Popust za več licenc
Podjetje o grožnjah Ransomware Izsiljevalska programska oprema VECT 2.0

Izsiljevalska programska oprema VECT 2.0

Do leta Mezo leta Ransomware
Prevedi v:

Kibernetska kriminalna operacija, znana kot VECT 2.0, se predstavlja kot izsiljevalska programska oprema, vendar tehnična analiza kaže na vedenje, ki je veliko bližje brisalcu podatkov. Huda napaka v implementaciji šifriranja v različicah sistema Windows, Linux in ESXi onemogoča obnovitev datotek, tudi za operaterje, ki stojijo za napadi.

Za datoteke, večje od 131 KB, kar vključuje večino podatkov, kritičnih za podjetja, zlonamerna programska oprema ne zagotavlja obnovljivega šifriranja. Namesto tega trajno uniči podatke, potrebne za obnovitev. Posledično plačilo odkupnine ne ponuja realne poti do okrevanja.

Pri nobenem incidentu VECT 2.0 se pogajanja ne smejo šteti za strategijo sanacije. Ni funkcionalnega dešifratorja, ki bi ga bilo treba dobaviti, ker se informacije, potrebne za njegovo izgradnjo, med izvajanjem izločijo. Obrambne prioritete bi se morale osredotočiti na varnostne kopije brez povezave, potrjene načrte obnovitve, hitro zadrževanje in odpornost podjetja.

Rastoča operacija RaaS s kriminalnimi partnerstvi

VECT se je prvotno začel kot program izsiljevalske programske opreme kot storitve (RaaS) decembra 2025 in se je od takrat preimenoval v VECT 2.0. Njegov portal na temnem spletu oglašuje model »Izločanje / Šifriranje / Izsiljevanje«, kar signalizira trojni izsiljevalski pristop.

Novim podružnicam se zaračuna vstopnina v višini 250 dolarjev v valuti Monero (XMR). Vendar pa so prijavitelji iz držav Skupnosti neodvisnih držav (SND) oproščeni, kar kaže na ciljno usmerjeno zaposlovanje iz te regije.

Skupina je sklenila partnerstva tudi z BreachForums in hekerskim kolektivom TeamPCP. Zdi se, da je to sodelovanje namenjeno poenostavitvi operacij z izsiljevalsko programsko opremo, zmanjšanju ovir za nove podružnice in uporabi prej ukradenih podatkov za nadaljnje napade.

Kombinacija kraje poverilnic v dobavni verigi, organiziranih partnerskih operacij in mobilizacije kriminalcev na forumih odraža vse bolj industrializiran ekosistem izsiljevalske programske opreme.

Število žrtev ostaja nizko kljub drznim trditvam

Kljub agresivnemu brandingu naj bi spletno mesto z razkritji informacij VECT 2.0 navedlo le dve žrtvi, obe domnevno ogroženi zaradi napadov na dobavno verigo, povezanih s TeamPCP.

Skupina je sprva trdila, da uporablja ChaCha20-Poly1305 AEAD, močnejšo overjeno metodo šifriranja. Vendar pa je tehnični pregled pokazal uporabo šibkejše neoverjene šifre, ki ji manjka zaščita integritete, kar je sprožilo resne dvome o zmogljivosti in verodostojnosti.

Napaka šifriranja, ki uniči podatke

Najhujša pomanjkljivost zlonamerne programske opreme je v načinu obdelave datotek, večjih od 131.072 bajtov. Namesto varnega šifriranja obnovljivih podatkov vsako veliko datoteko razdeli na štiri dele in vsak del šifrira z ločenimi naključno generiranimi 12-bajtnimi enodnevnimi vrednostmi.

S šifrirano datoteko se shrani le zadnji nonce. Prve tri nonce, potrebne za dešifriranje večine datoteke, se ustvarijo, uporabijo enkrat in trajno zavržejo. Ne shranijo se lokalno, ne zapišejo v register ali pošljejo operaterju.

Ker metoda ChaCha20-IETF za dešifriranje zahteva tako pravilen 32-bajtni ključ kot tudi ujemajočo se enokratno vrednost (nonce), prve tri četrtine vsake prizadete datoteke postanejo nepopravljive. To pomeni, da VECT 2.0 deluje kot uničujoč program za brisanje podatkov, skrit za sporočili izsiljevalske programske opreme.

Različica sistema Windows: napredne funkcije, šibka izvedba

Različica za Windows je najbolj bogata s funkcijami in je namenjena:

  • Lokalni pogoni, odstranljivi mediji in dostopno omrežno shranjevanje
  • 44 orodij za varnost in odpravljanje napak s preverjanji proti analizi
  • Mehanizmi vztrajnosti v varnem načinu
  • Predloge skriptov za oddaljeno izvajanje za lateralno gibanje

Ko se zlonamerna programska oprema zažene z --force-safemode, konfigurira naslednji ponovni zagon sistema Windows v varni način in doda pot do izvedljive datoteke v register sistema Windows, tako da se po ponovnem zagonu samodejno zažene v okolju z zmanjšano varnostjo.

Zanimivo je, da čeprav različica za Windows vsebuje mehanizme za zaznavanje okolja in izogibanje, se te rutine po poročilih nikoli ne klicejo. To lahko branilcem omogoči analizo vzorcev, ne da bi sprožili prikrite odzive.

Različice Linuxa in ESXi širijo površino groženj

Različica ESXi pred začetkom šifriranja izvede preverjanja geoograj in odpravljanja napak. Prav tako poskuša preusmeriti podatke prek SSH. Različica za Linux ima isto kodno osnovo kot vzorec ESXi, vendar vključuje manj zmogljivosti.

Ta podpora za več platform daje VECT 2.0 širok potencial za ciljanje na poslovna okolja, zlasti tista, ki se zanašajo na virtualizacijo in mešane operacijske sisteme.

Nenavadno geoogranje CIS sproža vprašanja

Preden zlonamerna programska oprema šifrira sisteme, preveri, ali se izvaja v državi SND. Če je tako, se izvajanje ustavi. Omeniti velja, da je Ukrajina po poročanjih še vedno vključena v te izjeme, kar je nenavadno vedenje, saj so številne skupine izsiljevalske programske opreme po letu 2022 Ukrajino odstranile s seznamov izjem SND.

Predlagani sta bili dve verjetni razlagi:

  • Zlonamerna programska oprema je bila morda delno ustvarjena z uporabo modelov umetne inteligence, usposobljenih na zastarelih geopolitičnih podatkih
  • Razvijalci so morda ponovno uporabili starejšo kodno bazo izsiljevalske programske opreme, ne da bi posodobili regionalno logiko.

Znaki neizkušenih operaterjev

Čeprav se VECT 2.0 trži kot izpopolnjena večplatformska grožnja z zaposlovanjem partnerjev, partnerstvi v dobavni verigi in profesionalnim trženjem blagovne znamke, tehnična izvedba pripoveduje drugačno zgodbo.

Varnostna ocena kaže, da so upravljavci bolj verjetno začetniki v napadih kot izkušeni razvijalci izsiljevalske programske opreme. Možnosti, da so bili deli zlonamerne programske opreme ustvarjeni s kodo, ki jo je ustvarila umetna inteligenca, ali pa so bili ti podprti, ni mogoče izključiti.

Ocena varnosti vodstva

VECT 2.0 dokazuje, kako nevarna izsiljevalska programska oprema je lahko tehnično pomanjkljiva. Njena infrastruktura, partnerstva in blagovna znamka ustvarjajo podobo resnega kriminalnega podviga, vendar napaka v zasnovi šifriranja popolnoma spodkopava model izsiljevanja.

Za branilce je lekcija jasna: osredotočite se na odpornost, varnostne kopije, segmentacijo in hiter odziv na incidente. Pri napadu VECT 2.0 plačilo ne kupi okrevanja, ampak le sledi uničenju.

V trendu

Najbolj gledan

Nalaganje...