő újraindításkor Windows csökkentett módba állítja be a rendszert, és hozzáadja a futtatható fájl elérési útját a Windows rendszerleíró adatbázishoz, így az újraindítás után automatikusan, csökkentett biztonsági környezetben fut.
Érdekes módon, bár a Windows-os változat tartalmaz környezetészlelő és -elkerülő mechanizmusokat, ezeket a rutinokat állítólag soha nem hívják meg. Ez lehetővé teheti a védők számára, hogy lopakodó válaszok kiváltása nélkül elemezzék a mintákat.
A Linux és az ESXi variánsok kiterjesztik a fenyegetések felületét
Az ESXi verzió geofencing és hibakeresési ellenőrzéseket végez a titkosítás megkezdése előtt. Emellett SSH-n keresztüli oldalirányú mozgást is megpróbál. A Linux-változat ugyanazt a kódbázist használja, mint az ESXi minta, de kevesebb képességgel rendelkezik.
Ez a platformfüggetlen támogatás széleskörű célzási lehetőségeket biztosít a VECT 2.0 számára a vállalati környezetekben, különösen azokban, amelyek virtualizációra és vegyes operációs rendszerekre támaszkodnak.
A szokatlan CIS geofencing kérdéseket vet fel
A rendszerek titkosítása előtt a rosszindulatú program ellenőrzi, hogy egy FÁK-országban fut-e. Ha igen, a végrehajtás leáll. Figyelemre méltó, hogy Ukrajna állítólag továbbra is szerepel ezekben a kizárásokban, ami szokatlan viselkedés, mivel számos zsarolóvírus-csoport 2022 után eltávolította Ukrajnát a FÁK-országok mentesítési listáiról.
Két valószínű magyarázatot javasoltak:
- Lehetséges, hogy a rosszindulatú programot részben elavult geopolitikai adatokon képzett mesterséges intelligencia modellek segítségével generálták.
- A fejlesztők esetleg egy régebbi zsarolóvírus-kódbázist használtak újra a regionális logika frissítése nélkül.
A tapasztalatlan kezelők jelei
Bár a VECT 2.0 egy kifinomult, többplatformos fenyegetésként hirdeti magát, amely affiliate toborzást, ellátási lánc partnerségeket és professzionális márkaépítést kínál, a technikai kivitelezés más történetet mutat.
A biztonsági értékelések azt sugallják, hogy az üzemeltetők inkább kezdő fenyegetésekért felelős szereplők, mint tapasztalt zsarolóvírus-fejlesztők. Nem zárható ki annak a lehetősége, hogy a rosszindulatú programok egyes részeit mesterséges intelligencia által generált kód állította elő vagy segítette elő.
Vezetői biztonsági értékelés
A VECT 2.0 bemutatja, hogy a veszélyesnek tűnő zsarolóvírusok is milyen technikailag hibásak lehetnek. Infrastruktúrája, partnerségei és márkaépítése egy komoly bűnözői vállalkozás képét kelti, de a titkosítási tervezési hiba teljesen aláássa a zsarolási modellt.
A védők számára a tanulság világos: a rugalmasságra, a biztonsági mentésekre, a szegmentálásra és a gyors incidensreagálásra kell összpontosítani. Egy VECT 2.0 támadás során a fizetség nem vásárol helyreállítást, csak a pusztítást követi.
