VECT 2.0 izspiedējvīruss
Kibernoziedznieku operācija, kas pazīstama kā VECT 2.0, sevi pozicionē kā izspiedējvīrusu, tomēr tehniskā analīze liecina, ka tā darbojas daudz tuvāk datu dzēsējam. Nopietna kļūda tās šifrēšanas ieviešanā Windows, Linux un ESXi variantos padara failu atgūšanu neiespējamu pat uzbrukumu veicējiem.
Failiem, kas lielāki par 131 KB, kuros ir ietverta lielākā daļa uzņēmumam kritiski svarīgu datu, ļaunprogrammatūra nenodrošina atjaunojamu šifrēšanu. Tā vietā tā neatgriezeniski iznīcina atjaunošanai nepieciešamos datus. Tā rezultātā izpirkuma maksa nepiedāvā reālistisku atgūšanas veidu.
Jebkurā VECT 2.0 incidentā sarunas nevajadzētu uzskatīt par novēršanas stratēģiju. Nav funkcionāla atšifrētāja, jo izpildes laikā tiek zaudēta informācija, kas nepieciešama tā izveidei. Aizsardzības prioritātēm jābūt vērstām uz bezsaistes dublējumiem, validētiem atkopšanas plāniem, ātru ierobežošanu un uzņēmuma noturību.
Satura rādītājs
Augoša RaaS operācija ar noziedzīgām partnerībām
VECT sākotnēji tika palaists kā izspiedējvīrusu pakalpojums (RaaS) 2025. gada decembrī un kopš tā laika ir pārdēvēts par VECT 2.0. Tā tumšā tīmekļa portāls reklamē modeli “Eksfiltrācija / Šifrēšana / Izspiešana”, kas signalizē par trīskāršu izspiešanas pieeju.
Tiek ziņots, ka jaunajiem partneriem tiek piemērota 250 ASV dolāru liela iestāšanās maksa Monero (XMR). Tomēr pretendenti no Neatkarīgo Valstu Sadraudzības (NVS) valstīm ir atbrīvoti, kas liecina par mērķtiecīgu vervēšanu no šī reģiona.
Grupa ir izveidojusi arī partnerattiecības ar BreachForums un TeamPCP hakeru kolektīvu. Šķiet, ka šī sadarbība ir paredzēta, lai vienkāršotu izspiedējvīrusu operācijas, samazinātu šķēršļus jauniem partneriem un izmantotu iepriekš nozagtus datus kā ieroci turpmākiem uzbrukumiem.
Piegādes ķēdes akreditācijas datu zādzību, organizētu filiāļu darbību un uz forumiem balstītas noziedznieku mobilizācijas kombinācija atspoguļo arvien industrializētāku izspiedējvīrusu ekosistēmu.
Upuru skaits joprojām ir zems, neskatoties uz pārdrošajiem apgalvojumiem
Neskatoties uz agresīvu zīmola veidošanu, VECT 2.0 nopludināšanas vietnē, kā ziņots, ir uzskaitīti tikai divi upuri, kuri abi, domājams, ir apdraudēti ar TeamPCP saistītu piegādes ķēdes uzbrukumu laikā.
Sākotnēji grupa apgalvoja, ka izmanto ChaCha20-Poly1305 AEAD — spēcīgāku autentificētu šifrēšanas metodi. Tomēr tehniskajā pārskatā tika konstatēts, ka tiek izmantots vājāks neautentificēts šifrs, kam trūkst integritātes aizsardzības, radot nopietnas šaubas gan par tā iespējām, gan ticamību.
Šifrēšanas kļūme, kas iznīcina datus
Ļaunprogrammatūras viskritiskākais trūkums ir tas, kā tā apstrādā failus, kas lielāki par 131 072 baitiem. Tā vietā, lai droši šifrētu atgūstamos datus, tā sadala katru lielo failu četrās daļās un šifrē katru sadaļu, izmantojot atsevišķas nejauši ģenerētas 12 baitu nonces.
Šifrētajā failā tiek saglabāta tikai pēdējā atšifrētā detaļa. Pirmie trīs atšifrētie detaļas, kas nepieciešamas lielākās daļas faila atšifrēšanai, tiek ģenerēti, izmantoti vienreiz un neatgriezeniski atmesti. Tie netiek saglabāti lokāli, ierakstīti reģistrā vai nosūtīti operatoram.
Tā kā ChaCha20-IETF metodei atšifrēšanai ir nepieciešama gan pareizā 32 baitu atslēga, gan atbilstošā nonce, katra skartā faila pirmās trīs ceturtdaļas kļūst neatgūstamas. Tas nozīmē, ka VECT 2.0 darbojas kā postošs tīrītājs, kas paslēpts aiz izspiedējvīrusa ziņojumiem.
Windows variants: uzlabotas funkcijas, vāja izpilde
Windows versija ir visbagātākā ar funkcijām un ir vērsta uz:
- Lokālie diski, noņemamie datu nesēji un pieejama tīkla krātuve
- 44 drošības un atkļūdošanas rīki, izmantojot antianalīzes pārbaudes
- Drošā režīma saglabāšanas mehānismi
- Attālās izpildes skriptu veidnes sānu kustībai
Palaižot ar --force-safemode, ļaunprogrammatūra konfigurē nākamo atkārtotu palaišanu Windows drošajā režīmā un pievieno savu izpildāmo ceļu Windows reģistram, lai tā automātiski darbotos pēc atkārtotas palaišanas samazinātas drošības vidē.
Interesanti, ka, lai gan Windows variantā ir vides noteikšanas un apiešanas mehānismi, šīs rutīnas, kā ziņots, nekad netiek izsauktas. Tas varētu ļaut aizstāvjiem analizēt paraugus, neizraisot slepenas atbildes.
Linux un ESXi varianti paplašina apdraudējumu virsmu
ESXi versija pirms šifrēšanas sākšanas veic ģeogrāfiskās norobežošanas un atkļūdošanas novēršanas pārbaudes. Tā arī mēģina veikt sānu pārvietošanos, izmantojot SSH. Linux variantam ir tāda pati koda bāze kā ESXi paraugam, taču tajā ir mazāk iespēju.
Šis starpplatformu atbalsts sniedz VECT 2.0 plašu mērķauditorijas atlases potenciālu uzņēmumu vidēs, īpaši tajās, kas balstās uz virtualizāciju un jauktām operētājsistēmām.
Neparasta CIS ģeofencēšana rada jautājumus
Pirms sistēmu šifrēšanas ļaunprogrammatūra pārbauda, vai tā darbojas NVS valstī. Ja tā, izpilde tiek apturēta. Jāatzīmē, ka Ukraina joprojām ir iekļauta šajos izņēmumos, kas ir neparasta rīcība, jo daudzas izspiedējvīrusu grupas pēc 2022. gada izslēdza Ukrainu no NVS izņēmumu sarakstiem.
Ir ierosināti divi iespējamie skaidrojumi:
- Ļaunprogrammatūra, iespējams, ir daļēji ģenerēta, izmantojot mākslīgā intelekta modeļus, kas apmācīti ar novecojušiem ģeopolitiskajiem datiem.
- Izstrādātāji, iespējams, ir atkārtoti izmantojuši vecāku izspiedējvīrusu koda bāzi, neatjauninot reģionālo loģiku.
Nepieredzējušu operatoru pazīmes
Lai gan VECT 2.0 sevi reklamē kā izsmalcinātu daudzplatformu draudu ar filiāļu piesaisti, piegādes ķēdes partnerībām un profesionālu zīmola veidošanu, tehniskais izpildījums liecina par ko citu.
Drošības novērtējums liecina, ka operatori, visticamāk, ir iesācēji apdraudējumu izpildītāji, nevis pieredzējuši izspiedējvīrusu izstrādātāji. Nevar izslēgt iespēju, ka daļas ļaunprogrammatūras ir radījušas vai to veidošanā palīdzējis mākslīgā intelekta ģenerēts kods.
Vadītāju drošības novērtējums
VECT 2.0 parāda, kā bīstama izskata izspiedējvīrusi joprojām var būt tehniski nepilnīgi. Tās infrastruktūra, partnerības un zīmols rada nopietna noziedzīga uzņēmuma tēlu, taču šifrēšanas dizaina kļūme pilnībā grauj izspiešanas modeli.
Aizstāvjiem mācība ir skaidra: jākoncentrējas uz noturību, dublēšanu, segmentāciju un ātru reaģēšanu uz incidentiem. VECT 2.0 uzbrukumā samaksa nenodrošina atkopšanu, tā notiek tikai pēc iznīcināšanas.
