VECT २.० र्‍यान्समवेयर

VECT २.० को रूपमा चिनिने साइबर आपरेशनले आफूलाई ransomware को रूपमा प्रस्तुत गर्दछ, तर प्राविधिक विश्लेषणले डेटा वाइपरको धेरै नजिकको व्यवहार देखाउँछ। Windows, Linux, र ESXi भेरियन्टहरूमा यसको इन्क्रिप्शन कार्यान्वयनमा गम्भीर त्रुटिले फाइल रिकभरी असम्भव बनाउँछ, आक्रमण पछाडिका अपरेटरहरूको लागि पनि।

१३१ KB भन्दा ठूला फाइलहरूको लागि, जसमा धेरैजसो इन्टरप्राइज-क्रिटिकल डेटा समावेश हुन्छ, मालवेयरले पुन: प्राप्तियोग्य इन्क्रिप्शन प्रदान गर्दैन। बरु, यसले पुनर्स्थापनाको लागि आवश्यक डेटा स्थायी रूपमा नष्ट गर्दछ। फलस्वरूप, फिरौती भुक्तानीले पुन: प्राप्तिको लागि कुनै यथार्थपरक मार्ग प्रदान गर्दैन।

कुनै पनि VECT २.० घटनामा, वार्तालाई उपचार रणनीति मानिनु हुँदैन। डेलिभर गर्न कुनै कार्यात्मक डिक्रिप्टर छैन किनभने एउटा निर्माण गर्न आवश्यक जानकारी कार्यान्वयनको क्रममा हटाइन्छ। रक्षात्मक प्राथमिकताहरू अफलाइन ब्याकअप, मान्य रिकभरी योजनाहरू, द्रुत नियन्त्रण, र व्यापार लचिलोपनमा केन्द्रित हुनुपर्छ।

आपराधिक साझेदारीसँग बढ्दो RaaS अपरेशन

VECT मूल रूपमा डिसेम्बर २०२५ मा Ransomware-as-a-Service (RaaS) कार्यक्रमको रूपमा सुरु गरिएको थियो र त्यसपछि यसलाई VECT २.० को रूपमा पुन: ब्रान्ड गरिएको छ। यसको डार्क वेब पोर्टलले 'Exfiltration / Encryption / Extortion' मोडेलको विज्ञापन गर्दछ, जसले ट्रिपल-एक्सटोर्शन दृष्टिकोणलाई संकेत गर्दछ।

नयाँ सम्बद्ध कम्पनीहरूलाई $२५० मोनेरो (XMR) प्रवेश शुल्क लगाइएको बताइएको छ। यद्यपि, कमनवेल्थ अफ इन्डिपेन्डेन्ट स्टेट्स (CIS) देशहरूका आवेदकहरूलाई छुट दिइएको छ, जसले गर्दा त्यो क्षेत्रबाट लक्षित भर्तीको सुझाव दिइएको छ।

समूहले BreachForums र TeamPCP ह्याकिङ समूहसँग पनि साझेदारी गरेको छ। यो सहकार्य ransomware सञ्चालनलाई सरल बनाउन, नयाँ सम्बद्धहरूका लागि अवरोधहरू कम गर्न र थप आक्रमणहरूको लागि पहिले चोरी गरिएको डेटालाई हतियार बनाउन डिजाइन गरिएको देखिन्छ।

आपूर्ति-श्रृंखला प्रमाण चोरी, संगठित सम्बद्ध सञ्चालन, र फोरम-आधारित आपराधिक परिचालनको संयोजनले बढ्दो औद्योगिकीकृत र्यान्समवेयर इकोसिस्टमलाई प्रतिबिम्बित गर्दछ।

साहसी दाबीहरूको बावजुद पीडितको संख्या कम छ

आक्रामक ब्रान्डिङको बावजुद, VECT 2.0 को चुहावट साइटले रिपोर्ट गरेको छ कि केवल दुई पीडितहरूको सूची छ, दुबैलाई कथित रूपमा TeamPCP-सम्बन्धित आपूर्ति-श्रृंखला आक्रमणहरू मार्फत सम्झौता गरिएको थियो।

समूहले सुरुमा ChaCha20-Poly1305 AEAD प्रयोग गर्ने दाबी गरेको थियो, जुन एक बलियो प्रमाणित इन्क्रिप्शन विधि हो। यद्यपि, प्राविधिक समीक्षाले कमजोर अप्रमाणित साइफरको प्रयोग पत्ता लगायो जसमा अखण्डता सुरक्षाको अभाव थियो, जसले क्षमता र विश्वसनीयता दुवैमाथि गम्भीर शंका उत्पन्न गर्‍यो।

डेटा नष्ट गर्ने इन्क्रिप्शन विफलता

मालवेयरको सबैभन्दा महत्वपूर्ण कमजोरी भनेको यसले १३१,०७२ बाइटभन्दा ठूला फाइलहरूलाई कसरी प्रशोधन गर्छ भन्ने हो। पुन: प्राप्तियोग्य डेटा सुरक्षित रूपमा इन्क्रिप्ट गर्नुको सट्टा, यसले प्रत्येक ठूलो फाइललाई चार भागमा विभाजन गर्दछ र छुट्टाछुट्टै अनियमित रूपमा उत्पन्न १२-बाइट नोन्सेस प्रयोग गरेर प्रत्येक खण्डलाई इन्क्रिप्ट गर्दछ।

एन्क्रिप्टेड फाइलमा अन्तिम नन्स मात्र भण्डारण गरिन्छ। फाइलको अधिकांश भाग डिक्रिप्ट गर्न आवश्यक पर्ने पहिलो तीन नन्सहरू उत्पन्न हुन्छन्, एक पटक प्रयोग गरिन्छन् र स्थायी रूपमा खारेज गरिन्छन्। तिनीहरू स्थानीय रूपमा बचत हुँदैनन्, रजिस्ट्रीमा लेखिँदैनन्, वा अपरेटरलाई पठाइँदैनन्।

ChaCha20-IETF विधिलाई डिक्रिप्शनको लागि सही ३२-बाइट कुञ्जी र मिल्दो नोन्स दुवै आवश्यक पर्ने भएकोले, प्रत्येक प्रभावित फाइलको पहिलो तीन चौथाई पुन: प्राप्ति गर्न नसकिने हुन्छ। यसको अर्थ VECT २.० ले ransomware सन्देश पछाडि लुकेको विनाशकारी वाइपरको रूपमा सञ्चालनमा काम गर्छ।

विन्डोज भेरियन्ट: उन्नत सुविधाहरू, कमजोर कार्यान्वयन

विन्डोज संस्करण सबैभन्दा सुविधा सम्पन्न छ र लक्षित छ:

• स्थानीय ड्राइभहरू, हटाउन सकिने मिडिया, र पहुँचयोग्य नेटवर्क भण्डारण
• विश्लेषण विरोधी जाँचहरू मार्फत ४४ सुरक्षा र डिबगिङ उपकरणहरू
• सुरक्षित मोड दृढता संयन्त्रहरू
• पार्श्व आन्दोलनको लागि रिमोट कार्यान्वयन स्क्रिप्ट टेम्प्लेटहरू

--force-safemode सँग सुरु गर्दा, मालवेयरले अर्को रिबुटलाई Windows Safe Mode मा कन्फिगर गर्छ र Windows Registry मा यसको कार्यान्वयनयोग्य मार्ग थप्छ ताकि यो कम-सुरक्षा वातावरणमा पुन: सुरु गरेपछि स्वचालित रूपमा चल्छ।

रोचक कुरा के छ भने, विन्डोज भेरियन्टमा वातावरण-पत्ता लगाउने र चोरी गर्ने संयन्त्रहरू भए तापनि, ती दिनचर्याहरू कहिल्यै बोलाइँदैनन्। यसले डिफेन्डरहरूलाई स्टिल्थ प्रतिक्रियाहरू ट्रिगर नगरी नमूनाहरूको विश्लेषण गर्न अनुमति दिन सक्छ।

Linux र ESXi भेरियन्टहरूले खतराको सतह विस्तार गर्छन्

ESXi संस्करणले इन्क्रिप्शन सुरु गर्नु अघि जियोफेन्सिङ र एन्टी-डिबगिङ जाँचहरू गर्दछ। यसले SSH मार्फत पार्श्व चालको पनि प्रयास गर्दछ। Linux संस्करणले ESXi नमूना जस्तै कोडबेस साझा गर्दछ तर कम क्षमताहरू समावेश गर्दछ।

यो क्रस-प्लेटफर्म समर्थनले VECT 2.0 लाई उद्यम वातावरणहरू विरुद्ध व्यापक लक्ष्यीकरण क्षमता प्रदान गर्दछ, विशेष गरी भर्चुअलाइजेशन र मिश्रित अपरेटिङ सिस्टमहरूमा भर पर्नेहरू।

असामान्य CIS जियोफेन्सिङले प्रश्न उठाउँछ

प्रणालीहरू इन्क्रिप्ट गर्नु अघि, मालवेयरले यो CIS देशमा चलिरहेको छ कि छैन भनेर जाँच गर्छ। यदि त्यसो हो भने, कार्यान्वयन रोकिन्छ। उल्लेखनीय रूपमा, युक्रेन अझै पनि यी बहिष्करणहरूमा समावेश गरिएको रिपोर्ट गरिएको छ, धेरै ransomware समूहहरूले २०२२ पछि युक्रेनलाई CIS छुट सूचीबाट हटाएपछि यो एक असामान्य व्यवहार हो।

दुई सम्भावित व्याख्याहरू प्रस्ताव गरिएको छ:

अनुभवहीन अपरेटरहरूको संकेत

यद्यपि VECT २.० ले सम्बद्ध भर्ती, आपूर्ति-श्रृंखला साझेदारी, र व्यावसायिक ब्रान्डिङको साथ आफूलाई एक पालिश गरिएको बहु-प्लेटफर्म खतराको रूपमा बजार गर्दछ, प्राविधिक कार्यान्वयनले फरक कथा बताउँछ।

सुरक्षा मूल्याङ्कनले अनुभवी ransomware विकासकर्ताहरू भन्दा अपरेटरहरू नयाँ खतरा अभिनेताहरू हुने सम्भावना बढी देखाउँछ। मालवेयरका केही भागहरू AI-उत्पन्न कोडद्वारा उत्पादन वा सहयोग गरिएको सम्भावनालाई नकार्न सकिँदैन।

कार्यकारी सुरक्षा मूल्याङ्कन

VECT २.० ले देखाउँछ कि खतरनाक देखिने ransomware अझै पनि प्राविधिक रूपमा कति त्रुटिपूर्ण हुन सक्छ। यसको पूर्वाधार, साझेदारी र ब्रान्डिङले गम्भीर आपराधिक उद्यमको छवि सिर्जना गर्दछ, तर इन्क्रिप्शन डिजाइन असफलताले जबरजस्ती चोरी मोडेललाई पूर्ण रूपमा कमजोर बनाउँछ।

रक्षकहरूको लागि, पाठ स्पष्ट छ: लचिलोपन, ब्याकअप, विभाजन, र द्रुत घटना प्रतिक्रियामा ध्यान केन्द्रित गर्नुहोस्। VECT 2.0 आक्रमणमा, भुक्तानीले पुन: प्राप्ति किन्दैन, यसले केवल विनाशलाई पछ्याउँछ।