VECT 2.0-ransomware
Den nettkriminelle operasjonen kjent som VECT 2.0 presenterer seg som ransomware, men teknisk analyse viser atferd som ligger langt nærmere en datasletting. En alvorlig feil i krypteringsimplementeringen på tvers av Windows-, Linux- og ESXi-varianter gjør filgjenoppretting umulig, selv for operatørene bak angrepene.
For filer større enn 131 KB, som inkluderer de fleste bedriftskritiske data, tilbyr ikke skadevaren gjenopprettelig kryptering. I stedet ødelegger den permanent dataene som trengs for gjenoppretting. Som et resultat tilbyr løsepenger ingen realistisk vei til gjenoppretting.
I enhver VECT 2.0-hendelse bør ikke forhandling betraktes som en utbedringsstrategi. Det finnes ingen funksjonell dekrypteringstjeneste å levere fordi informasjonen som kreves for å bygge en elimineres under utførelsen. Defensive prioriteringer bør fokusere på offline sikkerhetskopier, validerte gjenopprettingsplaner, rask inneslutning og forretningsrobusthet.
Innholdsfortegnelse
En voksende RaaS-operasjon med kriminelle partnerskap
VECT ble opprinnelig lansert som et RaaS-program (Ransomware-as-a-Service) i desember 2025 og har siden blitt omdøpt til VECT 2.0. Den mørke nettportalen deres annonserer modellen «Exfiltration / Encryption / Extortion», noe som signaliserer en trippelutpressingstilnærming.
Nye partnere skal angivelig belastes med et inngangsgebyr på 250 dollar for Monero (XMR). Søkere fra land i Samveldet av uavhengige stater (SNG) er imidlertid unntatt, noe som tyder på målrettet rekruttering fra den regionen.
Gruppen har også inngått partnerskap med BreachForums og hackerkollektivet TeamPCP. Dette samarbeidet ser ut til å være utformet for å forenkle ransomware-operasjoner, senke barrierer for nye partnere og utnytte tidligere stjålne data som våpen for ytterligere angrep.
Kombinasjonen av tyveri av legitimasjon i forsyningskjeden, organisert tilknyttet virksomhet og forumbasert kriminell mobilisering gjenspeiler et stadig mer industrialisert økosystem for løsepengevirus.
Offertallet forblir lavt til tross for dristige påstander
Til tross for aggressiv merkevarebygging lister VECT 2.0s lekkasjeside angivelig bare opp to ofre, begge angivelig kompromittert gjennom TeamPCP-relaterte forsyningskjedeangrep.
Gruppen hevdet opprinnelig å bruke ChaCha20-Poly1305 AEAD, en sterkere autentisert krypteringsmetode. Teknisk gjennomgang fant imidlertid bruken av en svakere uautentisert kryptering som manglet integritetsbeskyttelse, noe som reiste alvorlig tvil om både kapasitet og troverdighet.
Krypteringsfeilen som ødelegger data
Den mest kritiske feilen i skadevaren ligger i hvordan den behandler filer større enn 131 072 byte. I stedet for å kryptere gjenopprettelige data på en sikker måte, deler den hver store fil inn i fire deler og krypterer hver seksjon ved hjelp av separate tilfeldig genererte 12-byte nonce-er.
Bare den siste noncen lagres sammen med den krypterte filen. De tre første noncene, som kreves for å dekryptere mesteparten av filen, genereres, brukes én gang og forkastes permanent. De lagres ikke lokalt, skrives til registeret eller sendes til operatøren.
Fordi ChaCha20-IETF-metoden krever både riktig 32-byte-nøkkel og den tilhørende nonce-koden for dekryptering, blir de tre første fjerdedelene av hver berørte fil uopprettelige. Dette betyr at VECT 2.0 fungerer operativt som en destruktiv visker skjult bak ransomware-meldinger.
Windows-variant: Avanserte funksjoner, svak utførelse
Windows-versjonen er den mest funksjonsrike og har følgende mål:
- Lokale stasjoner, flyttbare medier og tilgjengelig nettverkslagring
- 44 sikkerhets- og feilsøkingsverktøy gjennom antianalysekontroller
- Mekanismer for vedvarende sikkermodus
- Maler for fjernutførelsesskript for lateral bevegelse
Når den startes med --force-safemode, konfigurerer skadevaren neste omstart i Windows sikkermodus og legger til den kjørbare banen i Windows-registeret, slik at den automatisk kjører etter omstart i et miljø med redusert sikkerhet.
Interessant nok, selv om Windows-varianten inneholder mekanismer for miljødeteksjon og -unngåelse, blir disse rutinene angivelig aldri kalt. Dette kan tillate forsvarere å analysere prøver uten å utløse snikende responser.
Linux- og ESXi-varianter utvider trusseloverflaten
ESXi-versjonen utfører geofencing og anti-debugging-kontroller før kryptering starter. Den forsøker også lateral bevegelse via SSH. Linux-varianten deler samme kodebase som ESXi-eksemplet, men inkluderer færre funksjoner.
Denne plattformuavhengige støtten gir VECT 2.0 et bredt potensial for målretting mot bedriftsmiljøer, spesielt de som er avhengige av virtualisering og blandede operativsystemer.
Uvanlig CIS-geofencing reiser spørsmål
Før kryptering av systemer sjekker skadevaren om den kjører i et SNG-land. I så fall stopper kjøringen. Det er verdt å merke seg at Ukraina angivelig fortsatt er inkludert i disse unntakene, en uvanlig oppførsel siden mange ransomware-grupper fjernet Ukraina fra SNG-unntakslistene etter 2022.
To sannsynlige forklaringer har blitt foreslått:
Tegn på uerfarne operatører
Selv om VECT 2.0 markedsfører seg som en polert multiplattformtrussel med affiliate-rekruttering, partnerskap i forsyningskjeden og profesjonell merkevarebygging, forteller den tekniske utførelsen en annen historie.
Sikkerhetsvurderinger tyder på at operatørene er mer sannsynlige nybegynnere innen trusselverdenen enn erfarne utviklere av løsepengevirus. Muligheten for at deler av skadevaren ble produsert eller assistert av AI-generert kode kan ikke utelukkes.
Vurdering av administrasjonssikkerhet
VECT 2.0 demonstrerer hvor farlig utseende ransomware fortsatt kan være teknisk feilaktig. Infrastrukturen, partnerskapene og merkevarebyggingen skaper bildet av et alvorlig kriminelt foretak, men feilen i krypteringsdesignet undergraver utpressingsmodellen fullstendig.
For forsvarere er lærdommen klar: fokus på robusthet, sikkerhetskopiering, segmentering og rask hendelsesrespons. I et VECT 2.0-angrep kjøper ikke betaling gjenoppretting, den følger bare ødeleggelse.
