Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Ransomware Ransomware-ul VECT 2.0

Ransomware-ul VECT 2.0

Până în Mezo în Ransomware
Tradu in:

Operațiunea cibernetică infracțională cunoscută sub numele de VECT 2.0 se prezintă ca ransomware, însă analiza tehnică arată un comportament mult mai apropiat de cel al unui ștergător de date. O problemă gravă în implementarea criptării sale în variantele Windows, Linux și ESXi face imposibilă recuperarea fișierelor, chiar și pentru operatorii din spatele atacurilor.

Pentru fișierele mai mari de 131 KB, care includ majoritatea datelor critice pentru companie, malware-ul nu oferă criptare recuperabilă. În schimb, distruge permanent datele necesare pentru restaurare. Prin urmare, plata răscumpărării nu oferă o cale realistă de recuperare.

În orice incident VECT 2.0, negocierea nu ar trebui considerată o strategie de remediere. Nu există un decriptor funcțional de furnizat, deoarece informațiile necesare pentru construirea unuia sunt eliminate în timpul execuției. Prioritățile defensive ar trebui să se concentreze pe copii de rezervă offline, planuri de recuperare validate, izolare rapidă și reziliență a afacerii.

O operațiune RaaS în creștere cu parteneriate criminale

VECT a fost lansat inițial ca program Ransomware-as-a-Service (RaaS) în decembrie 2025 și ulterior a fost redenumit VECT 2.0. Portalul său dark web promovează modelul „Exfiltrare / Criptare / Extorcare”, semnalând o abordare de triplă extorcare.

Se pare că noilor afiliați li se percepe o taxă de înscriere de 250 USD în Monero (XMR). Cu toate acestea, aplicanții din țările din Comunitatea Statelor Independente (CSI) sunt scutiți, ceea ce sugerează recrutarea specifică din acea regiune.

Grupul a format, de asemenea, parteneriate cu BreachForums și colectivul de hacking TeamPCP. Această cooperare pare a fi concepută pentru a simplifica operațiunile ransomware, a reduce barierele pentru noii afiliați și a transforma datele furate anterior în arme pentru atacuri ulterioare.

Combinația dintre furtul de acreditări din lanțul de aprovizionare, operațiunile organizate de afiliere și mobilizarea infracțională bazată pe forumuri reflectă un ecosistem ransomware din ce în ce mai industrializat.

Numărul victimelor rămâne scăzut în ciuda afirmațiilor îndrăznețe

În ciuda unui branding agresiv, site-ul de scurgeri de informații al VECT 2.0 ar fi listat doar două victime, ambele presupus compromise prin atacuri asupra lanțului de aprovizionare legate de TeamPCP.

Inițial, grupul a susținut că folosește ChaCha20-Poly1305 AEAD, o metodă de criptare autentificată mai puternică. Cu toate acestea, analiza tehnică a constatat utilizarea unui cifru neautentificat mai slab, lipsit de protecție a integrității, ceea ce ridică îndoieli serioase atât cu privire la capacitate, cât și la credibilitate.

Eșecul de criptare care distruge datele

Cea mai gravă problemă a malware-ului constă în modul în care procesează fișiere mai mari de 131.072 de octeți. În loc să cripteze în siguranță datele recuperabile, acesta împarte fiecare fișier mare în patru bucăți și criptează fiecare secțiune folosind nonce-uri separate de 12 octeți, generate aleatoriu.

Doar ultima nonce este stocată împreună cu fișierul criptat. Primele trei nonce, necesare pentru decriptarea majorității fișierului, sunt generate, utilizate o singură dată și eliminate definitiv. Nu sunt salvate local, scrise în registru și nici trimise operatorului.

Deoarece metoda ChaCha20-IETF necesită atât cheia corectă de 32 de octeți, cât și cheia nonce corespunzătoare pentru decriptare, primele trei sferturi ale fiecărui fișier afectat devin irecuperabile. Aceasta înseamnă că VECT 2.0 funcționează operațional ca un ștergător distructiv ascuns în spatele mesajelor ransomware.

Variantă Windows: Funcții avansate, Execuție slabă

Versiunea pentru Windows este cea mai bogată în funcții și vizează:

  • Unități locale, suporturi de stocare amovibile și spațiu de stocare în rețea accesibil
  • 44 de instrumente de securitate și depanare prin verificări anti-analiză
  • Mecanisme de persistență în modul Safe Mode
  • Șabloane de script de execuție la distanță pentru mișcare laterală

Când este lansat cu comanda --force-safemode, malware-ul configurează următoarea repornire în Windows Safe Mode și adaugă calea sa executabilă în Registry-ul Windows, astfel încât să ruleze automat după repornire într-un mediu cu securitate redusă.

Interesant este că, deși varianta Windows conține mecanisme de detectare și evitare a mediului, se pare că aceste rutine nu sunt niciodată apelate. Acest lucru ar putea permite apărătorilor să analizeze mostre fără a declanșa răspunsuri stealth.

Variantele Linux și ESXi extind suprafața amenințărilor

Versiunea ESXi efectuează verificări geofencing și anti-depanare înainte de a începe criptarea. De asemenea, încearcă mișcarea laterală prin SSH. Varianta Linux are aceeași bază de cod ca exemplul ESXi, dar include mai puține capabilități.

Acest suport multi-platformă oferă VECT 2.0 un potențial larg de direcționare împotriva mediilor enterprise, în special a celor care se bazează pe virtualizare și sisteme de operare mixte.

Geofencing-ul CIS neobișnuit ridică semne de întrebare

Înainte de a cripta sistemele, malware-ul verifică dacă rulează într-o țară CSI. Dacă da, execuția se oprește. În special, Ucraina este încă inclusă în aceste excluderi, un comportament neobișnuit, deoarece multe grupuri ransomware au eliminat Ucraina de pe listele de excepții CSI după 2022.

Au fost propuse două explicații probabile:

  • Este posibil ca malware-ul să fi fost generat parțial folosind modele de inteligență artificială antrenate pe date geopolitice învechite.
  • Este posibil ca dezvoltatorii să fi reutilizat o bază de cod ransomware mai veche fără a actualiza logica regională.

Semne ale operatorilor fără experiență

Deși VECT 2.0 se prezintă ca o amenințare multi-platformă rafinată, cu recrutare de afiliere, parteneriate în lanțul de aprovizionare și branding profesional, execuția tehnică spune o poveste diferită.

Evaluarea securității sugerează că operatorii sunt mai degrabă actori de amenințări începători decât dezvoltatori de ransomware experimentați. Nu poate fi exclusă posibilitatea ca porțiuni din malware să fi fost produse sau asistate de cod generat de inteligență artificială.

Evaluarea Securității Executive

VECT 2.0 demonstrează cum ransomware-ul cu aspect periculos poate fi totuși defectuos din punct de vedere tehnic. Infrastructura, parteneriatele și branding-ul său creează imaginea unei întreprinderi criminale serioase, dar eșecul designului de criptare subminează complet modelul de extorcare.

Pentru apărători, lecția este clară: concentrați-vă pe reziliență, copii de rezervă, segmentare și răspuns rapid la incidente. Într-un atac VECT 2.0, plata nu cumpără recuperarea, ci doar urmează distrugerii.

Trending

Cele mai văzute

Se încarcă...