VECT 2.0 рансомвер
Сајбер криминална операција позната као VECT 2.0 представља се као ransomware, али техничка анализа показује понашање које је много ближе брисању података. Озбиљан недостатак у имплементацији шифровања у варијантама Windows-а, Linux-а и ESXi-ја онемогућава опоравак датотека, чак и за оператере који стоје иза напада.
За датотеке веће од 131 KB, што укључује већину критичних података за предузећа, злонамерни софтвер не пружа обновљиву енкрипцију. Уместо тога, трајно уништава податке потребне за опоравак. Као резултат тога, плаћање откупнине не нуди реалан пут до опоравка.
У било ком VECT 2.0 инциденту, преговарање не треба сматрати стратегијом санације. Не постоји функционални дешифратор који треба испоручити јер се информације потребне за његову изградњу елиминишу током извршења. Одбрамбени приоритети треба да се усредсреде на офлајн резервне копије, валидиране планове опоравка, брзо обуздавање и отпорност пословања.
Преглед садржаја
Растућа RaaS операција са криминалним партнерствима
VECT је првобитно покренут као програм Ransomware-as-a-Service (RaaS) у децембру 2025. године и од тада је ребрендиран као VECT 2.0. Његов портал на дарк вебу рекламира модел „Извлачење / Шифровање / Изнуда“, што сигнализира приступ троструке изнуде.
Новим партнерима се наводно наплаћује улазница од 250 долара у Монеро (XMR). Међутим, кандидати из земаља Заједнице независних држава (ЗНД) су изузети, што указује на циљано регрутовање из тог региона.
Група је такође формирала партнерства са BreachForums и хакерским колективом TeamPCP. Чини се да је ова сарадња осмишљена да поједностави операције са ransomware-ом, смањи препреке за нове сараднике и искористи претходно украдене податке за даље нападе.
Комбинација крађе акредитива у ланцу снабдевања, организованих партнерских операција и мобилизације криминалаца на форумима одражава све индустријализованији екосистем ransomware-а.
Број жртава остаје низак упркос смелим тврдњама
Упркос агресивном брендирању, наводно се наводи да сајт са цурењем информација VECT 2.0 наводи само две жртве, обе наводно угрожене нападима на ланац снабдевања повезаним са TeamPCP-ом.
Група је првобитно тврдила да користи ChaCha20-Poly1305 AEAD, јачи метод аутентификованог шифровања. Међутим, технички преглед је открио употребу слабије неаутентификоване шифре којој недостаје заштита интегритета, што изазива озбиљне сумње у вези са могућностима и кредибилитетом.
Грешка у шифровању која уништава податке
Најкритичнија мана злонамерног софтвера лежи у начину на који обрађује датотеке веће од 131.072 бајта. Уместо безбедног шифровања података који се могу опоравити, он дели сваку велику датотеку на четири дела и шифрује сваки одељак користећи одвојене насумично генерисане једнократне бројеве од 12 бајта.
Само последњи једнократни број (nonce) се чува са шифрованом датотеком. Прва три једнократна броја (nonce), потребна за дешифровање већег дела датотеке, генеришу се, користе једном и трајно одбацују. Они се не чувају локално, не записују у регистар нити шаљу оператеру.
Пошто метод ChaCha20-IETF захтева и исправан 32-бајтни кључ и одговарајући једнократни број за дешифровање, прве три четвртине сваке погођене датотеке постају непоправљиве. То значи да VECT 2.0 оперативно функционише као деструктивни брисач скривен иза порука ransomware-а.
Варијанта за Windows: Напредне функције, слабо извршење
Верзија за Windows је најбогатија функцијама и намењена је:
- Локални дискови, преносиви медији и приступачна мрежна меморија
- 44 алата за безбедност и отклањање грешака путем анти-аналитичких провера
- Механизми перзистентности безбедног режима
- Шаблони скрипти за даљинско извршавање за бочно кретање
Када се покрене са --force-safemode, злонамерни софтвер конфигурише следеће поновно покретање система у безбедни режим система Windows и додаје путању своје извршне датотеке у регистар система Windows тако да се аутоматски покреће након поновног покретања у окружењу са смањеном безбедношћу.
Занимљиво је да, иако варијанта за Windows садржи механизме за детекцију и избегавање окружења, те рутине се наводно никада не позивају. Ово може омогућити браниоцима да анализирају узорке без покретања скривених одговора.
Варијанте Линукса и ЕСКси-ја проширују површину претњи
ESXi верзија врши провере геозонирања и анти-дебаговања пре почетка шифровања. Такође покушава бочно кретање путем SSH-а. Linux варијанта дели исту кодну базу као ESXi пример, али укључује мање могућности.
Ова подршка за више платформи даје VECT 2.0 широк потенцијал циљања на пословна окружења, посебно она која се ослањају на виртуелизацију и мешовите оперативне системе.
Необично CIS геофенсовање покреће питања
Пре шифровања система, злонамерни софтвер проверава да ли се покреће у земљи ЗНД. Ако јесте, извршавање се зауставља. Приметно је да је Украјина наводно и даље укључена у ове изузетке, што је неуобичајено понашање јер су многе групе за рансомвер уклониле Украјину са листа изузетака ЗНД након 2022. године.
Предложена су два вероватна објашњења:
- Злонамерни софтвер је можда делимично генерисан коришћењем модела вештачке интелигенције обучених на застарелим геополитичким подацима
- Програмери су можда поново користили старију базу кода ransomware-а без ажурирања регионалне логике
Знаци неискусних оператера
Иако се VECT 2.0 представља као углађена вишеплатформска претња са регрутовањем партнера, партнерствима у ланцу снабдевања и професионалним брендирањем, техничко извршење говори другачију причу.
Безбедносна процена сугерише да су оператери вероватније почетници у претњи него искусни програмери ransomware-а. Не може се искључити могућност да су делови злонамерног софтвера произведени или потпомогнути кодом генерисаним вештачком интелигенцијом.
Процена безбедности руководилаца
VECT 2.0 показује како опасно изгледајући ransomware и даље може бити технички неисправан. Његова инфраструктура, партнерства и брендирање стварају слику озбиљног криминалног подухвата, али неуспех у дизајну шифровања потпуно поткопава модел изнуде.
За браниоце, лекција је јасна: фокусирајте се на отпорност, резервне копије, сегментацију и брз одговор на инциденте. У VECT 2.0 нападу, плаћање не купује опоравак, оно само следи уништење.
