Oferta rabatowa na wiele licencji
Baza danych zagrożeń Oprogramowanie wymuszające okup VECT 2.0 Ransomware

VECT 2.0 Ransomware

Do Mezo w Oprogramowanie wymuszające okup
Przetłumacz na:

Operacja cyberprzestępcza znana jako VECT 2.0 przedstawia się jako ransomware, jednak analiza techniczna wskazuje na zachowanie znacznie bliższe wymazaniu danych. Poważna wada w implementacji szyfrowania w systemach Windows, Linux i ESXi uniemożliwia odzyskanie plików, nawet osobom stojącym za atakami.

W przypadku plików większych niż 131 KB, które zawierają większość danych krytycznych dla przedsiębiorstwa, złośliwe oprogramowanie nie zapewnia odzyskiwalnego szyfrowania. Zamiast tego trwale niszczy dane potrzebne do ich przywrócenia. W rezultacie żądanie okupu nie oferuje realnej drogi do odzyskania danych.

W przypadku jakiegokolwiek incydentu VECT 2.0 negocjacje nie powinny być traktowane jako strategia naprawcza. Nie ma funkcjonalnego deszyfratora do dostarczenia, ponieważ informacje niezbędne do jego zbudowania są eliminowane w trakcie wykonywania. Priorytety obronne powinny koncentrować się na kopiach zapasowych offline, zweryfikowanych planach odzyskiwania, szybkim powstrzymywaniu i odporności biznesowej.

Rozwijająca się operacja RaaS z udziałem podmiotów przestępczych

VECT pierwotnie wystartował jako program Ransomware-as-a-Service (RaaS) w grudniu 2025 roku, a następnie zmienił nazwę na VECT 2.0. Jego portal w dark webie reklamuje model „Eksfiltracja / Szyfrowanie / Wymuszenie”, sygnalizując potrójne podejście do wymuszenia.

Nowi członkowie są podobno obciążani opłatą w wysokości 250 dolarów (XMR) za rejestrację. Kandydaci z krajów Wspólnoty Niepodległych Państw (WNP) są jednak zwolnieni z opłaty, co sugeruje ukierunkowaną rekrutację z tego regionu.

Grupa nawiązała również współpracę z BreachForums i kolektywem hakerów TeamPCP. Wydaje się, że celem tej współpracy jest uproszczenie operacji ransomware, obniżenie barier dla nowych partnerów i wykorzystanie skradzionych wcześniej danych do dalszych ataków.

Połączenie kradzieży danych uwierzytelniających w łańcuchu dostaw, zorganizowanych operacji partnerskich i mobilizacji przestępczej na forach odzwierciedla coraz bardziej uprzemysłowiony ekosystem ransomware.

Liczba ofiar pozostaje niska pomimo śmiałych twierdzeń

Mimo agresywnej reklamy, strona wycieków VECT 2.0 rzekomo wymienia tylko dwie ofiary, przy czym obie rzekomo padły ofiarą ataków na łańcuchy dostaw związanych z TeamPCP.

Grupa początkowo twierdziła, że używała ChaCha20-Poly1305 AEAD, silniejszej metody szyfrowania z uwierzytelnianiem. Jednak analiza techniczna wykazała użycie słabszego, nieuwierzytelnionego szyfru, pozbawionego ochrony integralności, co budzi poważne wątpliwości zarówno co do jego skuteczności, jak i wiarygodności.

Błąd szyfrowania, który niszczy dane

Najpoważniejsza wada złośliwego oprogramowania polega na sposobie przetwarzania plików większych niż 131 072 bajty. Zamiast bezpiecznie szyfrować odzyskiwalne dane, dzieli ono każdy duży plik na cztery fragmenty i szyfruje każdą sekcję za pomocą oddzielnych, losowo generowanych 12-bajtowych nonce'ów.

Tylko ostatni znak jest przechowywany wraz z zaszyfrowanym plikiem. Pierwsze trzy znaki, niezbędne do odszyfrowania większości pliku, są generowane, używane jednorazowo i trwale usuwane. Nie są one zapisywane lokalnie, zapisywane w rejestrze ani wysyłane do operatora.

Ponieważ metoda ChaCha20-IETF wymaga zarówno prawidłowego 32-bajtowego klucza, jak i pasującego do niego identyfikatora nonce do odszyfrowania, pierwsze trzy czwarte każdego zainfekowanego pliku stają się nieodzyskiwalne. Oznacza to, że VECT 2.0 działa operacyjnie jako destrukcyjny wiper ukryty pod komunikatami ransomware.

Wariant systemu Windows: zaawansowane funkcje, słabe działanie

Wersja dla systemu Windows jest najbogatsza w funkcje i obejmuje:

  • Dyski lokalne, nośniki wymienne i dostępna pamięć sieciowa
  • 44 narzędzia bezpieczeństwa i debugowania za pomocą kontroli antyanalizowych
  • Mechanizmy trwałości trybu awaryjnego
  • Szablony skryptów zdalnego wykonywania dla ruchu bocznego

Po uruchomieniu z opcją --force-safemode złośliwe oprogramowanie konfiguruje następny rozruch w trybie awaryjnym systemu Windows i dodaje ścieżkę dostępu do rejestru systemu Windows, dzięki czemu uruchamia się automatycznie po ponownym uruchomieniu w środowisku o obniżonym poziomie bezpieczeństwa.

Co ciekawe, chociaż wariant dla systemu Windows zawiera mechanizmy wykrywania środowiska i unikania zabezpieczeń, procedury te podobno nigdy nie są wywoływane. Może to pozwolić obrońcom na analizę próbek bez uruchamiania mechanizmów ukrytych.

Warianty Linuksa i ESXi zwiększają powierzchnię zagrożeń

Wersja ESXi przeprowadza geofencing i sprawdzanie debugowania przed rozpoczęciem szyfrowania. Próbuje również nawiązać połączenie boczne przez SSH. Wersja na Linuksa korzysta z tego samego kodu co próbka ESXi, ale oferuje mniej funkcji.

Obsługa wielu platform zapewnia VECT 2.0 szeroki potencjał zastosowania w środowiskach korporacyjnych, zwłaszcza tych, które opierają się na wirtualizacji i mieszanych systemach operacyjnych.

Nietypowe geofencingi CIS budzą wątpliwości

Przed zaszyfrowaniem systemów złośliwe oprogramowanie sprawdza, czy działa w kraju WNP. Jeśli tak, jego wykonywanie zostaje przerwane. Co ciekawe, Ukraina podobno nadal znajduje się na liście wyjątków, co jest nietypowym zachowaniem, ponieważ wiele grup ransomware usunęło Ukrainę z list wyjątków WNP po 2022 roku.

Zaproponowano dwa prawdopodobne wyjaśnienia:

  • Szkodliwe oprogramowanie mogło zostać częściowo wygenerowane przy użyciu modeli sztucznej inteligencji wytrenowanych na nieaktualnych danych geopolitycznych
  • Twórcy mogli ponownie wykorzystać starszą bazę kodu ransomware bez aktualizacji logiki regionalnej

    • Oznaki niedoświadczonych operatorów

    Chociaż VECT 2.0 reklamuje się jako dopracowane zagrożenie multiplatformowe, obejmujące rekrutację partnerów, partnerstwa w łańcuchu dostaw i profesjonalne budowanie marki, to jego techniczne wdrożenie przedstawia zupełnie inny obraz.

    Ocena bezpieczeństwa sugeruje, że operatorzy to najprawdopodobniej nowicjusze w atakach niż doświadczeni twórcy ransomware. Nie można wykluczyć możliwości, że fragmenty złośliwego oprogramowania zostały stworzone lub były wspomagane przez sztuczną inteligencję.

    Ocena bezpieczeństwa kadry kierowniczej

    VECT 2.0 pokazuje, jak groźnie wyglądające ransomware może być wciąż technicznie wadliwe. Jego infrastruktura, partnerstwa i branding kreują wizerunek poważnego przedsiębiorstwa przestępczego, ale wadliwa konstrukcja szyfrowania całkowicie podważa model wymuszenia.

    Dla obrońców lekcja jest jasna: należy skupić się na odporności, tworzeniu kopii zapasowych, segmentacji i szybkim reagowaniu na incydenty. W przypadku ataku VECT 2.0 zapłata nie gwarantuje odzyskania danych, a jedynie ich zniszczenia.

    Popularne

    Najczęściej oglądane

    Ładowanie...