Программа-вымогатель VECT 2.0
Киберпреступная операция, известная как VECT 2.0, позиционирует себя как программа-вымогатель, однако технический анализ показывает, что её поведение гораздо ближе к уничтожению данных. Серьезный недостаток в реализации шифрования в различных версиях Windows, Linux и ESXi делает восстановление файлов невозможным даже для операторов, стоящих за атаками.
Для файлов размером более 131 КБ, к которым относится большинство критически важных для предприятия данных, вредоносная программа не обеспечивает восстанавливаемого шифрования. Вместо этого она безвозвратно уничтожает данные, необходимые для восстановления. В результате выплата выкупа не является реалистичным способом восстановления.
В любой ситуации, связанной с VECT 2.0, переговоры не следует рассматривать как стратегию устранения последствий. Функционального дешифратора для поставки нет, поскольку информация, необходимая для его создания, удаляется в процессе выполнения. Приоритеты в области защиты должны быть сосредоточены на резервном копировании в автономном режиме, проверенных планах восстановления, быстром локализации и обеспечении устойчивости бизнеса.
Оглавление
Развивающаяся RaaS-операция в партнерстве с криминальными структурами.
VECT первоначально был запущен как программа-вымогатель как услуга (Ransomware-as-a-Service, RaaS) в декабре 2025 года, а затем был переименован в VECT 2.0. Его портал в даркнете рекламирует модель «Эксфильтрация / Шифрование / Вымогательство», сигнализируя о тройном методе вымогательства.
Сообщается, что с новых участников взимается вступительный взнос в размере 250 долларов США в Monero (XMR). Однако заявители из стран Содружества Независимых Государств (СНГ) освобождены от этого взноса, что указывает на целенаправленный набор участников из этого региона.
Группа также установила партнерские отношения с BreachForums и хакерским сообществом TeamPCP. По всей видимости, это сотрудничество призвано упростить операции с программами-вымогателями, снизить барьеры для новых участников и использовать ранее украденные данные для дальнейших атак.
Сочетание кражи учетных данных в цепочке поставок, организованных партнерских операций и мобилизации преступников на форумах отражает все более индустриализированную экосистему программ-вымогателей.
Несмотря на смелые заявления, число жертв остается низким.
Несмотря на агрессивную рекламу, на сайте утечки VECT 2.0, как сообщается, указаны только две жертвы, обе, предположительно, были скомпрометированы в результате атак на цепочку поставок, связанных с TeamPCP.
Первоначально группа утверждала, что использует ChaCha20-Poly1305 AEAD, более надежный метод аутентифицированного шифрования. Однако техническая экспертиза выявила использование более слабого неаутентифицированного шифра, не имеющего защиты целостности, что вызвало серьезные сомнения как в его эффективности, так и в достоверности.
Сбой шифрования, приводящий к уничтожению данных.
Наиболее серьезная уязвимость вредоносной программы заключается в способе обработки файлов размером более 131 072 байт. Вместо надежного шифрования восстанавливаемых данных, она разбивает каждый большой файл на четыре части и шифрует каждую секцию, используя отдельные случайно сгенерированные 12-байтовые одноразовые числа (nonce).
Вместе с зашифрованным файлом хранится только последний одноразовый код (nonce). Первые три одноразовых кода, необходимые для расшифровки большей части файла, генерируются, используются один раз и навсегда удаляются. Они не сохраняются локально, не записываются в реестр и не отправляются оператору.
Поскольку метод ChaCha20-IETF требует для расшифровки как правильного 32-байтового ключа, так и соответствующего одноразового числа (nonce), первые три четверти каждого затронутого файла становятся невосстановимыми. Это означает, что VECT 2.0 функционирует как деструктивный инструмент, скрывающийся за сообщениями программы-вымогателя.
Вариант для Windows: расширенные возможности, слабая реализация.
Версия для Windows является наиболее функциональной и ориентирована на:
- Локальные накопители, съемные носители и доступное сетевое хранилище
- 44 инструмента обеспечения безопасности и отладки посредством проверок на предмет противодействия анализу.
- механизмы сохранения в безопасном режиме
- Шаблоны скриптов удаленного выполнения для горизонтального перемещения
При запуске с параметром --force-safemode вредоносная программа настраивает следующую перезагрузку в безопасный режим Windows и добавляет путь к своему исполняемому файлу в реестр Windows, чтобы он автоматически запускался после перезагрузки в среде с пониженным уровнем безопасности.
Интересно, что, хотя вариант для Windows содержит механизмы обнаружения и обхода защиты, эти процедуры, как сообщается, никогда не вызываются. Это может позволить специалистам по защите анализировать образцы, не вызывая скрытых ответных действий.
Варианты Linux и ESXi расширяют поверхность угроз.
Версия для ESXi выполняет геозонирование и проверки на предмет отладки перед началом шифрования. Она также пытается осуществлять горизонтальное перемещение через SSH. Вариант для Linux использует тот же код, что и пример для ESXi, но включает в себя меньше возможностей.
Благодаря кроссплатформенной поддержке VECT 2.0 обладает широкими возможностями для целевого применения в корпоративных средах, особенно в тех, которые используют виртуализацию и смешанные операционные системы.
Необычная геозонировка в странах СНГ вызывает вопросы.
Перед шифрованием систем вредоносная программа проверяет, работает ли она в стране СНГ. Если да, то выполнение прекращается. Примечательно, что Украина, как сообщается, по-прежнему включена в эти списки исключений, что является необычным явлением, поскольку многие группы вымогателей исключили Украину из списков стран СНГ после 2022 года.
Было предложено два вероятных объяснения:
- Вредоносное ПО, возможно, было частично создано с использованием моделей искусственного интеллекта, обученных на устаревших геополитических данных.
- Разработчики, возможно, повторно использовали старый код программы-вымогателя, не обновив региональную логику.
Признаки неопытных операторов
Хотя VECT 2.0 позиционирует себя как отточенная многоплатформенная угроза с привлечением партнеров, налаживанием партнерских отношений в цепочке поставок и профессиональным брендингом, техническая реализация говорит об обратном.
Анализ безопасности показывает, что операторами, скорее всего, являются начинающие злоумышленники, а не опытные разработчики программ-вымогателей. Нельзя исключить возможность того, что часть вредоносного ПО была создана или разработана с помощью кода, сгенерированного искусственным интеллектом.
Оценка безопасности руководителей
VECT 2.0 демонстрирует, как программы-вымогатели, выглядящие опасно, могут быть технически несовершенными. Их инфраструктура, партнерские отношения и бренд создают образ серьезной преступной организации, но сбой в системе шифрования полностью подрывает модель вымогательства.
Для специалистов по защите вывод очевиден: необходимо сосредоточиться на отказоустойчивости, резервном копировании, сегментации и быстром реагировании на инциденты. В случае атаки VECT 2.0 восстановление не гарантируется, оно происходит только после уничтожения системы.
