Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Ransomware VECT 2.0 Ransomware

VECT 2.0 Ransomware

Tegen Mezo in Ransomware
Vertalen naar:

De cybercriminele operatie VECT 2.0 presenteert zich als ransomware, maar technische analyse toont aan dat het gedrag veel meer lijkt op het wissen van gegevens. Een ernstige fout in de encryptie-implementatie op Windows, Linux en ESXi-varianten maakt bestandsherstel onmogelijk, zelfs voor de beheerders van de aanvallen.

Voor bestanden groter dan 131 KB, waaronder de meeste bedrijfskritieke gegevens vallen, biedt de malware geen herstelbare versleuteling. In plaats daarvan vernietigt het de gegevens die nodig zijn voor herstel permanent. Daardoor biedt losgeld betalen geen realistische mogelijkheid tot herstel.

Bij elk VECT 2.0-incident mag onderhandelen niet als herstelstrategie worden beschouwd. Er is geen functionele decryptor beschikbaar, omdat de informatie die nodig is om er een te bouwen tijdens de uitvoering verloren gaat. Prioriteiten op het gebied van verdediging moeten liggen bij offline back-ups, gevalideerde herstelplannen, snelle beheersing en bedrijfscontinuïteit.

Een groeiende RaaS-operatie met criminele partnerschappen

VECT werd oorspronkelijk in december 2025 gelanceerd als een Ransomware-as-a-Service (RaaS)-programma en heeft sindsdien een rebranding ondergaan naar VECT 2.0. Op het darkweb-portaal wordt het model 'Exfiltratie / Versleuteling / Afpersing' aangeprezen, wat duidt op een drievoudige afpersingsaanpak.

Nieuwe leden zouden naar verluidt een inschrijfgeld van $250 in Monero (XMR) moeten betalen. Aanvragers uit landen van het Gemenebest van Onafhankelijke Staten (GOS) zijn echter vrijgesteld, wat wijst op gerichte werving uit die regio.

De groep heeft ook samenwerkingsverbanden gesloten met BreachForums en het hackcollectief TeamPCP. Deze samenwerking lijkt erop gericht ransomware-aanvallen te vereenvoudigen, de drempel voor nieuwe leden te verlagen en eerder gestolen gegevens te gebruiken voor verdere aanvallen.

De combinatie van diefstal van inloggegevens in de toeleveringsketen, georganiseerde activiteiten van aangesloten bedrijven en op forums gebaseerde criminele mobilisatie weerspiegelt een steeds meer geïndustrialiseerd ransomware-ecosysteem.

Het aantal slachtoffers blijft laag ondanks stellige beweringen.

Ondanks de agressieve marketingcampagne vermeldt de lekwebsite van VECT 2.0 naar verluidt slechts twee slachtoffers, die beiden vermoedelijk het slachtoffer zijn geworden van supply-chain-aanvallen gerelateerd aan TeamPCP.

De groep beweerde aanvankelijk gebruik te maken van ChaCha20-Poly1305 AEAD, een sterkere, geauthenticeerde versleutelingsmethode. Een technische beoordeling wees echter uit dat er gebruik werd gemaakt van een zwakkere, niet-geauthenticeerde versleutelingsmethode zonder integriteitsbescherming, wat ernstige twijfels oproept over zowel de mogelijkheden als de geloofwaardigheid.

De encryptiefout die gegevens vernietigt

De meest kritieke kwetsbaarheid van de malware zit in de manier waarop bestanden groter dan 131.072 bytes worden verwerkt. In plaats van herstelbare gegevens veilig te versleutelen, splitst de malware elk groot bestand op in vier delen en versleutelt elk deel met behulp van afzonderlijke, willekeurig gegenereerde nonces van 12 bytes.

Alleen de laatste nonce wordt samen met het versleutelde bestand opgeslagen. De eerste drie nonces, die nodig zijn om het grootste deel van het bestand te decoderen, worden gegenereerd, eenmaal gebruikt en permanent verwijderd. Ze worden niet lokaal opgeslagen, naar het register geschreven of naar de operator verzonden.

Omdat de ChaCha20-IETF-methode zowel de juiste 32-byte sleutel als de bijbehorende nonce vereist voor decryptie, worden de eerste drie kwart van elk getroffen bestand onherstelbaar. Dit betekent dat VECT 2.0 in de praktijk functioneert als een destructieve wiper die verborgen zit achter ransomwareberichten.

Windows-variant: Geavanceerde functies, zwakke uitvoering

De Windows-versie is het meest uitgebreid qua functionaliteit en is gericht op:

  • Lokale schijven, verwisselbare media en toegankelijke netwerkopslag
  • 44 beveiligings- en debugtools door middel van anti-analysecontroles
  • Mechanismen voor het behouden van de veilige modus
  • Sjablonen voor scripts voor uitvoering op afstand voor laterale verplaatsing

Wanneer de malware met --force-safemode wordt gestart, configureert deze de volgende herstart in de veilige modus van Windows en voegt het zijn uitvoerbare pad toe aan het Windows-register, zodat het na een herstart automatisch wordt uitgevoerd in een omgeving met verminderde beveiliging.

Opvallend is dat, hoewel de Windows-variant mechanismen voor omgevingsdetectie en -ontwijking bevat, deze routines naar verluidt nooit worden aangeroepen. Dit zou verdedigers in staat kunnen stellen om samples te analyseren zonder stealth-reacties te activeren.

Linux- en ESXi-varianten vergroten het dreigingsoppervlak.

De ESXi-versie voert geofencing- en anti-debugging-controles uit voordat de encryptie begint. Ook wordt geprobeerd om via SSH naar een ander netwerk te navigeren. De Linux-variant gebruikt dezelfde codebasis als het ESXi-voorbeeld, maar bevat minder functionaliteiten.

Deze platformonafhankelijke ondersteuning geeft VECT 2.0 een breed toepassingsgebied in bedrijfsomgevingen, met name omgevingen die gebruikmaken van virtualisatie en gemengde besturingssystemen.

Ongebruikelijke geofencing in het GOS roept vragen op.

Voordat de malware systemen versleutelt, controleert deze of het programma in een GOS-land draait. Zo ja, dan stopt de uitvoering. Opvallend is dat Oekraïne naar verluidt nog steeds op deze uitzonderingslijst staat, wat ongebruikelijk is aangezien veel ransomwaregroepen Oekraïne na 2022 van de GOS-uitzonderingslijsten hebben verwijderd.

Er zijn twee waarschijnlijke verklaringen geopperd:

  • De malware is mogelijk gedeeltelijk gegenereerd met behulp van AI-modellen die getraind zijn op verouderde geopolitieke gegevens.
  • De ontwikkelaars hebben mogelijk een oudere ransomware-codebasis hergebruikt zonder de regionale logica bij te werken.

    • Tekenen van onervaren operators

    Hoewel VECT 2.0 zichzelf presenteert als een geavanceerde, multi-platform concurrent met affiliate-werving, samenwerkingen in de toeleveringsketen en professionele branding, vertelt de technische uitvoering een ander verhaal.

    Uit een beveiligingsanalyse blijkt dat de daders waarschijnlijk eerder onervaren cybercriminelen zijn dan doorgewinterde ransomware-ontwikkelaars. De mogelijkheid dat delen van de malware zijn geproduceerd of mede gegenereerd door AI-code kan niet worden uitgesloten.

    Beoordeling van de beveiliging van leidinggevenden

    VECT 2.0 laat zien hoe gevaarlijk ogende ransomware technisch gezien toch gebrekkig kan zijn. De infrastructuur, partnerschappen en merkidentiteit scheppen het beeld van een serieuze criminele organisatie, maar het falende encryptieontwerp ondermijnt het afpersingsmodel volledig.

    Voor verdedigers is de les duidelijk: focus op veerkracht, back-ups, segmentatie en snelle incidentrespons. Bij een VECT 2.0-aanval garandeert betaling geen herstel, maar volgt het slechts na de vernietiging.

    Trending

    Meest bekeken

    Bezig met laden...