Ransomvér VECT 2.0

Kyberzločinná operácia známa ako VECT 2.0 sa prezentuje ako ransomvér, no technická analýza ukazuje správanie, ktoré sa oveľa viac podobá vymazávaniu dát. Závažná chyba v implementácii šifrovania vo variantoch pre Windows, Linux a ESXi znemožňuje obnovu súborov, a to ani pre operátorov stojacich za útokmi.

Pre súbory väčšie ako 131 KB, ktoré zahŕňajú väčšinu kritických podnikových dát, malvér neposkytuje obnoviteľné šifrovanie. Namiesto toho natrvalo ničí dáta potrebné na obnovu. V dôsledku toho platba výkupného neponúka žiadnu realistickú cestu k obnove.

V žiadnom incidente VECT 2.0 by sa vyjednávanie nemalo považovať za stratégiu nápravy. Neexistuje žiadny funkčný dešifrovací nástroj, ktorý by sa dal dodať, pretože informácie potrebné na jeho vytvorenie sa počas vykonávania eliminujú. Obranné priority by sa mali zamerať na offline zálohy, overené plány obnovy, rýchle obmedzenie a odolnosť podniku.

Rastúca RaaS operácia s kriminálnymi partnerstvami

VECT bol pôvodne spustený ako program Ransomware-as-a-Service (RaaS) v decembri 2025 a odvtedy sa premenoval na VECT 2.0. Jeho portál na dark webe propaguje model „Exfiltrácia / Šifrovanie / Vydieranie“, čo signalizuje trojitý prístup vydierania.

Noví partneri údajne platia vstupný poplatok 250 dolárov v Monero (XMR). Žiadatelia z krajín Spoločenstva nezávislých štátov (SNŠ) sú však od tejto povinnosti oslobodení, čo naznačuje cielený nábor z tohto regiónu.

Skupina tiež nadviazala partnerstvá s BreachForums a hackerským kolektívom TeamPCP. Zdá sa, že táto spolupráca je navrhnutá tak, aby zjednodušila operácie s ransomvérom, znížila bariéry pre nových partnerov a využila predtým ukradnuté údaje na ďalšie útoky.

Kombinácia krádeže prihlasovacích údajov v dodávateľskom reťazci, organizovaných partnerských operácií a mobilizácie zločincov na fórach odráža čoraz viac industrializovaný ekosystém ransomvéru.

Počet obetí zostáva nízky napriek smelým tvrdeniam

Napriek agresívnemu brandingu stránka s únikmi informácií VECT 2.0 údajne uvádza iba dve obete, obe údajne napadnuté útokmi na dodávateľský reťazec súvisiacimi s TeamPCP.

Skupina pôvodne tvrdila, že používa ChaCha20-Poly1305 AEAD, silnejšiu overenú šifrovaciu metódu. Technická kontrola však zistila použitie slabšej neoverenej šifry, ktorej chýbala ochrana integrity, čo vyvolalo vážne pochybnosti o jej schopnostiach aj dôveryhodnosti.

Zlyhanie šifrovania, ktoré ničí dáta

Najzávažnejšia chyba malvéru spočíva v spôsobe, akým spracováva súbory väčšie ako 131 072 bajtov. Namiesto bezpečného šifrovania obnoviteľných údajov rozdeľuje každý veľký súbor na štyri časti a šifruje každú sekciu pomocou samostatných náhodne generovaných 12-bajtových čísel nonce.

S šifrovaným súborom sa uloží iba posledný nonce. Prvé tri nonce, potrebné na dešifrovanie väčšiny súboru, sa vygenerujú, použijú raz a natrvalo sa zahodia. Neukladajú sa lokálne, nezapisujú sa do registra ani sa neodosielajú operátorovi.

Keďže metóda ChaCha20-IETF vyžaduje na dešifrovanie správny 32-bajtový kľúč aj zodpovedajúci nonce, prvé tri štvrtiny každého postihnutého súboru sa stanú neobnoviteľnými. To znamená, že VECT 2.0 funguje operačne ako deštruktívny wiper skrytý za správami ransomvéru.

Variant systému Windows: Pokročilé funkcie, slabé prevedenie

Verzia pre Windows je najbohatšia na funkcie a je určená pre:

• Lokálne disky, vymeniteľné médiá a prístupné sieťové úložisko
• 44 bezpečnostných a ladiacích nástrojov prostredníctvom antianalytických kontrol
• Mechanizmy perzistencie v núdzovom režime
• Šablóny skriptov na diaľkové vykonávanie pre laterálny pohyb

Po spustení s parametrom --force-safemode malvér nakonfiguruje ďalší reštart systému Windows do núdzového režimu a pridá cestu k spustiteľnému súboru do registra systému Windows, aby sa po reštarte automaticky spustil v prostredí so zníženým zabezpečením.

Je zaujímavé, že hoci variant pre Windows obsahuje mechanizmy na detekciu prostredia a obchádzanie, tieto rutiny sa údajne nikdy nevolajú. To môže obrancom umožniť analyzovať vzorky bez spustenia nenápadných reakcií.

Varianty Linuxu a ESXi rozširujú oblasť hrozieb

Verzia pre ESXi vykonáva pred spustením šifrovania kontroly geofencingu a anti-debuggingu. Taktiež sa pokúša o laterálny pohyb cez SSH. Variant pre Linux zdieľa rovnakú kódovú základňu ako ukážka ESXi, ale obsahuje menej funkcií.

Táto multiplatformová podpora poskytuje VECT 2.0 široký potenciál zacielenia na podnikové prostredia, najmä tie, ktoré sa spoliehajú na virtualizáciu a zmiešané operačné systémy.

Nezvyčajné geofencing CIS vyvoláva otázky

Pred zašifrovaním systémov malvér skontroluje, či beží v krajine SNŠ. Ak áno, vykonávanie sa zastaví. Ukrajina je údajne stále zahrnutá v týchto výnimkách, čo je nezvyčajné správanie, keďže mnohé skupiny ransomvéru po roku 2022 odstránili Ukrajinu zo zoznamov výnimiek SNŠ.

Boli navrhnuté dve pravdepodobné vysvetlenia:

• Škodlivý softvér mohol byť čiastočne vygenerovaný pomocou modelov umelej inteligencie vytrénovaných na zastaraných geopolitických údajoch.

• Vývojári mohli znovu použiť staršiu kódovú základňu ransomvéru bez aktualizácie regionálnej logiky.

Známky neskúsených operátorov

Hoci sa VECT 2.0 prezentuje ako prepracovaná multiplatformová hrozba s náborom partnerov, partnerstvami v dodávateľskom reťazci a profesionálnym brandingom, technické prevedenie hovorí niečo iné.

Bezpečnostné posúdenie naznačuje, že prevádzkovatelia sú skôr začínajúcimi aktérmi hrozby než skúsenými vývojármi ransomvéru. Nemožno vylúčiť možnosť, že časti malvéru boli vytvorené alebo asistované kódom generovaným umelou inteligenciou.

Hodnotenie bezpečnosti manažérov

VECT 2.0 demonštruje, ako nebezpečne vyzerajúci ransomvér môže byť technicky chybný. Jeho infraštruktúra, partnerstvá a branding vytvárajú imidž seriózneho zločineckého podniku, ale zlyhanie v šifrovacom dizajne úplne podkopáva model vydierania.

Pre obrancov je ponaučenie jasné: zamerajte sa na odolnosť, zálohy, segmentáciu a rýchlu reakciu na incidenty. Pri útoku VECT 2.0 platba nezabezpečí obnovu, ale iba zničenie.