VECT 2.0 랜섬웨어

VECT 2.0으로 알려진 사이버 범죄 조직은 랜섬웨어로 위장하고 있지만, 기술적 분석 결과 실제 작동 방식은 데이터 삭제에 훨씬 더 가깝습니다. Windows, Linux 및 ESXi 변종 전반에 걸쳐 암호화 구현에 심각한 결함이 있어 공격자조차 파일 복구가 불가능합니다.

131KB보다 큰 파일(대부분의 기업 중요 데이터 포함)의 경우, 악성 소프트웨어는 복구 가능한 암호화를 제공하지 않습니다. 대신 복구에 필요한 데이터를 영구적으로 파괴합니다. 따라서 몸값을 지불하더라도 현실적인 복구 방법은 없습니다.

VECT 2.0 사고 발생 시 협상은 복구 전략으로 고려되어서는 안 됩니다. 실행 과정에서 복호화 도구를 구축하는 데 필요한 정보가 모두 소멸되기 때문에, 실제로 작동하는 복호화 도구를 제공할 수 없습니다. 따라서 방어 전략의 우선순위는 오프라인 백업, 검증된 복구 계획, 신속한 확산 방지, 그리고 비즈니스 연속성 확보에 집중해야 합니다.

범죄 조직과 파트너십을 맺은 성장하는 RaaS 사업

VECT는 원래 2025년 12월에 서비스형 랜섬웨어(RaaS) 프로그램으로 출시되었으며, 이후 VECT 2.0으로 이름을 변경했습니다. 다크 웹 포털에서는 '데이터 유출/암호화/협박'이라는 모델을 내세워 3단계 협박 전략을 홍보하고 있습니다.

신규 회원은 250달러 상당의 모네로(XMR) 가입비를 내야 하는 것으로 알려졌습니다. 하지만 독립국가연합(CIS) 국가 출신 신청자는 면제되는데, 이는 해당 지역을 대상으로 한 표적 모집임을 시사합니다.

이 그룹은 BreachForums 및 TeamPCP 해킹 집단과도 협력 관계를 맺었습니다. 이러한 협력은 랜섬웨어 공격을 단순화하고, 새로운 협력자 확보의 장벽을 낮추며, 이전에 탈취한 데이터를 추가 공격에 활용하기 위한 것으로 보입니다.

공급망 자격 증명 탈취, 조직적인 제휴 활동, 포럼 기반 범죄 집단 동원 등의 조합은 점점 더 산업화되는 랜섬웨어 생태계를 반영합니다.

대담한 주장에도 불구하고 피해자 수는 여전히 적은 수준입니다.

공격적인 브랜딩에도 불구하고, VECT 2.0의 유출 사이트에는 피해자가 단 두 명만 명시되어 있으며, 두 피해자 모두 TeamPCP 관련 공급망 공격을 통해 피해를 입은 것으로 알려졌습니다.

해당 그룹은 처음에는 더 강력한 인증 암호화 방식인 ChaCha20-Poly1305 AEAD를 사용한다고 주장했습니다. 그러나 기술 검토 결과, 무결성 보호 기능이 부족한 취약한 비인증 암호화 방식을 사용한 것으로 드러나면서, 그룹의 역량과 신뢰성에 심각한 의문이 제기되었습니다.

데이터를 파괴하는 암호화 실패

이 악성코드의 가장 치명적인 결함은 131,072바이트보다 큰 파일을 처리하는 방식에 있습니다. 복구 가능한 데이터를 안전하게 암호화하는 대신, 각 대용량 파일을 네 부분으로 나누고 각 부분을 12바이트 크기의 무작위 난수로 암호화합니다.

암호화된 파일에는 최종 논스만 저장됩니다. 파일의 대부분을 복호화하는 데 필요한 처음 세 개의 논스는 생성되어 한 번 사용된 후 영구적으로 폐기됩니다. 이러한 논스는 로컬에 저장되거나 레지스트리에 기록되거나 운영자에게 전송되지 않습니다.

ChaCha20-IETF 방식은 복호화를 위해 올바른 32바이트 키와 일치하는 논스(nonce) 값이 모두 필요하기 때문에, 감염된 파일의 처음 4분의 3은 복구할 수 없게 됩니다. 즉, VECT 2.0은 랜섬웨어 메시지 뒤에 숨겨진 파괴적인 데이터 삭제 프로그램처럼 작동합니다.

윈도우 버전: 고급 기능, 약한 실행

Windows 버전은 기능이 가장 풍부하며 다음과 같은 사용자를 대상으로 합니다.

• 로컬 드라이브, 이동식 미디어 및 접근 가능한 네트워크 저장소
• 안티 분석 검사를 통한 44가지 보안 및 디버깅 도구
• 안전 모드 지속성 메커니즘
• 측면 이동을 위한 원격 실행 스크립트 템플릿

--force-safemode 옵션과 함께 실행될 경우, 해당 악성 프로그램은 다음 재부팅 시 Windows 안전 모드로 실행되도록 설정하고 실행 파일 경로를 Windows 레지스트리에 추가하여 재부팅 후 보안이 저하된 환경에서 자동으로 실행되도록 합니다.

흥미롭게도, 윈도우 변종에는 환경 감지 및 회피 메커니즘이 포함되어 있지만, 해당 루틴은 실제로 호출되지 않는 것으로 알려져 있습니다. 이는 방어자들이 은밀한 대응을 유발하지 않고도 샘플을 분석할 수 있게 해 줄 수 있습니다.

리눅스 및 ESXi 변종들이 위협 표면을 확대하고 있습니다.

ESXi 버전은 암호화를 시작하기 전에 지오펜싱 및 디버깅 방지 검사를 수행합니다. 또한 SSH를 통한 측면 이동을 시도합니다. Linux 버전은 ESXi 샘플과 동일한 코드베이스를 공유하지만 기능은 더 적습니다.

이러한 크로스 플랫폼 지원을 통해 VECT 2.0은 기업 환경, 특히 가상화 및 혼합 운영 체제를 사용하는 환경을 대상으로 광범위한 타겟팅 잠재력을 갖게 됩니다.

특이한 CIS 지오펜싱으로 의문점 제기

시스템을 암호화하기 전에 악성코드는 자신이 CIS 국가에서 실행 중인지 확인합니다. 만약 그렇다면 실행이 중단됩니다. 특히, 우크라이나가 여전히 이러한 제외 대상에 포함되어 있다는 점은 이례적인 일인데, 많은 랜섬웨어 그룹들이 2022년 이후 우크라이나를 CIS 제외 목록에서 제외했기 때문입니다.

두 가지 유력한 설명이 제시되었습니다.

미숙한 작업자의 징후

VECT 2.0은 제휴사 모집, 공급망 파트너십, 전문적인 브랜딩 등을 갖춘 세련된 멀티 플랫폼 경쟁업체로 홍보하지만, 실제 기술적 실행은 엇갈린 모습을 보여줍니다.

보안 평가 결과, 공격자는 노련한 랜섬웨어 개발자라기보다는 초보 위협 행위자일 가능성이 더 높습니다. 악성코드의 일부가 인공지능(AI) 생성 코드에 의해 만들어졌거나 AI의 도움을 받았을 가능성도 배제할 수 없습니다.

임원 보안 평가

VECT 2.0은 겉보기에 위험해 보이는 랜섬웨어조차 기술적으로 결함이 있을 수 있음을 보여줍니다. 이 랜섬웨어는 인프라, 제휴 관계, 그리고 브랜드 이미지를 통해 심각한 범죄 조직처럼 보이지만, 암호화 설계의 결함으로 인해 갈취 모델 자체가 완전히 무너집니다.

방어자들에게 주는 교훈은 분명합니다. 복원력, 백업, 시스템 분할, 그리고 신속한 사고 대응에 집중해야 합니다. VECT 2.0 공격에서는 비용을 지불한다고 해서 복구가 가능한 것이 아니라, 시스템을 완전히 파괴해야만 복구가 가능합니다.