Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Perisian tebusan Perisian Ransomware VECT 2.0

Perisian Ransomware VECT 2.0

Menjelang Mezo pada Perisian tebusan
Terjemahkan ke

Operasi penjenayah siber yang dikenali sebagai VECT 2.0 menampilkan dirinya sebagai ransomware, namun analisis teknikal menunjukkan tingkah laku yang jauh lebih hampir dengan pemadam data. Kecacatan teruk dalam pelaksanaan penyulitannya merentasi varian Windows, Linux dan ESXi menjadikan pemulihan fail mustahil, walaupun untuk pengendali di sebalik serangan tersebut.

Bagi fail yang lebih besar daripada 131 KB, yang merangkumi kebanyakan data kritikal perusahaan, perisian hasad ini tidak menyediakan penyulitan yang boleh dipulihkan. Sebaliknya, ia memusnahkan data yang diperlukan untuk pemulihan secara kekal. Akibatnya, pembayaran tebusan tidak menawarkan laluan pemulihan yang realistik.

Dalam mana-mana insiden VECT 2.0, rundingan tidak boleh dianggap sebagai strategi pemulihan. Tiada penyahsulit berfungsi untuk dihantar kerana maklumat yang diperlukan untuk membinanya dihapuskan semasa pelaksanaan. Keutamaan pertahanan harus tertumpu pada sandaran luar talian, pelan pemulihan yang disahkan, pembendungan pantas dan daya tahan perniagaan.

Operasi RaaS yang Berkembang dengan Perkongsian Jenayah

VECT pada asalnya dilancarkan sebagai program Ransomware-as-a-Service (RaaS) pada Disember 2025 dan sejak itu telah dijenamakan semula sebagai VECT 2.0. Portal web gelapnya mengiklankan model 'Exfiltration / Encryption / Extortion,' menandakan pendekatan pemerasan tiga kali ganda.

Ahli gabungan baharu dilaporkan dikenakan yuran penyertaan sebanyak $250 Monero (XMR). Walau bagaimanapun, pemohon dari negara-negara Komanwel Negara-negara Merdeka (CIS) dikecualikan, mencadangkan pengambilan pekerja yang disasarkan dari rantau tersebut.

Kumpulan ini juga telah membentuk kerjasama dengan BreachForums dan kolektif penggodaman TeamPCP. Kerjasama ini nampaknya direka untuk memudahkan operasi ransomware, mengurangkan halangan untuk sekutu baharu dan menjadikan data yang dicuri sebelum ini sebagai senjata untuk serangan selanjutnya.

Gabungan kecurian kelayakan rantaian bekalan, operasi afiliasi terancang dan mobilisasi jenayah berasaskan forum mencerminkan ekosistem ransomware yang semakin perindustrian.

Bilangan Mangsa Kekal Rendah Walaupun Terdapat Dakwaan Berani

Walaupun terdapat penjenamaan yang agresif, laman kebocoran VECT 2.0 dilaporkan hanya menyenaraikan dua mangsa, kedua-duanya didakwa terjejas melalui serangan rantaian bekalan berkaitan TeamPCP.

Kumpulan itu pada mulanya mendakwa menggunakan ChaCha20-Poly1305 AEAD, kaedah penyulitan pengesahan yang lebih kukuh. Walau bagaimanapun, semakan teknikal mendapati penggunaan sifer yang tidak disahkan yang lebih lemah dan kekurangan perlindungan integriti, menimbulkan keraguan serius tentang keupayaan dan kredibiliti.

Kegagalan Penyulitan Yang Memusnahkan Data

Kecacatan paling kritikal perisian hasad ini terletak pada cara ia memproses fail yang lebih besar daripada 131,072 bait. Daripada menyulitkan data yang boleh dipulihkan dengan selamat, ia membahagikan setiap fail besar kepada empat bahagian dan menyulitkan setiap bahagian menggunakan nonce 12-bait yang dijana secara rawak yang berasingan.

Hanya nonce terakhir disimpan dengan fail yang disulitkan. Tiga nonce pertama, yang diperlukan untuk menyahsulit sebahagian besar fail, dijana, digunakan sekali dan dibuang secara kekal. Ia tidak disimpan secara setempat, ditulis ke dalam pendaftaran atau dihantar kepada operator.

Oleh kerana kaedah ChaCha20-IETF memerlukan kunci 32-bait yang betul dan nonce yang sepadan untuk penyahsulitan, tiga suku pertama setiap fail yang terjejas menjadi tidak dapat dipulihkan. Ini bermakna VECT 2.0 berfungsi secara operasi sebagai pengelap pemusnah yang tersembunyi di sebalik pesanan ransomware.

Varian Windows: Ciri Lanjutan, Pelaksanaan Lemah

Versi Windows adalah yang paling kaya dengan ciri dan menyasarkan:

  • Pemacu setempat, media boleh tanggal dan storan rangkaian yang boleh diakses
  • 44 alat keselamatan dan penyahpepijatan melalui pemeriksaan anti-analisis
  • Mekanisme kegigihan Mod Selamat
  • Templat skrip pelaksanaan jarak jauh untuk pergerakan sisi

Apabila dilancarkan dengan --force-safemode, perisian hasad mengkonfigurasi but semula seterusnya ke dalam Mod Selamat Windows dan menambah laluan boleh lakunya ke Pendaftaran Windows supaya ia berjalan secara automatik selepas but semula dalam persekitaran keselamatan yang dikurangkan.

Menariknya, walaupun varian Windows mengandungi mekanisme pengesanan dan pengelakan persekitaran, rutin tersebut dilaporkan tidak pernah dipanggil. Ini mungkin membolehkan pembela menganalisis sampel tanpa mencetuskan tindak balas senyap.

Varian Linux dan ESXi Memperluas Permukaan Ancaman

Versi ESXi melakukan pemeriksaan geofencing dan anti-debug sebelum memulakan penyulitan. Ia juga cuba pergerakan lateral melalui SSH. Varian Linux berkongsi pangkalan kod yang sama seperti sampel ESXi tetapi merangkumi lebih sedikit keupayaan.

Sokongan merentas platform ini memberikan potensi penyasaran luas kepada VECT 2.0 terhadap persekitaran perusahaan, terutamanya yang bergantung pada virtualisasi dan sistem pengendalian campuran.

Geofencing CIS yang Luar Biasa Menimbulkan Persoalan

Sebelum menyulitkan sistem, perisian hasad akan menyemak sama ada ia berjalan di negara CIS. Jika ya, pelaksanaan akan dihentikan. Terutamanya, Ukraine dilaporkan masih termasuk dalam pengecualian ini, satu tingkah laku yang luar biasa kerana banyak kumpulan ransomware telah mengeluarkan Ukraine daripada senarai pengecualian CIS selepas 2022.

Dua penjelasan yang mungkin telah dicadangkan:

  • Perisian hasad mungkin sebahagiannya dijana menggunakan model AI yang dilatih berdasarkan data geopolitik yang ketinggalan zaman
  • Pembangun mungkin telah menggunakan semula pangkalan kod ransomware yang lebih lama tanpa mengemas kini logik serantau

Tanda-tanda Operator Tidak Berpengalaman

Walaupun VECT 2.0 memasarkan dirinya sebagai ancaman berbilang platform yang digilap dengan pengambilan pekerja afiliasi, perkongsian rantaian bekalan dan penjenamaan profesional, pelaksanaan teknikalnya menceritakan kisah yang berbeza.

Penilaian keselamatan menunjukkan bahawa pengendali lebih berkemungkinan merupakan pelaku ancaman baharu berbanding pembangun ransomware berpengalaman. Kemungkinan bahawa sebahagian daripada perisian hasad dihasilkan atau dibantu oleh kod yang dijana AI tidak dapat diketepikan.

Penilaian Keselamatan Eksekutif

VECT 2.0 menunjukkan betapa ransomware yang kelihatan berbahaya masih boleh mempunyai kecacatan teknikal. Infrastruktur, perkongsian dan penjenamaannya mewujudkan imej perusahaan jenayah yang serius, tetapi kegagalan reka bentuk penyulitan menjejaskan model pemerasan sepenuhnya.

Bagi pembela, pengajarannya jelas: fokus pada daya tahan, sandaran, segmentasi dan tindak balas insiden yang pantas. Dalam serangan VECT 2.0, pembayaran tidak membeli pemulihan, ia hanya selepas kemusnahan.

Trending

Paling banyak dilihat

Memuatkan...