Preventivo sconto multi-licenza
Database delle minacce Riscatto Ransomware VECT 2.0

Ransomware VECT 2.0

Entro Mezo nel Riscatto
Traduci in:

L'operazione criminale informatica nota come VECT 2.0 si presenta come un ransomware, ma l'analisi tecnica rivela un comportamento molto più simile a quello di un programma di cancellazione sicura dei dati. Una grave falla nell'implementazione della crittografia, presente su diverse architetture Windows, Linux ed ESXi, rende impossibile il recupero dei file, persino per gli autori degli attacchi.

Per i file di dimensioni superiori a 131 KB, che includono la maggior parte dei dati aziendali critici, il malware non fornisce una crittografia recuperabile. Al contrario, distrugge in modo permanente i dati necessari per il ripristino. Di conseguenza, il pagamento del riscatto non offre una via realistica per il recupero.

In qualsiasi incidente VECT 2.0, la negoziazione non dovrebbe essere considerata una strategia di risoluzione. Non esiste un decrittatore funzionante da fornire perché le informazioni necessarie per crearne uno vengono eliminate durante l'esecuzione. Le priorità difensive dovrebbero concentrarsi su backup offline, piani di ripristino validati, contenimento rapido e resilienza aziendale.

Un’operazione RaaS in espansione con collaborazioni criminali

VECT è stato inizialmente lanciato come programma Ransomware-as-a-Service (RaaS) nel dicembre 2025 e da allora ha cambiato nome in VECT 2.0. Il suo portale sul dark web pubblicizza il modello "Esfiltrazione / Crittografia / Estorsione", segnalando un approccio di tripla estorsione.

Secondo alcune fonti, ai nuovi affiliati viene richiesto un costo di iscrizione di 250 dollari in Monero (XMR). Tuttavia, i candidati provenienti dai paesi della Comunità degli Stati Indipendenti (CSI) ne sono esenti, il che suggerisce un reclutamento mirato in quella regione.

Il gruppo ha inoltre stretto collaborazioni con BreachForums e il collettivo di hacker TeamPCP. Questa cooperazione sembra essere finalizzata a semplificare le operazioni di ransomware, abbassare le barriere all'ingresso per i nuovi affiliati e sfruttare i dati precedentemente rubati per ulteriori attacchi.

La combinazione di furto di credenziali nella catena di approvvigionamento, operazioni organizzate da affiliati e mobilitazione criminale basata sui forum riflette un ecosistema ransomware sempre più industrializzato.

Nonostante le affermazioni audaci, il numero delle vittime rimane basso.

Nonostante un branding aggressivo, il sito di fuga di notizie di VECT 2.0 elenca, a quanto pare, solo due vittime, entrambe presumibilmente compromesse tramite attacchi alla catena di approvvigionamento legati a TeamPCP.

Il gruppo inizialmente aveva affermato di utilizzare ChaCha20-Poly1305 AEAD, un metodo di crittografia autenticato più robusto. Tuttavia, una revisione tecnica ha rilevato l'utilizzo di un algoritmo di cifratura non autenticato più debole, privo di protezione dell'integrità, sollevando seri dubbi sia sulle sue capacità che sulla sua credibilità.

Il fallimento della crittografia che distrugge i dati

Il difetto più critico del malware risiede nel modo in cui elabora i file di dimensioni superiori a 131.072 byte. Invece di crittografare in modo sicuro i dati recuperabili, suddivide ogni file di grandi dimensioni in quattro parti e crittografa ciascuna sezione utilizzando dei nonce di 12 byte generati casualmente.

Solo l'ultimo nonce viene memorizzato insieme al file crittografato. I primi tre nonce, necessari per decrittografare la maggior parte del file, vengono generati, utilizzati una sola volta e scartati definitivamente. Non vengono salvati localmente, scritti nel registro di sistema o inviati all'operatore.

Poiché il metodo ChaCha20-IETF richiede sia la chiave corretta a 32 byte che il nonce corrispondente per la decrittazione, i primi tre quarti di ogni file infetto diventano irrecuperabili. Ciò significa che VECT 2.0 funziona operativamente come un wiper distruttivo nascosto dietro i messaggi di riscatto.

Variante per Windows: Funzionalità avanzate, esecuzione debole

La versione per Windows è la più ricca di funzionalità e si rivolge a:

  • Unità locali, supporti rimovibili e archiviazione di rete accessibile
  • 44 strumenti di sicurezza e debug tramite controlli anti-analisi
  • meccanismi di persistenza della modalità sicura
  • Modelli di script per l'esecuzione remota del movimento laterale

Se avviato con l'opzione --force-safemode, il malware configura il successivo riavvio in modalità provvisoria di Windows e aggiunge il percorso del suo eseguibile al Registro di sistema di Windows, in modo da essere eseguito automaticamente dopo il riavvio in un ambiente con sicurezza ridotta.

È interessante notare che, sebbene la variante per Windows contenga meccanismi di rilevamento e di elusione dell'ambiente, a quanto pare queste routine non vengono mai richiamate. Ciò potrebbe consentire ai difensori di analizzare i campioni senza attivare le risposte di occultamento.

Le varianti di Linux e ESXi ampliano la superficie di minaccia

La versione per ESXi esegue controlli di geofencing e anti-debugging prima di avviare la crittografia. Tenta inoltre il movimento laterale tramite SSH. La variante per Linux condivide lo stesso codice sorgente dell'esempio per ESXi, ma include meno funzionalità.

Questo supporto multipiattaforma conferisce a VECT 2.0 un ampio potenziale di targeting nei confronti degli ambienti aziendali, in particolare quelli che si basano sulla virtualizzazione e su sistemi operativi misti.

L’insolita geolocalizzazione della CSI solleva interrogativi

Prima di crittografare i sistemi, il malware verifica se è in esecuzione in un Paese della CSI. In tal caso, l'esecuzione si interrompe. È interessante notare che l'Ucraina sarebbe ancora inclusa in queste esclusioni, un comportamento insolito dato che molti gruppi ransomware hanno rimosso l'Ucraina dalle liste di esenzione della CSI dopo il 2022.

Sono state proposte due possibili spiegazioni:

  • Il malware potrebbe essere stato generato in parte utilizzando modelli di intelligenza artificiale addestrati su dati geopolitici obsoleti.
  • Gli sviluppatori potrebbero aver riutilizzato un vecchio codice sorgente di ransomware senza aggiornarne la logica regionale.

Segnali di operatori inesperti

Sebbene VECT 2.0 si presenti sul mercato come una minaccia multipiattaforma ben strutturata, dotata di reclutamento di affiliati, partnership nella catena di fornitura e un branding professionale, l'implementazione tecnica racconta una storia diversa.

La valutazione della sicurezza suggerisce che gli operatori siano più probabilmente hacker alle prime armi che sviluppatori di ransomware esperti. Non si può escludere la possibilità che parte del malware sia stata prodotta o supportata da codice generato dall'intelligenza artificiale.

Valutazione della sicurezza dei dirigenti

VECT 2.0 dimostra come un ransomware dall'aspetto minaccioso possa comunque presentare delle falle tecniche. La sua infrastruttura, le partnership e il marchio creano l'immagine di una seria organizzazione criminale, ma il fallimento nella progettazione della crittografia mina completamente il modello estorsivo.

Per chi si occupa di difesa, la lezione è chiara: concentrarsi su resilienza, backup, segmentazione e risposta rapida agli incidenti. In un attacco VECT 2.0, il pagamento non garantisce il ripristino, ma solo la distruzione.

Tendenza

I più visti

Caricamento in corso...